Google Project Zero, Google Inc. bünyesindeki bir güvenlik araştırma birimidir. Project Zero ekibinin rolü, Google tarafından oluşturulanlar da dahil olmak üzere popüler yazılım ürünlerindeki güvenlik açıklarını bulmaktır. Araştırma ekibi bir güvenlik açığının varlığını keşfedip doğruladığında, ekip hatayı sessizce yazılımdan sorumlu şirkete bildirir ve şirkete sorunu düzeltmesi için 90 gün verir.
Güvenlik açığı 90 gün sonra düzeltilmezse, Project Zero ekibi hatayla ilgili bilgileri otomatik olarak yayınlar ve genel halka örnek saldırı kodu sağlar. 90 günlük ifşa politikasının amacı, şirketleri, saldırganlar aynı güvenlik açığını keşfedip ondan yararlanmadan önce sorunu zamanında çözmeye teşvik etmektir. Otomatik ifşa politikasını eleştirenler, Google’ın neden üçüncü taraf ürünleri denetleyen Project Zero ekibine sahip olduğunu sordu. Ayrıca, Project Zero ekibinin Google ürünlerindeki güvenlik açıklarını üçüncü taraf yazılım hataları hakkında bilgi yayınlarken olduğu kadar hızlı ifşa edip etmediğini de merak ediyorlar. Sıfır Projesi’nin savunucuları, tüm güvenlik araştırmalarının genel kamu yararına olduğunu ve Google’ın, Google ürünleriyle birlikte kullanılması muhtemel yazılım ürünlerini araştırma sorumluluğunu taşıdığını iddia eder. Google, Project Zero’nun varlığını 15 Temmuz 2014’te halka duyurdu.
Şubat 2015’te Project Zero, Microsoft’un Google’a sorunlu kodu düzeltmek için bir yama yayınlayacaklarını bildirmiş olmasına rağmen, Windows 8’deki bir güvenlik açığını otomatik olarak ifşa ederek güvenlik topluluğu içinde istemeden tartışmalara neden olduktan sonra ifşa politikasını değiştirdi. Revize edilmiş Sıfır Projesi politikası, satıcının Google’a bir yamanın 14 günlük ek süre içinde belirli bir günde yayınlanacağını bildirmesi koşuluyla, artık bir kişinin müdahale etmesine ve açıklamayı 14 ek iş gününe kadar uzatmasına olanak tanır. Ekip ayrıca her bir güvenlik açığına benzersiz bir CVE tanımlayıcısı atamaya başlayacağını duyurdu. CVE-ID’ler, satıcıların,
Google’ın Gizli Böcek Avı Hacker Ekibi ‘Project Zero’ ile tanışın
17 YAŞINDAKI GEORGE Hotz, 2007’de AT&T’nin iPhone’daki kilidini kıran dünyanın ilk bilgisayar korsanı oldu, şirketler onu resmi olarak görmezden geldiler ve çalışmalarının açığa çıkardığı hataları düzeltmeye uğraştılar. Daha sonra Playstation 3’ü tersine çevirdiğinde, Sony ona dava açtı ve ancak başka bir Sony ürününü asla hacklememeyi kabul ettikten sonra karar verdi.
Hotz, bu yılın başlarında Google’ın Chrome işletim sisteminin savunmasını kaldırdığında, aksine, şirket, ortaya çıkardığı kusurları düzeltmesine yardımcı olduğu için ona 150.000 dolar ödül verdi. İki ay sonra, bir Google güvenlik mühendisi olan Chris Evans, bir e-posta ile bir teklifle geldi: Hotz, internete dokunan her popüler yazılım parçasındaki güvenlik açıklarını avlamak için ödenen seçkin bir tam zamanlı bilgisayar korsanları ekibine katılmayı nasıl ister?
