Cos'è il Project Zero?
Fondato nel 2014, il Project Zero si dedica a:
Trovare vulnerabilità zero-day: Il team ricerca attivamente bug in vari software, inclusi sistemi operativi, browser web e altre applicazioni ampiamente utilizzate.
Segnalare le vulnerabilità ai fornitori: Una volta scoperta una vulnerabilità, il Project Zero la segnala al produttore del software, concedendo un periodo di tempo (generalmente 90 giorni) per rilasciare una patch.
Divulgazione pubblica: Se la vulnerabilità non viene corretta entro il termine stabilito, il Project Zero la divulga pubblicamente. Questa politica di divulgazione, a volte controversa, mira a fare pressione sui fornitori affinché risolvano rapidamente i problemi di sicurezza.
Deadline adherence and fix time 2019-2021, by bug report volume
Vendor | Total bugs | Fixed by day 90 | Fixed during | Exceeded deadline & grace period | Avg days to fix |
Apple | 84 | 73 (87%) | 7 (8%) | 4 (5%) | 69 |
Microsoft | 80 | 61 (76%) | 15 (19%) | 4 (5%) | 83 |
56 | 53 (95%) | 2 (4%) | 1 (2%) | 44 | |
Linux | 25 | 24 (96%) | 0 (0%) | 1 (4%) | 25 |
Adobe | 19 | 15 (79%) | 4 (21%) | 0 (0%) | 65 |
Mozilla | 10 | 9 (90%) | 1 (10%) | 0 (0%) | 46 |
Samsung | 10 | 8 (80%) | 2 (20%) | 0 (0%) | 72 |
Oracle | 7 | 3 (43%) | 0 (0%) | 4 (57%) | 109 |
Others* | 55 | 48 (87%) | 3 (5%) | 4 (7%) | 44 |
TOTAL | 346 | 294 (84%) | 34 (10%) | 18 (5%) | 61 |
Dati di Sicurezza e Sistemi Operativi
Il Project Zero ha pubblicato diverse analisi e dati relativi alla sicurezza dei sistemi operativi. Sebbene non esista un singolo database centralizzato che classifichi "il sistema operativo più sicuro", le ricerche del Project Zero forniscono informazioni preziose:
Complessità e Superficie di Attacco: I sistemi operativi più complessi tendono ad avere più vulnerabilità. Sistemi operativi con un codice base più ampio offrono più potenziali punti di ingresso per gli aggressori.
Frequenza delle Patch: La velocità con cui i fornitori rilasciano le patch è un fattore critico. I sistemi operativi che ricevono aggiornamenti di sicurezza regolari e tempestivi sono generalmente più sicuri.
Mitigazioni di Sicurezza: I sistemi operativi moderni includono varie mitigazioni per rendere più difficile lo sfruttamento delle vulnerabilità. Queste possono includere la randomizzazione del layout della memoria (ASLR) e la prevenzione dell'esecuzione dei dati (DEP).
Sistemi Operativi Mobili
Il Project Zero dedica anche una notevole attenzione ai sistemi operativi mobili, come Android e iOS. Questi sistemi operativi sono particolarmente importanti a causa della grande quantità di dati sensibili che conserviamo sui nostri smartphone.
Le ricerche del Project Zero hanno evidenziato diverse vulnerabilità nei sistemi operativi mobili nel corso degli anni. Alcuni punti chiave includono:
Vulnerabilità di esecuzione remota del codice: Queste vulnerabilità consentono a un aggressore di eseguire codice dannoso su un dispositivo da remoto, senza alcuna interazione da parte dell'utente.
Vulnerabilità nel kernel: Il kernel è il cuore del sistema operativo e le vulnerabilità in questa area possono avere gravi conseguenze.
App di terze parti: Anche le app di terze parti possono introdurre vulnerabilità nei sistemi operativi mobili.
Vendor | Total bugs | Avg fix time |
iOS | 76 | 70 |
Android (Samsung) | 10 | 72 |
Android (Pixel) | 6 | 72 |
Nessun commento:
Posta un commento