美國知名科技媒體《連線》長期撰稿人安迪-格林伯格(Andy Greenberg)日前撰文對 谷歌( 微博)內部的秘密安全團隊“Project Zero”進行了詳細披露。格林伯格表示,這支團隊的成員幾乎都是全球頂級的互聯網黑客,而這一團隊的建立宗旨就是打擊全球黑客,并讓用戶可以可以更放心的點擊廣告,以及更加愜意的享受互聯網生活。
以下是文章梗概:
當喬治-霍茲(George Hotz)在2007年8月成功解鎖iPhone,使得當時的iPhone可以不僅僅局限于AT&T網路,同時也支持其他GSM網路的時候,包括AT&T和 蘋果在內的幾乎所有企業都在有意無意的忽視霍茲的存在,而只是專注于修復他所發現的設備、系統漏統。
之后,霍茲在博客中表示自己花費了整整5周時間,巧妙運用了一些簡單的硬體改動和較復雜的軟體方法得到了PS3系統全部記憶體的讀寫權限和處理器的高級控制權限。換句話說,他已經完全破解了PS3系統。對此,索尼公司的做法則是將其正式起訴至法庭,并最終在霍茲承諾不再破解任何一款索尼產品的前提下達成和解。
今年早些時候,當霍茲成功找到谷歌Chrome作業系統中漏洞的時候,谷歌非但沒有對他提起訴訟,反而給予了前者15萬美元的獎勵。兩個月后,霍茨收到了一封來自谷歌安全工程師克里斯-埃文斯(Chris Evans)的Offer郵件,后者邀請他加入谷歌旗下的互聯網安全精英團隊,該團隊的主要職責就是找到存在于互聯網各個角落之中的安全漏洞。
超級黑客團隊
日前,谷歌首次正式對外介紹了自己互聯網安全專案“Project Zero”的主要情況。據悉,該團隊主要由谷歌內部頂尖安全工程師組成,而他們的唯一使命就是發現、跟蹤和修補這些全球性的軟體安全漏洞。同時,“Project Zero”所處理的安全漏洞通常都屬于“零日漏洞”范疇,網路黑客或者政府有組織的黑客團隊可以利用這些漏洞展開網路監聽等操作。
谷歌表示,“Project Zero”團隊并不僅限于在谷歌自有的產品中尋找系統安全漏洞,因為他們也會在任何軟體產品上尋找漏洞。在發現了某個漏洞后,該團隊會對其進行曝光,并通過這種方式來鼓勵相關公司與谷歌聯手對付黑客。
“人們理應在無需擔憂安全漏洞或者隱私泄露的情況下享用互聯網,而我們團隊則會關注于找出那些高價值的安全漏洞,并將其徹底消除。” Project Zero負責人、曾負責過谷歌Chrome安全團隊的埃文斯說道。
訊息指出,“Project Zero”目前已經從谷歌內部抽調了一些精英人員而組建起了自己的黑客“夢之隊”。比如,曾在2013年發現存在于 Adobe Flash及 微軟Office中大量漏洞的新西蘭人本-霍克斯(Ben Hawkes)、英國知名“零日漏洞查殺”專家塔維斯-奧曼迪(Tavis Ormandy)、成功破解谷歌Chrome作業系統的喬治-霍茲以及曾經發現了蘋果iOS、OSX和Safari瀏覽器多個漏洞的神秘瑞士黑客布雷特-伊恩-貝爾(Brit Ian Beer)都是這一團隊的成員。
據埃文斯透露,目前這一團隊的招聘作業仍然在繼續,并計劃召集到10名以上的全職互聯網安全研究人員。他們大多數都可以不在谷歌總部辦公室辦公,并使用專業的漏洞查找工具對目標軟體進行掃描,從而發現有可能包含有漏洞的系統、軟體設計。
動機何在
那么,谷歌“Project Zero”團隊的建設目的究竟是為了什么呢?對此,埃文斯表示,谷歌希望通過這一專案把互聯網變得更加安全,并可以通過提供更加自由的作業條件來吸引許多頂級安全人才加入公司。因為谷歌始終堅信,一個更加安全、愉悅的互聯網使用環境會促使更多用戶放心的點擊廣告,并從而使谷歌受益。
“只要我們能夠增強用戶對于互聯網的信心,那么谷歌也將通過非直接的方式獲益。”埃文斯說道。
與此同時,Project Zero也同谷歌近年來的發展策略相當吻合。在“斯諾登事件”曝光后,谷歌已經加強了自己的反偵查策略,因為斯諾登曾披露稱美國國家安全域在暗中監視谷歌用戶資訊,之后谷歌便對相關鏈接進行了加密。近期,谷歌還通過在Chrome瀏覽器中內置插件的方式為用戶的電子郵件進行了加密,并且公布了一份有關哪些電郵服務商同意或者不同意使用這一加密做法的名單。
美國公民自由聯盟首席技術專家克里斯-索霍安(Chris Soghoian)表示,谷歌大力建設自己的“Project Zero”團隊是情理之中的舉措,因為谷歌安全團隊對于政府監控行為一直非常不滿,他們自然希望能夠對此有所回應。
而且,同其他許多企業一樣,谷歌多年來也一直在獎勵那些發現代碼漏洞的善意黑客。然而,查找自身軟體漏洞的作業似乎一直都并不完善,因為諸如Chrome瀏覽器這些產品經常需要依賴于Adoble Flash這些第三方代碼運行。今年3月,埃文斯甚至還撰寫了一份在過去四年時間內由黑客所發現的18個Flash漏洞的表單。
封堵理念
據前谷歌安全研究人員摩根-馬奎斯-鮑伊爾(Morgan Marquis Boire)透露,“Project Zero”團隊背后理念的成型還要追溯到2010年他與埃文斯的一次深夜會談。在當時的凌晨4點左右,兩人正在探討谷歌之外軟體所存在的缺陷以及這些缺陷會對谷歌用戶造成的影響。
“對于許多在撰寫安全軟體時需要用到第三方的代碼的人們來說,這樣的情況令人感到十分沮喪,因為黑客始終可以攻擊你最薄弱的位置。這就好像你穿著一身和服在騎摩托車一樣,即便戴著頭盔恐怕也無法保證安全。”鮑伊爾說道。
因此,谷歌便希望通過“Project Zero”團隊成員的智慧找到存在于其他公司產品之中的漏洞。在找到漏洞后,該團隊首先會對該軟體開發商發出警告,然后給對方60-90天的時間來修補漏洞,之后谷歌便會在“Project Zero”的官方博客上公布這一漏洞。谷歌表示,為了避免這些漏洞被黑客利用,谷歌通常會向軟體開發商施壓,并催促其盡量在7天時間內對漏洞進行修復。
“花費太長時間,或者對出現的漏洞無所作為是令人無法接受的行為。”埃文斯說道。
當然,“Project Zero”團隊能否完全消除互聯網的安全隱患目前我們還不得而知。但團隊成員之一的本-霍克斯表示,“Project Zero”團隊其實并不需要親自處理每一個零日漏洞,而是會根據漏洞的影響范圍來有選擇的進行介入。這主要是因為如今黑客所利用的安全漏洞通常都不是獨立存在的,而是需要配合其他一系列漏洞才能成功攻克計算機的自身防線。所以,“Project Zero”通常只需要封堵其中一個漏洞便可以使黑客的整個入侵計劃失效。
“我們將在這一領域留下自己的印記,而現在也恰恰是徹底封堵零日漏洞的最好時機。”埃文斯最后說道。(湯姆)
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/105623.html
標籤:Spark
上一篇:提問:未找到帳戶激活密鑰