Bugün Google, dünyanın yazılımındaki en sinsi güvenlik açıklarını takip etmek ve etkisiz hale getirmek olan, en iyi Google güvenlik araştırmacılarından oluşan bir grup olan Project Zero olarak bilinen ekibi kamuya açıklamayı planlıyor. Güvenlik endüstrisinde “sıfır gün” güvenlik açıkları olarak bilinen bu gizli hacklenebilir hatalar, casusluk operasyonlarında suçlular, devlet destekli bilgisayar korsanları ve istihbarat teşkilatları tarafından istismar edilmektedir. Google, araştırmacılarını onları ışığa sürüklemekle görevlendirerek, bu casus dostu kusurları düzeltmeyi umuyor. Ve Project Zero’nun bilgisayar korsanları, yalnızca Google’ın ürünlerindeki hataları ifşa etmeyecek. Google’ın kullanıcılarını daha iyi korumaları için diğer şirketlere baskı yapmak amacıyla sıfır günleri ortaya çıkarılabilen ve gösterilebilen herhangi bir yazılıma saldırmak için serbest dizginleri verilir.
Eskiden Google’ın Chrome güvenlik ekibini yöneten ve şimdi Project Zero’yu yönetecek olan İngiltere doğumlu araştırmacı Evans, “İnsanlar, güvenlik açıklarının tek bir web sitesi ziyaretiyle mahremiyetlerini mahvedebileceğinden korkmadan interneti kullanmayı hak ediyor” diyor. (Kartvizitlerinde “Troublemaker” yazıyor) “Bu yüksek değerli güvenlik açıklarının tedarikine odaklanmaya ve onları ortadan kaldırmaya çalışacağız.”
Project Zero, Google içinden bir hacker rüya ekibinin tohumlarını şimdiden topladı: Yeni Zelandalı Ben Hawkes, yalnızca 2013’te Adobe Flash ve Microsoft Office uygulamaları gibi yazılımlarda düzinelerce hatayı keşfetmesiyle tanındı. Sektörün en üretken böcek avcılarından biri olarak ün yapmış İngiliz araştırmacı Tavis Ormandy, son zamanlarda antivirüs yazılımlarının kullanıcıları gerçekte daha az güvenli hale getiren sıfırıncı gün kusurlarını nasıl içerebileceğini göstermeye odaklandı . Geçen Mart ayında düzenlenen Pwnium hackleme yarışmasını kazanmak için Google’ın Chrome OS savunmasını hackleyen Amerikalı hacker dahisi George Hotz, ekibin stajyeri olacak. Ve İsviçre merkezli Brit Ian Beer bir gizem havası yarattıApple’ın iOS, OSX ve Safari’deki altı hata bulgusu için “Sıfır Projesi” adı altında kredilendirildiği son aylarda Google’ın gizli güvenlik grubu çevresinde.
Evans, ekibin hala işe alım yaptığını söylüyor. Yakında onun yönetimi altında ondan fazla tam zamanlı araştırmacı olacak; Çoğu, hangi dosyaların potansiyel olarak tehlikeli çökmelere neden olduğunu bulmak için saatlerce hedef yazılıma rastgele veri atan otomatik yazılıma kadar, saf hacker sezgisinden otomatik yazılıma kadar çeşitli kusur arama araçlarını kullanarak Mountain View merkezindeki bir ofis dışında olacak.
Google Vs. hayaletler
Ve Google, diğer şirketlerin kodlarındaki kusurları düzeltmek için birinci sınıf maaşlar ödemekten ne kazanıyor? Evans, Sıfır Projesi’nin “öncelikle fedakar” olduğunda ısrar ediyor. Ancak, birkaç kısıtlamayla zorlu güvenlik sorunları üzerinde çalışmak için cazip bir özgürlük düzeyi sunan girişim, aynı zamanda üst düzey yetenekleri Google’ın bünyesine katan ve daha sonra başka ekiplere geçebilecekleri bir işe alma aracı olarak da hizmet edebilir. Ve diğer Google projelerinde olduğu gibi, şirket ayrıca internetin yararına olan şeyin Google’a fayda sağladığını savunuyor: Güvenli, mutlu kullanıcılar daha fazla reklamı tıklıyor. Evans, “Kullanıcıların genel olarak internete olan güvenini artırırsak, ölçülmesi zor ve dolaylı bir şekilde bu Google’a da yardımcı olur” diyor.
