Google Project Zero, las fuerzas de élite de Internet

Por: André Gustavo Stumpf

Project Zero es el equipo que ha formado Google para conseguir una Internet más segura. Descubre qué es, quién lo integra y cuál es su filosofía de trabajo

Desde hace un tiempo se viene hablando de Project Zero, una división de Google formada por un grupo de analistas de seguridad cuya función es la de encontrar puntos débiles en software. De reciente creación, puesto que se puso en marcha de manera oficial el 15 de julio de 2014, se ha dado a conocer publicando vulnerabilidades de OS X y Windows.

El arma de Google a la caza del bug

En origen en la formación de este grupo de expertos tuvo que ver una gota que colmó el vaso: Heartbleed. A raíz de este descubrimiento (aunque también de otros como Poodle, NSA, ShellShock…) Google decidió contar con un equipo que fuera capaz de auditar la seguridad de todo tipo de software, no sólo del propio.

Este grupo, por tanto, trabaja en busca de todo tipo de bugs que puedan suponer problemas críticos de seguridad para los usuarios, sin importar si hablamos de software libre o propietario y, por descontado, sin importar si se trata de colosos como Apple o Microsoft.

¿Qué política sigue?

En teoría la razón por la que se forma este grupo es la de crear una Internet más segura, por ello en cuanto se detecta un bug los primeros en ser alertados son los propios desarrolladores. La intención es que sean estos los que puedan parchear el error y nisiquiera salga publicado, pero… ¿qué pasa si no se le pone remedio?

En Project Zero se ha considerado adecuado dejar 90 días de plazo al responsable del software desde el mismo día que se le comunica el problema. Pasado ese tiempo, si no ha sido solucionado, lo hace público para que sean los propios usuarios los que tomen las medidas oportunas si lo consideran adecuado.

¿Quién lo forma?

El equipo de Project Zero no está integrado por lo que mucha gente podría pensar. Es decir, programadores e investigadores en el campo de la seguridad informática al uso. Salvo el jefe del equipo, Chris Evans, que ya formaba parte de Google, el resto de miembros han sido reclutados por éste. Y por cierto, sigue buscando candidatos:

 

Su procedencia es obvia: ¿quién mejor para auditar la seguridad del software sino aquellos que viven para quebrantarla? Efectivamente, sus miembros son conocidos por haberse dedicado de forma autodidacta y desinteresada a ver hasta dónde pueden llegar sus conocimientos en programación sobrepasando las limitaciones que otros tratan de imponer. En otras palabras, son hackers.

Sin embargo proceden de lo que se llama White Hat Hacking, o lo que es lo mismo, un hacking ético. Aunque en la mayor parte de los casos les motiva el ego, sus logros penetrando en sistemas ajenos son comunicados a los responsables de estos, ayudándoles así a solucionar los fallos en seguridad que han conseguido aprovechar.

Es lógico por tanto que Google se haya rodeado de este perfil de programador… ahora bien, como se suele decir: son todos los que están, pero no sabemos si están todos los que son. Entendemos que se haya hecho público aquellos cuya presencia es de dominio público pero, dado el tipo de mundo que es el de los hackers, es posible que haya miembros formando parte del equipo en el más absoluto anonimato.

Te contamos quienes son aquellos cuya presencia sí se conoce… algunos de ellos tienen curiosas historias detrás de ellos y, lo cierto, es que de otros se sabe poco más que su nombre.

Chris Evans

El grupo está comandado por el que fuera director de seguridad del equipo que desarrolla Google Chrome. Éste lleva a sus espaldas una dilatada carrera profesional en Google, y cuenta en su haber con un buen número de descubrimientos de bugs y problemas de seguridad. Su historial se remonta a 1997 y, al menos hasta 2009, puede ser consultado en una de sus páginas personales.

Chris Evans, director de Google Project ZeroFotografía propiedad de Hack In The Box y usada con su permiso

Aunque se define como troublemaker, aclara que todos los fallos de seguridad encontrados no han sido aprovechados en beneficio propio y, de hecho, se ha informado al interesado.

Ben Hawkes

Este neozelandés es famoso poro haber descubierto un buen número de problemas de seguridad en Adobe Flash y Microsoft Office.

También ha participado en concursos organizados por Google retando a usuarios a descubrir qué problemas de seguridad pueden encontrarse en sus productos.

George Hotz

Con sólo 17 años Hotz, este estadounidense conocido en el mundo del hackeo geohot, se hizo popular en 2007 por ser la primera persona en desbloquear un iPhone vinculado a la compañía de telecomunicaciones AT&T. Aunque Apple lo ignoró oficialmente, solucionó todos los problemas que las habilidades de este joven revelaron.

También se enfrentó a una demanda por parte de Sony al crackear PlayStation 3. Esta demanda fue retirada gracias al acuerdo al que llegó con la empresa japonesa para no volver a alterar de esa manera las condiciones de uso de sus productos. Cosa que no pareció importarle demasiado a tenor de este rap…

Hotz también puso en su mira a Google y descubrió importantes errores en seguridad de Chrome. En agradecimiento el buscador le recompensó con 150.000$ y, dos meses después, Chris Evans estaba llamando a su puerta para que se uniese a Project Zero.

Tavis Ormandy

En el curriculum de este inglés se encuentra el descubrimiento de vulnerabilidades en el antivirus Sopho, Libtiff y Windows.

Tavis Ormandy, uno de los miembros de Google Project ZeroFotografía propiedad de Hack In The Box y usada con su permiso

También la creación de un exploit que demostraba como un bug descubierto en 2005 podía ser usado para obtener acceso root a un ordenador que corriese con la distribución Fedora de Linux.

Ian Beer

Otro inglés que reside en Suiza, es conocido por haber informado de varios bugs encontrados en OS X, iOS y Safari.

James Forshaw

Su experiencia incluye la identificación de distintos errores y problemas de seguridad en todo tipo de software, desde navegadores web a máquinas virtuales.

Forshaw forma parte de Project ZeroFotografía propiedad de Hack In The Box y usada con su permiso

¿Cómo trabaja?

Aunque la sede de Google se encuentra en Mountain View, la mayor parte de ellos no se encuentra allí. Utilizan herramientas para cazar fallos que van desde la propia intuición personal basada en sus conocimientos y experiencias, hasta el uso de software automatizado que se encarga de localizar fallos en distinto tipo de software a fin de encontrar errores potencialmente peligrosos.

¿Qué gana Google con todo esto?

La principal, y supuestamente única, es obvia: los productos de Google no son totalmente independientes sino que más bien su funcionamiento en aspectos de seguridad en muchos casos dependen de terceros. Así pues, una brecha de seguridad en Windows, OS X o Linux les puede perjudicar. Una Internet más segura, como ellos defienden, en última instancia les beneficia.

Pero por otro lado hay quien sospecha que la verdadera intención de Project Zero es atacar a sus competidores. Y es que las últimas polémicas generadas con Apple y Microsoft han levantado bastantes suspicacias, llevando a cuestionar los objetivos declarados de Google.