“Draft:פרויקט אפס”的意思、由来-开放百科全书

词条

Draft:פרויקט אפס

释义

הקדמה
היסטוריה
מציאת באגים ודיווח
חברי צוות ידועים
חברי צוות בעבר
תגליות מרכזיות של הצוות
References
פרויקט אפס

{{AFC submission|d|lang|Hebrew|u=Guylvy|ns=118|decliner=AngusWOOF|declinets=20190313190042|reason2=exists|details2=Project Zero|ts=20190313171829}}

הקדמה

פרויקט אפס ((Project Zero הוא שם של צוות אנליסטים מתחום האבטחה המועסקים על ידי Google, עליהם מוטלת המשימה למציאת נקודות תורפה המכונות "יום אפס" (zero-day). אלו באגים (בתוכנה) סודיים, המנוצלים על ידי פושעים, האקרים הפועלים בחסות מדינות וסוכנויות מודיעין. ההכרזה על הקמת צוות זה קרתה ב15 ליולי 2014.

היסטוריה

לאחר מציאת מספר רב של פגמים בתוכנה המשמשת את משתמשי הקצה (לקוחות) הרבים, בזמן שהאחרונים בכלל חיפשו בעיות אחרות , לדוגמה "Heartbleed" (פרצת אבטחה מפורסמת וחמורה שנמצאה בעקבות פעילות זו), Google החליטה להקים צוות במשרה מלאה, שיקדיש את זמנו למציאת פרצות כאלה, לא רק בתוכנות Google אלא גם בתוכנות של חברות אחרות להן משתמשים רבים. הפרויקט החדש הוכרז ב -15 ביולי 2014 בבלוג האבטחה של .Google בעוד שהרעיון לפרויקט זירו עלה עוד בשנת 2010, הקמתו התממשה בעקבות המגמה הגדולה יותר של יוזמת Google למאבק במעקב הגלובלי שמבצעים גורמים שונים בראשם הNSA (הסוכנות לביטחון לאומי של ארה"ב). המגמה גדלה בעקבות פועלו של אדוארד סנודן שחשף מסמכים המצביעים על מעקבים על אזרחי ארה"ב ועל אזרחים זרים. בראש הצוות עמד בעבר כריס אוונס, לשעבר ראש צוות האבטחה של גוגל כרום (דפדפן האינטרנט של גוגל), אשר לבסוף הצטרף לחברת טסלה מוטורס. חברים בולטים אחרים בצוות כוללים חוקרי אבטחה, כגון בן הוקס, איאן באר וטאביס אורמאנדי. הוקס הפך בסופו של דבר למנהל הצוות.

מציאת באגים ודיווח

באגים שמתגלים על ידי צוות פרויקט אפס מדווחים ליצרן והופכים גלויים לציבור לאחר שחרור תיקון מטעמו או אם עברו 90 יום ללא תיקון הבאג. מדיניות ה-90 יום היא הדרך של Google ליישם את סעיף האחריות לפיו יש לתת לחברות תוכנה 90 יום כדי לתקן בעיה מסוימת ולאחר מכן מודיעים עלייה לציבור כך שהמשתמשים עצמם יוכלו לנקוט בצעדים הדרושים כדי למנוע התקפות. ישנם מקרים בהם הקבוצה חושפת פגמים עוד לפני שניתן לשחרר עדכונים ותיקונים, מה שמשאיר את המשתמשים במערכת במצב פגיע.

חברי צוות ידועים

בן הוקס
טאביס אורמאנדי
איאן ביר
יאן הורן

חברי צוות בעבר

גורג' הוץ
כריס אוונס
מאט טאיט
סטיבן ויטיטו

תגליות מרכזיות של הצוות

אחד הדו"חות הראשונים של פרויקט אפס שמשך תשומת לב כלל פגם שאפשר להאקרים להשתלט על תוכנות המפעילות את דפדפן Safari(במכשירי IPHONE) .על המאמצים של הצוות בנושא זה התקבלה הכרת תודה מצד חברת "אפל".

ב -30 בספטמבר 2014, Google זיהתה פגם אבטחה במסגרת קריאת המערכת - "NtApphelpCacheControl", של Windows 8.1 המאפשרת למשתמש רגיל לקבל גישת מנהל מערכת. מיקרוסופט קיבלה הודעה על הבעיה באופן מידי, אך לא פתרה את הבעיה בתוך 90 יום, ופירוש הדבר שהמידע על הבאג נעשה זמין לציבור ב -29 בדצמבר 2014. שחרור הבאג לציבור עורר תגובה מצד מיקרוסופט לפיה נאמר כי הם עובדים על הבעיה.

ב -19 בפברואר 2017 גילתה Google פגם של חברת Cloudflare, אשר גרם לשרתי הקצה שלהם לחרוג מטווחי הזיכרון לתוך מאגר שהכיל מידע פרטי, כגון קובצי cookie (מעין היסטוריית גלישה), מחרוזות אימות (סיסמאות), ומידע רגיש אחר. חלק מהנתונים הללו הועברו לזיכרון המטמון של מחשבי המשתמשים על ידי מנועי החיפוש. חבר בצוות פרויקט אפס התייחס לליקוי זה כ- Cloudbleed (רמיזה ל"Heartbleed").

ב -27 במרץ 2017 טאויס אורמאנדי, חבר בצוות פרויקט אפס, גילה פרצות בתוכנת ניהול הסיסמאות הפופולרית - LastPass. ב -31 במארס 2017, הודיעה LastPass שהם תיקנו את הבעיה.

פרויקט אפס היה מעורב בגילוי הבאגים הידועים בשם Meltdown ו- Specter שהשפיעו על מעבדים מודרניים רבים והתגלו באמצע 2017 ופורסמו בתחילת ינואר 2018. הסוגיה התגלתה על ידי יאן הורן באופן עצמאי ולאחר שהחוקרים האחרים דיווחו לו על באגים אלו הוקדם תאריך פרסום הבאגים מה-9 בינואר 2018 בשל הספקולציות שגברו בנושא.

References

פרויקט אפס

随便看

开放百科全书收录14589846条英语、德语、日语等多语种百科知识，基本涵盖了大多数领域的百科知识，是一部内容自由、开放的电子版国际百科全书。