Bu, Mountain View’daki daha büyük bir eğilime uyuyor; Google’ın karşı gözetim önlemleri, Edward Snowden’in casusluk ifşalarının ardından yoğunlaştı. Sızıntılar , NSA’nın şirketin veri merkezleri arasında dolaşırken Google kullanıcı bilgilerini gözetlediğini ortaya çıkardığında , Google bu bağlantıları şifrelemek için acele etti. Daha yakın zamanlarda, kullanıcıların e-postalarını şifreleyecek bir Chrome eklentisi üzerindeki çalışmalarını açıkladı ve e-posta sağlayıcılarının Gmail kullanıcılarından ileti alırken varsayılan şifrelemeye izin verdiği ve vermediği bir kampanya başlattı.
Sıfır gün güvenlik açığı casuslara hedef kullanıcıların bilgisayarlarını tamamen kontrol etme gücü verdiğinde, ancak hiçbir şifreleme onları koruyamaz. İstihbarat ajansı müşterileri , bu tür gizli izinsiz girişleri göz önünde bulundurarak belirli istismarlar için özel sıfırıncı gün brokerlerine yüz binlerce dolar ödüyor . Ve Beyaz Saray, NSA reformu için çağrıda bulunmasına rağmen, ajansın bazı gözetleme uygulamaları için sıfırıncı gün açıklarını kullanmasını onayladı.
ACLU’da sıfır gün güvenlik açığı sorununu yakından takip eden gizlilik odaklı bir teknoloji uzmanı olan Chris Soghoian, tüm bunların Google’ın casusluk önleme çabalarında bir sonraki mantıklı adım olduğunu söylüyor. Bir Google güvenlik mühendisinin NSA’nın casusluk uygulamalarına değindiği , şimdilerde meşhur olan “siktir et bu adamları” blog gönderisine işaret ediyor. Soghoian, “Google’ın güvenlik ekibi gözetim konusunda kızgın ve bu konuda bir şeyler yapmaya çalışıyorlar” diyor.
Diğer şirketler gibi, Google da yıllarca “hata ödülleri” ödedi – şirkete kodundaki kusurları bildiren dost canlısı bilgisayar korsanları için ödüller. Ancak kendi yazılımındaki güvenlik açıklarını aramak yeterli olmadı: Chrome tarayıcısı gibi Google programlarının güvenliği genellikle Adobe’nin Flash’ı gibi üçüncü taraf kodlarına veya temel alınan Windows, Mac veya Linux işletim sistemlerinin öğelerine bağlıdır. Mart ayında Evans , örneğin son dört yılda bilgisayar korsanları tarafından kullanılan on sekiz Flash hatanın tümünün bir elektronik tablosunu derledi ve tweetledi . Hedefleri arasında Suriye vatandaşları, insan hakları aktivistleri ve savunma ve havacılık endüstrisi vardı.
Çarpışan Hatalar
Eski Google güvenlik araştırmacısı Morgan Marquis-Boire’a göre Sıfır Projesi’nin ardındaki fikir, 2010 yılında Evans’la Zürih’in Niederdorf semtindeki bir barda gece yarısı yaptığı görüşmeye kadar götürülebilir. Sabah saat 4 civarında, konuşma soruna döndü. Hataları Google kullanıcılarını tehlikeye atan, Google’ın kontrolü dışındaki yazılımların Marquis-Boire, “Üçüncü taraf koduna bağlı olmak için güvenli bir ürün yazan insanlar için büyük bir hayal kırıklığı kaynağı” diyor. “Motive olmuş saldırganlar en zayıf noktayı ararlar. Kask içinde motosiklet sürmek iyi ve güzeldir, ancak bir kimono giyiyorsanız sizi korumaz.”
