谷歌廣納黑客奇才,組建了黑客“夢之隊”Project Zero,然而它的使命卻不只是提高谷歌產品的安全性,它還會幫助其他公司尋找最易被黑客利用的零日漏洞
2007年,17歲的喬治·霍茨成為世界上第一個破解iPhone的AT&T鎖的人,當時,各家公司都沒有理會他,只是忙著修補他披露出來的漏洞。之後,他又對Playstation 3進行了逆向工程開發,索尼起訴了霍茨,最終他答應永遠不再攻擊索尼的產品。
今年早些時候,當霍茨再次破解了谷歌Chrome的作業系統防護時,谷歌卻給了他150,000美元,讓他幫助修補他所發現的漏洞。2個月後,谷歌的安全工程師克里斯·埃文斯通過電子郵件向他發出了邀請,詢問他是否願意加入谷歌旗下的一支全職黑客精英部隊,這個團隊專門查詢網際網路上所有流行軟體的安全漏洞。
現在,谷歌正式對外公佈了這支名為Project Zero的團隊,他們唯一的使命就是跟蹤、修補軟體中的潛在漏洞。安全行業將這些發現後即刻被惡意利用的漏洞稱為“零日漏洞”,犯罪分子、國家資助的黑客和情報機構都會利用這些漏洞。Project Zero的黑客不僅會尋找谷歌產品中的漏洞,他們還可以自由地攻擊其他軟體,以迫使其他的公司更好地保護谷歌使用者。
Project Zero已經在谷歌內部招募了一些成員,組建黑客“夢之隊”:齊蘭德·本·霍克斯因在2013年發現了Adobe Flash、微軟Office應用等的多個漏洞而名聲大噪;英國研究員塔維斯·奧曼迪是業內著名的高產“漏洞獵人”之一;上文提到的美國黑客神童喬治·霍茨也將成為該團隊的實習生。
為什麼谷歌要支付高昂的薪水去修補其他公司程式碼中的漏洞呢?埃文斯說Project Zero“基本上是利他的”。谷歌為團隊成員提供了極大的自由,讓他們可以幾乎不受限制地鑽研安全難題,也許這也是谷歌招聘的籌碼,讓最頂尖的人才願意加入谷歌,之後他們可能會轉而進行其他的專案。谷歌表示,一個更安全的網際網路環境會使得使用者願意點選更多的廣告。“如果我們能從整體上提高使用者對網際網路的信心,那麼這對谷歌也是有利的。”埃文斯說。
和其他許多公司一樣,多年來谷歌也一直在懸賞尋找漏洞,但是隻尋找谷歌軟體中的漏洞是不夠的,谷歌的許多程式,如谷歌的Chrome瀏覽器往往會依賴第三方程式碼,如Adobe的Flash,以及Windows、Mac、Linux作業系統中的一些基礎元素。
據前谷歌安全研究員摩根·馬奎斯-鮑伊爾所說,Project Zero概念的誕生可以追溯到2010年的某天深夜,他和埃文斯在蘇黎世一家酒吧裡的談話。大約凌晨4點的時候,話題轉到了谷歌之外的軟體安全問題對谷歌使用者的威脅。“對於利用第三方程式碼編寫安全產品的人來說,這是一個非常無奈的問題。”馬奎斯-鮑伊爾說,“攻擊者會從最弱的地方下手。騎摩托車戴頭盔的確有助於安全,但如果你穿著和服騎摩托車的話,頭盔是無法保護你的。”
因此谷歌的野心是用谷歌的頭腦完善其他公司的產品。當Project Zero的黑客發現一個漏洞後,他們就會對有責任修復這個漏洞的公司發出提示,並給它60到90天的時間釋出補丁,之後就會在Project Zero的部落格上公佈這個漏洞。谷歌表示,對於那些正遭到黑客頻繁攻擊的漏洞,谷歌會加快行動的速度,向軟體開發者施壓,要求其在7天內修復漏洞或找到變通的方案。
在軟體數量如此龐大的今天,谷歌的Project Zero是否能根除漏洞還是一個懸而未決的問題。不過,團隊成員本·霍克斯表示,該團隊不必找到所有的零日漏洞,只要在這些漏洞出現在新的程式碼中之前,修補這些漏洞即可。並且Project Zero會戰略性地選擇目標,以最大化“漏洞碰撞”的效果,也就是說谷歌團隊發現的某個漏洞,恰巧也是間諜正在祕密利用的漏洞。
現代的黑客往往會將一系列可以攻擊的漏洞結合起來,攻破計算機的防線,如果能修復這些漏洞中的一個,那麼整個攻擊就會失敗。也就是說Project Zero只要發現並修補作業系統中的一小部分漏洞,就能阻斷黑客的攻擊。
“在這個問題上,我們會取得很大的進展。”埃文斯說,“現在是一個很好的時機,相信我們可以阻止零日攻擊。”