雷鋒網(wǎng)按：在這個(gè)萬(wàn)物聯(lián)網(wǎng)的時(shí)代，信息安全是不可避免的問(wèn)題，然而我們似乎對(duì)它還沒(méi)有足夠的重視。幸好Google走在了時(shí)代的前線，設(shè)立一個(gè)不僅關(guān)注自家安全問(wèn)題，更關(guān)注整個(gè)業(yè)界安全的團(tuán)隊(duì)Project Zero。

它像一個(gè)孤膽英雄，對(duì)抗著全球數(shù)字威脅，它有點(diǎn)急躁，也備受爭(zhēng)議。團(tuán)隊(duì)成員用自己的方式維護(hù)互聯(lián)網(wǎng)安全。最近Fortune一篇長(zhǎng)文對(duì)這一團(tuán)隊(duì)進(jìn)行了詳細(xì)報(bào)道，雷鋒網(wǎng)對(duì)文章編譯如下：

一

一個(gè)星期五下午，在加州山景城的Google總部，安全研究大神Tavis Ormandy正在他的工位上執(zhí)行一些常規(guī)的“模糊測(cè)試”。這是一種常見(jiàn)的代碼測(cè)試技術(shù)，可以通過(guò)隨機(jī)數(shù)據(jù)使軟件中的缺陷暴露出來(lái)。隨后他在數(shù)據(jù)集中發(fā)現(xiàn)了一些問(wèn)題，但奇怪的是，這并非典型的破損數(shù)據(jù)。測(cè)試結(jié)果沒(méi)有得到預(yù)期的輸出，反而出現(xiàn)奇怪的配置異常——大量的內(nèi)存散落。所以他繼續(xù)深挖。

在收集足夠的信息后，Ormandy召集同事分享了發(fā)現(xiàn)的一切。這個(gè)名為Project Zero的Google團(tuán)隊(duì)很快發(fā)現(xiàn)問(wèn)題的實(shí)質(zhì)：大量數(shù)據(jù)正從從舊金山的Cloudflare公司泄漏出去。大多數(shù)情況下，Cloudflare的內(nèi)容分發(fā)網(wǎng)絡(luò)大概可以處理世界互聯(lián)網(wǎng)流量的十分之一，并且沒(méi)有時(shí)延。但Ormandy發(fā)現(xiàn)，該公司的服務(wù)器其實(shí)在網(wǎng)絡(luò)上泄露了人們的私人數(shù)據(jù)。這些信息已經(jīng)泄漏了好幾個(gè)月。

Ormandy在Cloudflare沒(méi)有認(rèn)識(shí)的人，他猶豫著要不要在一個(gè)三天小長(zhǎng)假的前一晚給Cloudflare的技術(shù)支持團(tuán)隊(duì)打電話。最后他采取了另一個(gè)解決方案，通過(guò)自己的Twitter賬號(hào)求助。

“有誰(shuí)是在Cloudflare安全部門(mén)工作的，能馬上聯(lián)系我嗎？”

發(fā)布的時(shí)候，是太平洋時(shí)間的下午五點(diǎn)。

Ormandy沒(méi)有@Cloudflare公司。他不需要。因?yàn)樗谛畔踩珜I(yè)人士聚集的熱門(mén)社區(qū)中聲名載道，在他按下“發(fā)送”鍵的15分鐘內(nèi)，世界上每一個(gè)需要知道和很多不需要知道的人都能看見(jiàn)他的這條留言。

倫敦當(dāng)?shù)貢r(shí)間凌晨1:26，John Graham-Cumming的手機(jī)將他吵醒。這位Cloudflare CTO揉了揉眼睛，拿起了手機(jī)。他沒(méi)接到電話。來(lái)電的是僅有的幾個(gè)被列在白名單里，能在午夜給他打電話的人。他馬上發(fā)短信問(wèn)發(fā)生了什么情況。

他的同事立即回應(yīng)，“出了嚴(yán)重的安全問(wèn)題?！?/p>

他驚坐了起來(lái)并回復(fù)，“我馬上上線。”