Bu nedenle, Sıfır Projesi’nin diğer şirketlerin ürünlerini araştırmak için Google’ın beynini kullanma tutkusu. Project Zero’nun bilgisayar korsanları bir hata bulduğunda, düzeltmeden sorumlu şirketi uyaracaklarını ve kusuru Google Project Zero blogunda herkese açık olarak açıklamadan önce bir yama yayınlaması için 60 ila 90 gün arasında bir süre vereceklerini söylüyorlar . Hatanın bilgisayar korsanları tarafından aktif olarak istismar edildiği durumlarda Google, çok daha hızlı hareket edeceğini ve savunmasız yazılımın yaratıcısına sorunu çözmesi veya yedi gün gibi kısa bir sürede bir geçici çözüm bulması için baskı yapacağını söylüyor . Evans, “Çok uzun süre alarak veya hataları süresiz olarak düzeltmeyerek insanları riske atmak kabul edilemez” diyor.
Project Zero’nun bu kadar geniş bir program koleksiyonundaki hataları gerçekten yok edip edemeyeceği açık bir soru olarak kalıyor. Ancak Project Zero korsanı Ben Hawkes, ciddi bir etki yaratmak için grubun tüm sıfır günleri bulup ezmesine gerek olmadığını söylüyor. Bunun yerine, yalnızca hataları yeni kodda oluşturulduklarından daha hızlı öldürmesi gerekir. Ve Project Zero, bulduğu bir hatanın casuslar tarafından gizlice sömürülmesiyle aynı olduğu durumlarda, sözde “hata çarpışmalarını” en üst düzeye çıkarmak için hedeflerini stratejik olarak seçecektir.
Aslında, modern hacker istismarları, bir bilgisayarın savunmasını yenmek için genellikle bir dizi hacklenebilir kusuru bir araya getirir. Bu hatalardan birini öldürün ve tüm istismar başarısız olur. Bu, Project Zero’nun, bir uygulamanın bilgisayarın geri kalanına erişimini sınırlamayı amaçlayan “korumalı alan” gibi bir işletim sisteminin küçük bir bölümündeki kusurları bulup yamalayarak tüm açıklardan yararlanma koleksiyonlarını karıştırabileceği anlamına gelir. Hawkes, “Bazı saldırı yüzeylerinde, hataları ortaya çıktıklarından daha hızlı düzeltebileceğimiz konusunda iyimseriz” diyor. “Araştırmanızı bu sınırlı alanlara yönlendirirseniz, hata çarpışmaları olasılığını artırırsınız.” Başka bir deyişle, her hata keşfi, saldırganların izinsiz giriş aracı olduğunu her zamankinden daha fazla reddedebilir. Hawkes, “Bazı ayak parmaklarına basabileceğimizden eminim” diyor.
Konuya ilişkin örnek: George Hotz, geçen Mart ayında Google’ın altı haneli ödülünü kazanmak için düzenlenen bilgisayar korsanlığı yarışmasında Chrome OS istismarını ortaya çıkardığında, başka bir yarışmanın yarışmacıları aynı anda aynı saldırıyı gerçekleştirmişti. Evans, aynı kusuru bağımsız olarak bulan diğer iki özel araştırma çabasını da öğrendiğini söylüyor — dört yönlü bir hata çarpışması. Bunun gibi örnekler, keşfedilmemiş sıfırıncı gün güvenlik açıklarının sayısının azalmakta olabileceğine ve Project Zero gibi bir ekibin izinsiz girişlerinin gerektirdiği böceklerin casuslarını aç bırakabileceğine dair umut verici bir işarettir. Evans, “Bu problemde gerçekten bir adım atacağız” diyor. “Şimdi sıfır günlere bir son verme üzerine bahse girmek için çok iyi bir zaman.”
Kaynaklar: