شکارچیان باگ؛ هرآنچه باید درباره «پروژه زیرو» گوگل و دستاوردهای آن بدانید

در دنیای فناوری آسیب‌پذیری‌های زیادی وجود دارند که هکرها با سوءاستفاده از آن‌ها می‌توانند امنیت کاربران و داده‌های آن‌ها را در معرض خطر قرار دهند. در این میان گوگل با «پروژه زیرو» (Project Zero) به دنبال کشف آسیب‌پذیری‌ها در محصولات خود و کمپانی‌های دیگر است. در این مقاله می‌خواهیم نگاه دقیق‌تری به عملکرد این پروژه و همچنین کشف‌های مهم این تیم تا به امروز داشته باشیم.

وجود آسیب‌پذیری در یک نرم افزار یا سخت افزار می‌تواند مشکلات زیادی ایجاد کند و هکرها با سوءاستفاده از آن‌ها به داده‌های کاربران دست پیدا کنند. در همین راستا گوگل تصمیم گرفت چندین سال پیش تیمی برای کشف این باگ‌ها تشکیل دهد.

شکل‌گیری پروژه زیرو

سال ۲۰۰۷ بود که یک نوجوان ۱۷ ساله به نام «جرج هاتز» تبدیل به اولین هکری شد که توانست قفل AT&T روی آیفون را بشکند. کمپانی‌ها توجه چندانی به هاتز نداشتند و تنها به دنبال رفع باگ‌هایی بودند که او کشف می‌کرد. هاتز حتی توانست با مهندسی معکوس، پلی استیشن ۳ را هک کند و با شکایت سونی مواجه شود، اما این پرونده با موافقت هاتز مبنی بر عدم هک محصولات سونی به پایان رسید.

با وجود چنین موضوعی، هاتز همچنان به فعالیت‌های خود در زمینه امنیت ادامه داد و توانست در سال ۲۰۱۴ سیستم دفاعی سیستم عامل کروم را دور بزند. گوگل در مواجه با هاتز، عملکرد متفاوتی نسبت به سونی داشت و بجای شکایت، به این هکر برای کمک به رفع این نقص امنیتی ۱۵۰ هزار دلار جایزه پرداخت کرد.

دو ماه پس از پرداخت این جایزه، یکی از مهندسان امنیتی گوگل به نام «کریس ایوانز» یک ایمیل به همراه پیشنهادی برای هاتز ارسال کرد. ایوانز به هاتز پیشنهاد کرده بود که به یک تیم نخبه از هکرها با حقوق کامل ملحق شود و آسیب‌پذیری‌های امنیتی در تمام نرم افزارهای محبوب که با اینترنت در ارتباط هستند را کشف کند.

در تیم پروژه زیرو کارشناسان امنیتی نخبه حضور دارند

گوگل در اواسط ۲۰۱۴ وجود چنین تیمی را عمومی کرد که گروهی متشکل از محققان امنیتی برتر گوگل می‌شود. این تیم تنها یک هدف دارد: ردیابی و خنثی‌سازی مهم‌ترین و خطرناکترین نقص‌های امنیتی در دنیای فناوری. در حقیقت گوگل این آسیب‌پذیری‌ را شناسایی و اعلام می‌کند تا شرکت‌ها از وجود آن‌ها اطلاع داشته باشند و پیش از اینکه هکرها بتوانند از آن‌ها سوءاستفاده کنند، رفع شوند.

ایوانز در زمان شکل‌گیری این تیم گفته بود:

«مردم حق دارند بدون ترس از اینکه آسیب‌پذیری‌ها می‌توانند حریم خصوصی آن‌ها را زیرسوال ببرند، از اینترنت استفاده کنند. ما می‌خواهیم روی آسیب‌پذیری‌های مهم تمرکز کنیم و آن‌ها را از بین ببریم.»

در تیم پروژه زیرو گوگل محققان امنیتی برتر زیادی حضور دارند که البته برخی از آن‌ها در گذر زمان از تیم جدا شده‌اند. تا به امروز این گروه توانسته باگ‌ها و آسیب‌پذیری‌های زیادی را کشف کند.

سیاست‌های تیم پروژه زیرو

تیم Project Zero گوگل پس از کشف یک باگ، آن را بدون سر و صدا به شرکت سازنده اطلاع می‌دهد و آن‌ها باید تا ۹۰ روز این مشکل را برطرف کنند. در صورتی که این کمپانی نتواند آسیب‌پذیری را در مدت ۹۰ روز رفع کند، تیم پروژه زیرو به صورت خودکار اطلاعات مربوط به آن را در اختیار عموم قرار می‌دهد.

این تیم در کنار انتشار اطلاعات درباره این آسیب‌پذیری، یک کد حمله نمونه را هم منتشر می‌کند. در حالی که شاید در ابتدا این مدت زمان کوتاه به نظر برسد، اما باعث می‌شود شرکت‌ها پیش از اینکه هکرها از یک باگ اطلاع پیدا کنند و با سوءاستفاده از آن امنیت کاربران زیادی به خطر بیندازند، آن را برطرف می‌کنند.

تیم پروژه زیرو تنها ۹۰ روز به شرکت‌ها برای رفع باگ فرصت می‌دهد

با وجود اینکه گوگل با تیم خود به نفع امنیت کاربران کار می‌کند، منتقدانی هم دارد. برخی به این موضوع اشاره می‌کنند که چرا سیاست ۹۰ روز برای محصولات شرکت‌های ثالث درنظر گرفته شده و اینکه آیا سرعت آن‌ها در کشف آسیب‌پذیری‌های گوگل با کمپانی دیگر یکسان است یا خیر.

این احتمال وجود دارد که برخی شرکت‌ها هم با سیاست‌های گوگل درباره این تیم موافق نباشند، اما اگر کاربران آن‌ها در معرض خطر قرار بگیرند با مشکلات بسیار بیشتری مواجه می‌شوند. در صورتی که مشخص شود هکرها به محصولات یک کمپانی حمله کرده‌اند و داده‌های کاربران را سرقت کرده‌اند، با آسیب‌های مالی زیادی مواجه می‌شود و اعتبارش هم زیرسوال می‌رود. بنابراین گوگل سیاست‌های قابل قبولی را در پیش گرفته است.

تجربه کار در پروژه زیرو از زبان یکی از اعضا

محققان زیادی در تیم پروژه زیرو گوگل حضور دارند که یکی از آن‌ها، «مدی استون» نام دارد. استون به همراه دیگر اعضای این تیم مشغول کشف مهم‌ترین و خطرناکترین نقص‌های امنیتی و آسیب‌پذیری‌ها به خصوص در محصولات کمپانی‌های دیگر است.

استون در مسیر شغلی خود با سختی‌های زیادی مواجه شده و اولین کار آن مربوط به آزمایشگاه فیزیک دانشگاه «جانز هاپکینز» می‌شود. استون سال ۲۰۱۹ به تیم پروژه زیرو اضافه شد، البته قبل از آن دو سال در تیم امنیت اندروید مشغول به فعالیت بود. استون به علت مهارت‌های خود در مهندسی معکوس نرم افزار و سخت افزار مورد توجه گوگل قرار گرفت و شروع به فعالیت در این غول جستجوی اینترنتی کرد.

استون در زمان فعالیت در بخش اندروید، رهبری تیمی را برعهده گرفت که یک بدافزار اندروید مورد استفاده مجرمان و هکرهای مورد حمایت دولت‌ها را بررسی و خنثی می‌کرد. کار این تیم روی میلیاردها دستگاه اندرویدی تاثیر داشت.

استون و همکارانش ۱۸ ماه برای مبارزه با یک سازنده بات‌نت وقت صرف کردند. این بات‌نت به دنبال آلوده کردن دستگاه‌های مختلف بود. تجربه‌های زیاد او درباره اندروید و همچنین تصمیم پروژه زیرو مبنی بر گسترش فعالیت‌ها، باعث شد استون به این تیم اضافه شود.

بن هاوکس که مدیریت پروژه زیرو را برعهده دارد، درباره آن می‌گوید:

«موضوع اصلی این است که ما در حال کار درباره یک مشکل تئوری نیستیم و با مشکلاتی سروکار داریم که روی افراد واقعی تاثیر می‌گذارند. این مشکلات به مردم و جامعه آسیب می‌زنند. همین موضوع باعث شد یک نقش هیبریدی درون این پروژه ایجاد کنیم.»

استون با این تفکر به تیم اضافه شد که بتواند نحوه رفتار مهاجمان را با مهندسی معکوس تشخیص دهد. در حقیقت استون می‌تواند به تیم نشان دهد که چرا برخی آسیب‌پذیری‌ها برای مهاجمان ارزش بالاتری دارند و چگونه می‌توان کاری کرد که استفاده از این باگ‌ها دشوارتر و همچنین هزینه‌بر شوند.

استون برای کشف آسیب‌پذیری‌ها از مهندسی معکوس استفاده می‌کند

در اولین سال فعالیت در پروژه زیرو، استون نقص‌های امنیتی زیادی را برای پی بردن به موارد مختلف مورد بررسی قرار داد. استون می‌خواست بداند این باگ‌ها چگونه کار می‌کنند، تکنیک‌های مورد استفاده برای آن‌ها جدید هستند یا میان هکرها محبوبیت دارند، مهاجمان برای کشف اولیه یک باگ از چه ابزارهایی استفاده می‌کنند و آیا بهبودهای ساختاری در یک نرم افزار می‌تواند ساخت اکسپلویت‌ها را دشوارتر کند یا خیر.

استون گفته:

«مواردی را پیدا کرده‌ایم که چندان انتظارشان را نداشتیم. نتیجه‌گیری نهایی من این است که هنوز اطلاعات کافی برای انجام این کار به سبک موردنظرمان نداریم.»

کشف یک آسیب‌پذیری خطرناک در اندروید

در اولین هفته‌های حضور استون در پروژه زیرو در اواخر تابستان ۲۰۱۹، چندین تیم امنیتی گوگل به گزارش‌های محققان خارج از این کمپانی درباره سوءاستفاده هکرها از یک آسیب‌پذیری ناشناخته اندروید دست پیدا کرده بودند. شواهد بدست آمده مربوط به گروه اسرائیلی «NSO» یا مشتریان آن می‌شد که ظاهرا از این باگ برای نفوذ به دستگاه قربانیان با جاسوس‌افزار «پگاسوس» استفاده می‌کردند.

اولین وظیفه استون مشخص شد: کشف این باگ. اطلاعاتی که در اختیار گوگل قرار داشتند، کامل نبودند اما حاوی جزئیاتی از حملات بود که می‌شد از آن‌ها به عنوان سرنخ برای کشف این آسیب‌پذیری استفاده کرد. این باگ باعث می‌شد مهاجمان از طریق یک نقص در سیستم مدیریت مموری، کرنل یا هسته سیستم عامل را دستکاری کنند و کنترل دستگاه را در دست بگیرند. علاوه بر این یک مهاجم می‌توانست درون برنامه محافظت کروم به نام «سندباکس» که برای جلوگیری از چنین حملاتی طراحی شده بود هم از این باگ سوءاستفاده کند.

استون در هفته‌‌های اول حضور در تیم پروژه زیرو، یک باگ مهم را در اندروید کشف کرد

استون کار خود را مانند یک هکر شروع کرد و به دنبال ضعفی بود که بتوان از آن برای چنین حمله‌ای استفاده کرد. در آن زمان استون فشار زیادی را برای به نتیجه رساندن کارها تجربه می‌کرد اما به لطف تجربه زیاد در تیم امنیتی اندروید و همچنین همکاری مناسب با دیگر اعضای پروژه زیرو، تنها در چندین هفته توانست چنین آسیب‌پذیری را کشف کند.

این آسیب‌پذیری به اندازه‌ای جدی بود که تیم پروژه زیرو تصمیم گرفت به سازنده آن یعنی گوگل تنها ۷ روز فرصت برطرف کردن آن را بدهد. در حقیقت بجای ۹۰ روز، این تیم قصد داشت پس از ۷ روز اطلاعات را بطور عمومی منتشر کند.

مهم‌ترین کشف‌های تیم پروژه زیرو

تیم پروژه زیرو از روز شکل‌گیری تا به امروز دست به کشف‌های مهم زیادی زده و توانسته آسیب‌‎پذیری‌های حیاتی زیادی را شناسایی کند و به شرکت‌های مختلف از گوگل گرفته تا مایکروسافت اطلاع دهد.

در اواخر ۲۰۱۴ تیم پروژه زیرو توانست یک نقص امنیتی در یک سیستم ویندوز ۸.۱ به نام «NtApphelpCacheControl» را کشف کند که به کاربر عادی اجازه دسترسی اداری می‌دهد. این باگ به مایکروسافت گزارش شد اما این کمپانی در مدت ۹۰ روز آن را برطرف نکرد و در واپسین روزهای ۲۰۱۴، اطلاعات مربوط به آن بطور عمومی منتشر شد. انتشار این اطلاعات واکنش مایکروسافت را در پی داشت و از تلاش برای رفع آن خبر داد.

در اوایل سال ۲۰۱۷ تیم گوگل یک نقص در پروکسی‌های معکوس «کلادفلر» شناسایی کرد که امکان دسترسی به داده‌های حساس را فراهم می‌کرد. این نقص امنیتی که با نام «Cloudbleed» شناخته می‌شود، باعث افشای اطلاعات مشتریان کلادفلر و انتقال آن‌ها به حافظه سرور مشتری دیگر این کمپانی می‌شد.

در مارس ۲۰۱۷ یکی از اعضای گروه امنیتی گوگل به نام «تاویس اورماندی» موفق به کشف یک آسیب‌پذیری در برنامه محبوب مدیریت پسورد «LastPass» شد. این برنامه در کمتر از یک هفته این باگ را برطرف کرد.

این تیم نزدیک به دو سال پیش توانست یک شکاف امنیتی بسیار مهم در هسته سیستم عامل مک او اس شناسایی کند که هکرها می‌توانستند بدون اطلاع کاربران، ایمیج فایل سیستمی را تغییر دهند. گوگل اطلاعات مربوط به این باگ را ۹۰ روز پس از اطلاع به اپل منتشر کرد.

یکی دیگر از کشف‌های مهم این تیم که مربوط به اوایل تابستان سال گذشته می‌شود، در اپ iMessage اپل وجود داشت که هکرها با سوءاستفاده از آن می‌توانستند آیفون را از کار بیندازند. اپل این مشکل را در کمتر از ۹۰ روز و پس از انتشار بروزرسانی iOS 12.3 برطرف کرد. با رفع این باگ، جزئیات آن در اختیار عموم قرار گرفت.

چندین ماه پیش تیم پروژه زیرو گوگل از کشف آسیب‌پذیری روز صفر در ویندوز خبر داد که در آن زمان هکرها در حال سوءاستفاده از آن بودند. مهاجمان با استفاده از آسیب‌پذیری روز صفر کروم کدهای مخرب را درون مرورگر اجرا کرده و سپس از آسیب‌پذیری ویندوز برای مرحله بعدی حمله خود استفاده می‌کردند. گوگل به مایکروسافت برای رفع این مشکل تنها ۷روز فرصت داده بود و به علت عدم رفع آن در چنین زمانی، جرئیات آن منتشر شد.

یکی از جدیدترین کشف‌های تیم امنیتی Project Zero گوگل مربوط به چند هفته پیش می‌شود. این باگ خطرناک به پردازشگرهای گرافیکی آدرنو کوالکام مربوط می‌شود و چون این کمپانی نتوانست آن را در مدت ۹۰ روز برطرف کند، گوگل جرئیات آن را منتشر کرد. اگرچه سوءاستفاده از این آسیب‌پذیری پیچیده است، اما گوگل جزئیات آن را منتشر کرد و کوالکام هم توانسته آن را رفع کند و با سازندگان مختلف صحبت کند. احتمالا در ژانویه ۲۰۲۱ این مشکل برطرف می‌شود.

در نهایت باید به یک آسیب‌پذیری خطرناک در ویندوز اشاره کنیم که تیم پروژه زیرو کمتر از یک هفته پیش جزئیات آن را منتشر کرد. محققان امنیتی گوگل این باگ را به مایکروسافت گزارش کردند اما این شرکت تلاشی برای رفع آن نکرد و پس از ۹۰ روز جزئیات مربوط به آن بطور عمومی منتشر شد. انتظار می‌رود مایکروسافت با ارائه پچ در ژانویه ۲۰۲۱، این مشکل را برطرف کند.

تیم پروژه زیرو گوگل ماموریت مهمی دارد و اعضای آن روزانه به دنبال کشف آسیب‌پذیری‌‎های مختلف هستند. محققان نخبه این گروه سال آینده میلادی هم باگ‌های زیادی را شناسایی خواهند کرد و امنیت محصولات شرکت‌ها را برای کاربران افزایش می‌دهند.