這位CTO從床上彈起，沖到樓下，拿出了他為這樣種場(chǎng)合準(zhǔn)備的裝備——充電器，耳機(jī)，額外的電池。 他啟動(dòng)了電腦，并迅速加入了和Cloudflare加州總部的同事一起進(jìn)行的會(huì)議。

安全小組向他介紹了局勢(shì)情況。Google的Project Zero團(tuán)隊(duì)在他們的基礎(chǔ)設(shè)施中發(fā)現(xiàn)了一個(gè)bug , 一個(gè)嚴(yán)重的bug。他們的幫助運(yùn)行超過(guò)600萬(wàn)個(gè)客戶網(wǎng)站的服務(wù)器，存在數(shù)據(jù)泄漏。這些客戶包括FBI，納斯達(dá)克和Reddit。任何人都可以訪問(wèn)Cloudflare支持的站點(diǎn)，并在某些情況下獲取該網(wǎng)絡(luò)上另一站點(diǎn)用戶的私密tokens、緩存和私人消息。這些用戶包括Uber、1Password、OKCupid和Fitbit。

 Ormandy和Graham-Cumming

信息暴露在眾目睽睽之下。更糟糕的是，搜索引擎和其他網(wǎng)絡(luò)爬蟲(chóng)工具已經(jīng)將泄漏的數(shù)據(jù)緩存了長(zhǎng)達(dá)數(shù)月。 封鎖泄漏源頭也不能完全解決問(wèn)題。

“這就像一次漏油事件”，Graham-Cumming說(shuō)，“處理一個(gè)油罐的漏洞很容易，但難的是有很多被污染的海床需要清理。”

所以Cloudflare的工程師有的忙活了。兼職擔(dān)任美國(guó)網(wǎng)絡(luò)黑客戲劇《機(jī)器人先生》的Cloudflare安全顧問(wèn)的Marc Rogers領(lǐng)導(dǎo)了分流工作。在不到一個(gè)小時(shí)的時(shí)間內(nèi)，團(tuán)隊(duì)推出了一個(gè)初始的更新程序，從而將全球漏洞堵住。幾個(gè)小時(shí)后，技術(shù)人員成功地恢復(fù)了導(dǎo)致錯(cuò)誤的功能。Ormandy發(fā)布那條推文將近七個(gè)小時(shí)之后，Cloudflare的工程師們?cè)O(shè)法要求主要的搜索引擎——Google、微軟、雅虎，清除了歷史網(wǎng)頁(yè)。

這是一個(gè)小長(zhǎng)假的開(kāi)始。Cloudflare工程師花了剩余的時(shí)間來(lái)評(píng)估有多少數(shù)據(jù)和什么類型的數(shù)據(jù)被泄露了，以及這件事情會(huì)造成多大的影響。

Cloudflare的快速響應(yīng)令Google的Project Zero團(tuán)隊(duì)印象深刻。但隨著兩個(gè)團(tuán)隊(duì)之間關(guān)于公布泄露內(nèi)容日期的談判開(kāi)展，他們的關(guān)系開(kāi)始變僵。雙方本來(lái)暫時(shí)同意在2月21日周二公布，但Cloudflare并未履行諾言，并聲稱需要更多的時(shí)間進(jìn)行清理。于是公布的日期從周二變成了周三，又變到了周四。Google忍無(wú)可忍：無(wú)論Cloudflare是否完成了評(píng)估，是否確保清除了網(wǎng)絡(luò)緩存中的泄漏數(shù)據(jù)，周四下午都將公布泄露情況。

雙方同意在在2月23日公布。一周的互聯(lián)網(wǎng)恐慌也隨之而來(lái)。

二

即使不是Google的Project Zero的成員，也知道信息安全危機(jī)在全球范圍愈演愈烈。每個(gè)公司都變成了為科技公司，黑客越來(lái)越普遍。這些黑客在企業(yè)銀行賬戶上偷盜，窺探個(gè)人信息，干預(yù)選舉。新聞?lì)^條也令人發(fā)指：超過(guò)10億的雅虎帳戶受損。黑客從SWIFT金融網(wǎng)絡(luò)竊取了數(shù)百萬(wàn)美元。2016年美國(guó)總統(tǒng)大選之前，民主黨全國(guó)委員會(huì)的無(wú)數(shù)私人電子郵件遭到曝光。

