Project Zero è diventato molto popolare nel famoso caso, delle vulnerabilità delle Cpu. Cosa fa esattamente questo team speciale di Google? Perché è stato creato dal motore di ricerca più grande al Mondo?
Il team di analisti informatici all’interno di Google, che si occupa di sicurezza informatica, è stato reso pubblico nel Luglio del 2014. In realtà il Project Zero non si è mai saputo da quanto tempo operasse nell’individuazione delle vulnerabilità zero-day.
Alcuni analisti sono concordi nell’affermare che questo team fosse già operativo sin dal 2010, dopo lo scandalo dell’analista CIA Snowden, per contrastare le operazioni di sorveglianza dei servizi segreti statunitensi NSA e comunque per proteggere gli utenti che utilizzano i numerosi servizi Google.
Il primo capo-team è stato Chris Evans, che era poi il responsabile della sicurezza del browser Chrome, in seguito al sua passaggio a Tesla si sono succeduti Ben Hawkes, Tavis Ormandy, Ian Beer ed altri.
Leggi anche: la storia di Google come è nato
Project Zero, quando individua una vulnerabilità, informa prima i produttori di quel determinato software e rende pubbliche le proprie ricerche solo dopo che la patch di sicurezza viene pubblicata. Nel caso, però, che i produttori del software vulnerabile non rispondano o non trovino una soluzione, il team di Google rende comunque pubblico il problema 90 giorni dopo.
Gravi problemi in Windows 8.1 furono identificati dai ricercatori di Google a fine Settembre del 2014, un bug consentiva all’attaccante di prendere i privilegi di amministratore. Microsoft non riuscì a rilasciare un fix di sicurezza nei tempi dichiarati e il team, dopo 90 giorni, rese pubblica la vulnerabilità, a tutela comunque degli utenti stessi.
Molto grave anche il problema che fu identificato nel gestore di password LastPass, in questo caso i produttori del software riuscirono a chiudere la falla in appena 4 giorni.
Ben più clamorosa, invece, è stata la scoperta delle vulnerabilità Meltdown e Spectre, ancor oggi è difficile trovare una soluzione anche se Google afferma di aver aggiornato i propri server con una patch funzionante.
