Google Project Zero è un team di analisti di sicurezza informatica all’interno di Google, fondato nel 2014 con l’obiettivo di individuare e segnalare vulnerabilità zero-day. Questo team è noto per la sua attività di ricerca e disclosure responsabile, che consiste nell’individuare vulnerabilità in software utilizzato dai propri utenti e segnalarle privatamente ai creatori, rendendole pubbliche solo dopo che una patch è stata rilasciata o dopo 90 giorni senza risoluzione[1][2].
Storia e Obiettivi
L’idea di Project Zero risale al 2010, ma la sua istituzione è stata annunciata il 15 luglio 2014 sul blog di Google dedicato alla sicurezza. Questo progetto è stato fondato in risposta alle divulgazioni sulla sorveglianza di massa di Edward Snowden nel 2013, che hanno portato Google a intensificare le sue iniziative di counter-surveillance[1][2].
Il team è guidato da esperti di sicurezza come Chris Evans, Ben Hawkes, Ian Beer e Tavis Ormandy, che hanno contribuito significativamente alla scoperta di numerose vulnerabilità. La loro attività non si limita alla semplice individuazione di bug, ma include anche la ricerca e la documentazione pubblica di come tali vulnerabilità possano essere sfruttate, al fine di fornire ai difensori una comprensione sufficiente delle minacce[1][2].
Individuazione e Segnalazione dei Bug
I bug trovati da Project Zero vengono inizialmente segnalati privatamente ai creatori del software. Solo dopo che una patch è stata rilasciata o dopo 90 giorni senza risoluzione, la vulnerabilità viene resa pubblicamente visibile. Questa scadenza di 90 giorni è scelta per implementare la responsible disclosure, concedendo ai software company il tempo necessario per sistemare il problema prima di informare il pubblico, in modo che gli utenti possano prendere i necessari provvedimenti per evitare gli attacchi[1][2].
Scoperte di Rilievo
Project Zero ha avuto numerose scoperte significative nel corso degli anni. Una delle prime notizie che hanno attirato l’attenzione è stata la scoperta di una falla di sicurezza in una chiamata di sistema di Windows 8.1, chiamata “NtApphelpCacheControl”, che permetteva a un normale utente di ottenere privilegi di amministratore. Microsoft fu immediatamente notificata del problema, ma non riuscì a risolverlo entro i 90 giorni, quindi la vulnerabilità fu resa pubblica il 29 dicembre 2014[1][2].
Un altro esempio è stato la scoperta di una falla relativa ai reverse proxy di Cloudflare, nota come Cloudbleed, che causava un buffer overflow nei server di Cloudflare, rendendo pubbliche aree di memoria contenenti informazioni private. Questa scoperta è stata fatta il 19 febbraio 2017 e ha portato a una serie di risposte da parte di Cloudflare e delle comunità di sicurezza[1][2].
Utilizzo di AI nella Ricerca di Vulnerabilità
Nel 2024, Project Zero ha annunciato di aver trovato la sua prima vulnerabilità reale utilizzando un grande modello di linguaggio (LLM). La vulnerabilità è stata un underflow di pila in SQLite, un database engine open-source molto utilizzato. La scoperta è stata fatta da un team composto da ricercatori di Project Zero e Google DeepMind, che hanno lavorato sotto il progetto Big Sleep. La vulnerabilità è stata immediatamente segnalata ai developer, che hanno risolto il problema nello stesso giorno[3].
Consigli e Suggerimenti per gli Utenti
Per proteggersi dalle vulnerabilità zero-day, gli utenti possono seguire alcuni consigli:
- Aggiornamenti Regolari: Assicurarsi di installare gli aggiornamenti di sicurezza regolarmente. Molti bug vengono risolti con gli aggiornamenti, quindi è importante mantenerli aggiornati.
- Antivirus e Firewall: Utilizzare un antivirus e un firewall per proteggere il proprio computer da malware e attacchi esterni.
- Password Sicure: Utilizzare password sicure e diverse per ogni account. Evitare di utilizzare informazioni personali come date di nascita o nomi dei figli.
- Software di Sicurezza: Utilizzare software di sicurezza come i browser sicuri e i gestori di password robusti.
- Consapevolezza: Essere consapevoli delle minacce di sicurezza e delle tecniche utilizzate dagli attaccanti. Leggere le notizie di sicurezza e seguire le guide per la sicurezza.
- Backup dei Dati: Fare backup dei dati importanti regolarmente. In questo modo, anche se il computer viene compromesso, i dati non saranno persi.
- Educazione: Educarsi sulla sicurezza informatica. Ciò può aiutare a riconoscere e evitare attacchi.
Google Project Zero continua a svolgere un ruolo fondamentale nella sicurezza informatica, individuando e segnalando vulnerabilità zero-day e promuovendo la responsible disclosure. Gli utenti possono proteggersi dalle minacce di sicurezza seguendo alcuni semplici consigli e mantenendo la consapevolezza delle tecniche utilizzate dagli attaccanti. La continua ricerca e la documentazione pubblica delle vulnerabilità da parte di Project Zero aiutano a migliorare la sicurezza globale e a proteggere gli utenti dai rischi informatici.
Fonte: https://thehackernews.com/2025/01/google-project-zero-researcher-uncovers.htm
