La seguridad es una prioridad para Google. Hemos invertido mucho en hacer que nuestros productos sean seguros, incluyendo una fuerte encriptación SSL predeterminada en las Búsquedas, Gmail y Drive, así como el cifrado de la información que se transmite entre nuestros centros de datos. Más allá de mantener seguros nuestros propios productos, algunos Googlers interesados en la seguridad también pasan parte de su tiempo investigando qué hacer para que el Internet sea más seguro, lo que conduce al descubrimiento de bugs o errores de seguridad como Heartbleed.
El éxito de esa investigación de medio tiempo nos ha llevado a crear un nuevo equipo llamado Project Zero.
Todos deberíamos ser capaces de utilizar la web sin temor a que un criminal o individuo apoyado por el Estado explote los errores de software para infectar nuestra computadora, robar nuestros secretos o monitorear las comunicaciones. Sin embargo, es común ver el uso de vulnerabilidades de "día cero" en sofisticados ataques dirigidos en contra de, por ejemplo, activistas de derechos humanos o para el espionaje industrial. Esto tiene que parar. Creemos que se puede hacer más para hacer frente a este problema.
Project Zero es nuestra forma de contribuir a dar inicio a todo esto. Nuestro objetivo es reducir significativamente el número de personas afectadas por los ataques dirigidos. Estamos contratando a los mejores investigadores de seguridad con mentalidad práctica y aportando el 100% de su tiempo a mejorar la seguridad a lo largo de Internet.
No estamos limitando este proyecto de ningún modo en particular y trabajaremos para mejorar la seguridad de cualquier software del que dependa un gran número de personas, prestando especial atención a las técnicas, objetivos y motivaciones de los atacantes. Usaremos métodos comunes, tales como localizar y reportar un gran número de vulnerabilidades. Además, vamos a llevar a cabo nuevas investigaciones acerca de la mitigación, explotación y análisis de programas, así como sobre cualquier otra cosa que nuestros investigadores consideren importante.
Nos comprometemos a hacer nuestro trabajo de manera transparente. Cada error que descubramos será archivado en una base de datos externa. Sólo reportaremos los errores a los proveedores del software y nunca a terceros. Una vez que el informe del fallo de seguridad se haga público (por lo general una vez que el parche está disponible), podrán ser capaces de monitorear el desempeño del proveedor en relación al tiempo de resolución del error, consultar cualquier discusión acerca de la posibilidad de explotación del error y ver el historial de fallas y el seguimiento de las mismas. También nos comprometemos a enviar informes de errores a los proveedores de software lo más cercano posible al tiempo real y a trabajar con ellos para hacer llegar las soluciones a los usuarios en un plazo de tiempo razonable.
Estamos contratando. Creemos que la mayoría de los investigadores de seguridad se dedican a esto porque aman lo que hacen. Lo que ofrecemos es un lugar para hacer lo que aman, pero de forma abierta y sin distracciones. También estaremos buscando la manera de involucrar a la comunidad en general, ampliando nuestras populares iniciativas de recompensa y notas de autores invitados. Conforme vayamos encontrando cosas particularmente interesantes, hablaremos de ellas en el blog de Project Zero, ¡los invitamos a seguirlo!
Por Chris Evans, Researcher Herder
El éxito de esa investigación de medio tiempo nos ha llevado a crear un nuevo equipo llamado Project Zero.
Todos deberíamos ser capaces de utilizar la web sin temor a que un criminal o individuo apoyado por el Estado explote los errores de software para infectar nuestra computadora, robar nuestros secretos o monitorear las comunicaciones. Sin embargo, es común ver el uso de vulnerabilidades de "día cero" en sofisticados ataques dirigidos en contra de, por ejemplo, activistas de derechos humanos o para el espionaje industrial. Esto tiene que parar. Creemos que se puede hacer más para hacer frente a este problema.
Project Zero es nuestra forma de contribuir a dar inicio a todo esto. Nuestro objetivo es reducir significativamente el número de personas afectadas por los ataques dirigidos. Estamos contratando a los mejores investigadores de seguridad con mentalidad práctica y aportando el 100% de su tiempo a mejorar la seguridad a lo largo de Internet.
No estamos limitando este proyecto de ningún modo en particular y trabajaremos para mejorar la seguridad de cualquier software del que dependa un gran número de personas, prestando especial atención a las técnicas, objetivos y motivaciones de los atacantes. Usaremos métodos comunes, tales como localizar y reportar un gran número de vulnerabilidades. Además, vamos a llevar a cabo nuevas investigaciones acerca de la mitigación, explotación y análisis de programas, así como sobre cualquier otra cosa que nuestros investigadores consideren importante.
Nos comprometemos a hacer nuestro trabajo de manera transparente. Cada error que descubramos será archivado en una base de datos externa. Sólo reportaremos los errores a los proveedores del software y nunca a terceros. Una vez que el informe del fallo de seguridad se haga público (por lo general una vez que el parche está disponible), podrán ser capaces de monitorear el desempeño del proveedor en relación al tiempo de resolución del error, consultar cualquier discusión acerca de la posibilidad de explotación del error y ver el historial de fallas y el seguimiento de las mismas. También nos comprometemos a enviar informes de errores a los proveedores de software lo más cercano posible al tiempo real y a trabajar con ellos para hacer llegar las soluciones a los usuarios en un plazo de tiempo razonable.
Estamos contratando. Creemos que la mayoría de los investigadores de seguridad se dedican a esto porque aman lo que hacen. Lo que ofrecemos es un lugar para hacer lo que aman, pero de forma abierta y sin distracciones. También estaremos buscando la manera de involucrar a la comunidad en general, ampliando nuestras populares iniciativas de recompensa y notas de autores invitados. Conforme vayamos encontrando cosas particularmente interesantes, hablaremos de ellas en el blog de Project Zero, ¡los invitamos a seguirlo!
Por Chris Evans, Researcher Herder