Project Zero: Google stellt Team an Elite-Hackern vor 

15. Juli 2014, 15:33
22 Postings

Suchmaschinenkonzern will auch Bugs bei Software anderer Unternehmen aufdecken und so Zero-Day-Exploit durch Geheimdienste verhindern

Google hat am Dienstag sein "Project Zero“-Team vorgestellt: Es handelt sich um eine Gruppe hochtalentierter Hacker, die im Auftrag des Suchmaschinenkonzerns auf die Jagd nach sogenannten Zero-Day-Vulnerabilities gehen soll. Die IT-Sicherheitskräfte sollen sich dabei nicht nur auf Google-eigene Produkte konzentrieren, sondern auch Anwendungen anderer Hersteller unter die Lupe nehmen.

Auch Software anderer Hersteller

Projekt Zero sei laut dessen Leiter Chris Evans "hauptsächlich altruistisch“ angelegt. Evans, der davor für die Sicherheit von Googles Chrome-Browser verantwortlich war, möchte mit der Initiative das Vertrauen ins Internet stärken. Gleichzeitig dient Project Zero wohl als Recruitment-Werkzeug für Google, spekuliert Wired, durch das junge Hacker an den IT-Giganten gebunden werden.

IT-Wunderkind

So arbeitet auch das sogenannte "IT-Wunderkind“ George Hotz bei Project Zero mit, offiziell als Praktikant. Hotz erlangte Berühmtheit, da er als erster Hacker 2007 ein von AT&T gesperrtes iPhone knacken konnte. Später wurde er von Sony verklagt, da er die PlayStation 3 hacken konnte. Google reagierte anders: Der Suchmaschinenkonzern belohnte Hotz für das Auffinden eines Bugs mit 150.000 Dollar und stellte ihn ein.

Creme de la Creme

Andere Teammitglieder: Ben Hawkes, der 2013 Bugs in Microsoft Office und Adobe Flash aufgedeckt hatte; Tavis Ormandy, Spezialist für Anti-Virensoftware oder Ian Beer, der Sicherheitslücken bei Apples Betriebssystemen iOS und OS X sowie im Browser Safari entdeckt hatte.

Frist für Hersteller

Project Zero soll nach folgendem Prinzip vorgehen: Wird eine Lücke entdeckt, informiert Google den jeweiligen Hersteller und setzt ihm eine Frist von 60 Tagen, innerhalb derer ein Bugfix folgen muss. Passiert das nicht, macht Google seine Entdeckung publik. Bei Software, die bereits aktiv attackiert wird, soll der Zeitrahmen bedeutend kürzer sein.

"Fuck these Guys"

Die Initiative ist als direkte Reaktion Googles auf die NSA-Affäre zu sehen. Bereits bei der Heartbleed-Sicherheitslücke war diskutiert worden, inwiefern Geheimdienste Zero-Day-Vulnarabilities ausnutzen, ohne Hersteller zu informieren. Ex-NSA-Chef Keith Alexander verteidigte das Vorgehen später öffentlich.

Solchem Verhalten will Googles Team ein Ende setzen. Der Suchmaschinenkonzern war über die Enthüllungen schon lange verärgert, legendär ist etwa der Blogeintrag eines Google-Ingenieurs über die NSA, in denen er für den Geheimdienst bloß den Kommentar "Fuck these Guys“ übrig hatte.

Strich durch Rechnung der NSA

Googles Hacker sollen sich bei der Suche nach Sicherheitslücken dabei in den Kopf von NSA-Mitarbeitern versetzen und strategisch Software unter die Lupe nehmen, die Geheimdienste gerne knacken würden – um ihnen dann einen Strich durch die Rechnung machen. "Die Zeit ist reif“, so Teamleiter Evans, "um Zero-Day-Events den Garaus zu machen.“ (fsc, derStandard.at, 15.7.2014)

  • Google will eigene Kunden schützen - kann das aber nur, wenn auch Bugs in fremder Software aufgedeckt werden
    foto: epa/google

    Google will eigene Kunden schützen - kann das aber nur, wenn auch Bugs in fremder Software aufgedeckt werden

Share if you care.