George Hotz 是一位大名鼎鼎的黑客。 2007 年,17 歲的他第一個破解了初代iPhone。 7 年後,Hotz 也許萬萬沒有想到自己會和一大波黑客一道,效力Google,不再製造麻煩,而是為全球互聯網解決漏洞。
Hotz 剛剛在今年初破解了Chrome 的運行防禦,而Google 卻選擇付給他15 萬美元的獎勵,請他發現和修復其他漏洞。兩個月後,Google 的安全工程師Chris Evans 給他發了封郵件,正式邀請他加入Project Zero。
Project Zero 的前世今生
Google 上周宣布了Project Zero 計劃,它由一組安全研究人員負責,唯一的目標就是追踪和修復漏洞,維護所有互聯網用戶的安全。
Project Zero 的前身是Google 的一項“兼職”研究團隊,來研究一些互聯網安全問題。之前的成果包括發現了Heartbleed 漏洞、幫助蘋果修復安全缺陷。
Project Zero 主要針對“零日漏洞(zero-day)”。 “零日漏洞”是目前互聯網普遍存在的一項威脅,這些漏洞常常尚未被公開,因而用戶無法及時得到對應的補丁。
因而,黑客會利用“零日漏洞”,對人權主義人士、企業、政府的網站發起攻擊。也有黑客以此從事間諜活動、竊聽通信信息、竊取信用卡信息等。
Project Zero 要做的,就是發現、圍堵、修正這些漏洞。 “人們渴望一個沒有恐懼和漏洞的互聯網,不會因為瀏覽一個網站就洩露隱私。”Chris Evans 說,他曾領導Chrome 的安全團隊,現在掌舵Project Zero。 “我們努力把精力集中在高價值的漏洞上並消除他們。”
比較有意思的是,Project Zero 不止是為Google 的產品提供解決方案,而是面向所有互聯網產品。 Project Zero 還將創建一個公共數據庫,零日漏洞將被首先報告給軟件廠商。 Project Zero 希望“盡可能早地”向軟件廠商通報並合作開發補丁。
Google 為什麼要做 Project Zero
為什麼Google 要高薪聘請黑客來給其他公司找漏洞呢? Chris Evans 說,Project Zero 項目完全是“利他”的,但是高薪聘請黑客有著長遠的戰略性意義——Google 為他們提供誘人的薪水、很少限制的工作環境,而他們為Google 帶來更多的靈感和人才,今後他們也許會被派遣到其他團隊。
Google 還認為,建立起互聯網用戶的安全信心,可以帶來更多的廣告點擊率,對谷歌沒有壞處。
和其他公司一樣,Google 已經這樣做了數年了——高價懸賞“友好”的黑客,來尋求告知產品的漏洞。但是一直尋找自家的軟件遠遠不夠:比如Chrome 瀏覽器的安全性往往取決於第三方的代碼,比如Adobe Flash、相關的Windows、Mac、Linux 操作系統的元素。
今年三月,Chris Evans 匯總了18 個黑客利用過的漏洞,這些漏洞被用來攻擊敘利亞公民、人權活動家、國防和航天的工作人員……
如此看來,Google 似乎在做一項沒什麼實質回報、目標遠大的正義之舉。全世界有那麼多的漏洞等待被發現和修復,Google 的這個小團隊似乎也沒有辦法“拯救世界”,因而Project Zero 更像是一場營銷。
競爭對手怎麼看
因為口號太響亮,Project Zero 也招來了不少負面聲音。
零日漏洞的買賣已經形成了一個完整的市場,漏洞往往被一些公司出售給政府、法律機關、私人企業,來幫助他們自我防護。不過這些公司不會告訴供應商漏洞在哪裡,獲益的只有客戶。可是供應商不知道漏洞,也就意味著不會有補丁,大多數用戶仍然處在危險之中。
Google 如果參與進來,也許會擾亂這一市場。不過Google 能力有限,強大的口號,也許只是杯水車薪。
漏洞檢測銷售商VUPEN CEO 兼首席黑客Chaouki Bekrar 就明確表示Project Zero 不過是營銷一場。不僅如此,Project Zero 也許將會使這一市場更加有利可圖:正規市場和黑市的零日漏洞要價會增加。之前,合法的零日漏洞銷售商曾表示他們的漏洞檢測代碼曾賣到50 萬美元。
安全公司Errata Security 的Robert Graham 表示:“我認為Google 除了給項目起了一個好聽的名字外,其他沒有什麼變化。這樣做最大的好處在於,黑客們通過團隊之間的緊密聯繫,能夠相互學習,從而比單獨工作時取得更大的成果。通過了解其他產品的生產情報,Google 也能夠提升自己的產品。”
題圖來自wired
資料來源:ifanr
請按此登錄後留言。未成為會員? 立即註冊