Google está reclutando a un equipo de expertos en seguridad informática dedicados a la identificación de vulnerabilidades susceptibles de facilitar ‘ataques de Día Cero’ en las principales herramientas usadas por los internautas (por ejemplo los principales navegadores web). Dicho tipo de ataques son aquellos que se realizan aprovechando vulnerabilidades aún desconocidas por los usuarios y los proveedores de software y para las que, por tanto, no se dispone aún de parche o actualización que la solvente. Es el tipo de ataque preferido por los crackers, por su potencial peligrosidad. Lo que Google pretende con esta iniciativa (bautizada ‘Project Zero’) es, precisamente, anticiparse a la labor de los crackers y hallar las vulnerabilidades antes de que sean explotadas.
“Debes ser capaz de utilizar la WWW sin el temor de un criminal o una agencia estatal infecte tu computadora, robe tus secretos o monitorice tus comunicaciones [...]. Hemos podido comprobar el uso de los ataques de Día Cero para atacar -por ejemplo- a activistas de derechos humanos, o para llevar a cabo espionaje industrial. Esto tiene que acabar.” explicaba en el blog corporativo Chris Evans, autor del software para Linux vsftpd y responsable de seguridad de Google que encabezará el Proyect Zero.
Esta iniciativa de Google no es exactamente innovadora, pues ya existen toda una industria (en la que destacan compañías como la francesa VUPEN y la estadounidense Endgame) dedicada a la detección de ataques de Día Cero. Sin embargo, donde éstas vendían por altas sumas sus descubrimientos (especialmente a agencias gubernamentales y fuerzas de seguridad), Google tiene previsto trabajar codo con codo con los proveedores del software afectado para desarrollar el pertinente parche, y posteriormente publicar los detalles de la vulnerabilidad en una base de datos abierta. Google lo tiene claro: si sólo unos pocos están informados de la existencia de la vulnerabilidad, los demás estamos indefensos si deciden explotarla.
Google recogerá y estudiará también reportes de vulnerabilidades realizadas por personas ajenas al Project Zero (aunque señala que éstas no recibirán recompensas por ello), y aclaran que evaluarán todo tipo de software, priorizando aquel que sea usado por más gente.
Los miembros del Dream Team
Uno de los miembros de este Dream Team de la seguridad será George Hotz, el hacker conocido como GeoHot y que saltó a la fama por ser el primero que consiguió liberar un iPhone (en 2007) y por su batalla legal con Sony por haber desarrollado un sistema para piratear la Play Station 3. Hotz entró en contacto con Google tras participar en el 4º evento Pwnium que el gigante de Mountain View organizó para encontrar vulnerabilidades en los HP Chromebook 11: no sólo ganó 150.000 dólares tras localizar un exploit crítico, sino que llamó la atención de Chris Evans, que le ofreció participar en este proyecto.
Hotz está acompañado por otros hackers veteranos en el campo de la detección de vulnerabilidades, como Tavis Ormandy (uno de los más prolíficos del sector: ha reportado vulnerabilidades relevantes en varios antivirus o en las últimas versiones de Windows), Ben Hawkes (el año pasado reportó vulnerabilidades en Adobe Flash y Microsoft Offivce) o Brit Ian Beer (especialista en software de Apple: OSX, iOS, Safari, etc.).
Imagen | Wikimedia
from TICbeat http://ift.tt/1mmTefp