據(jù)美國(guó)身份盜竊資源中心統(tǒng)計(jì)，美國(guó)公司和政府機(jī)構(gòu)在2016年發(fā)生了比2015年多了40％的信息泄露，這還只是保守估計(jì)。與此同時(shí)，據(jù)研究組織Ponemon所進(jìn)行的一項(xiàng)研究顯示，目前數(shù)據(jù)泄露的平均成本升到了360萬(wàn)美元。

無(wú)論是程序員導(dǎo)致的錯(cuò)誤，還是某一國(guó)家的黑客作怪，數(shù)據(jù)泄露都是新的常態(tài)。因此，高管們的想法是，將代碼問(wèn)題扼殺在萌芽之前會(huì)更加經(jīng)濟(jì)，以防止問(wèn)題像滾雪球一樣越滾越大。

但事情并這不是那么簡(jiǎn)單。很多公司并不把信息安全放在首位，也不把它當(dāng)成產(chǎn)品交付前的指標(biāo)。根據(jù)CA Technologies今年初收購(gòu)的應(yīng)用軟件安全公司Veracode的調(diào)研，參與調(diào)研的500位IT經(jīng)理中，有83％承認(rèn)曾在測(cè)試bug和解決安全問(wèn)題之前就發(fā)布了代碼。同時(shí)，信息安全行業(yè)也面臨人才短缺。思科公司預(yù)計(jì)全球有100萬(wàn)個(gè)空缺的信息安全崗位。賽門(mén)鐵克預(yù)計(jì)，到2019年空缺將增加到150萬(wàn)個(gè)。還有人預(yù)計(jì)，到2021年，這一數(shù)字將增至350萬(wàn)。

即使是一家有錢(qián)、有志還有聲望來(lái)支持信息安全的公司，也無(wú)法避免有缺陷的代碼產(chǎn)生的影響。最好的質(zhì)量監(jiān)控程序和敏捷開(kāi)發(fā)的方式，也無(wú)法法捕捉到每一個(gè)錯(cuò)誤。

許多公司，包括微軟和蘋(píng)果都有內(nèi)部安全研究團(tuán)隊(duì)調(diào)查自家的軟件。但很少有團(tuán)隊(duì)還有余力研究其他公司的軟件。這就是Google如此不同尋常的原因。對(duì)于Ormandy和Project Zero的十幾個(gè)人來(lái)說(shuō)，他們的管轄權(quán)是沒(méi)有界限的，觸及互聯(lián)網(wǎng)的任何地方他們都能觸碰。監(jiān)察全網(wǎng)空間不僅對(duì)人類有好處，對(duì)企業(yè)也是有好處的。

三

Google于2014年正式組建Project Zero，團(tuán)隊(duì)的起源可以追溯到2009年。面對(duì)信息安全問(wèn)題，很多公司經(jīng)常要到面臨緊急情況時(shí)才意識(shí)到其嚴(yán)重性。對(duì)于Google而言，那一刻是“極光行動(dòng)”（Operation Aurora）。

2009年，與天朝相關(guān)的網(wǎng)絡(luò)間諜集團(tuán)攻擊了Google和其他一些技術(shù)巨頭，破壞他們服務(wù)器，竊取他們的知識(shí)，并試圖監(jiān)視其用戶。這一攻擊激怒了Google的高層管理人員，使得Google最終退出了中國(guó)。

此次事件令Google聯(lián)合創(chuàng)始人Sergey Brin感到特別困擾。計(jì)算機(jī)取證公司和調(diào)查人員確定，Google遭受的攻擊并不是自己的軟件錯(cuò)誤，而是通過(guò)微軟IE6中的漏洞進(jìn)行入侵的。他想知道，憑什么Google的安全性要依賴于其他公司的產(chǎn)品呢？

在接下來(lái)的幾個(gè)月中，Google開(kāi)始更加積極地要求競(jìng)爭(zhēng)對(duì)手解決他們軟件缺陷。Google與其同行之間的戰(zhàn)斗很快就成為傳奇故事。Bug獵手Tavis Ormandy憑借這自己出神入化的解決手段，巋然處在這些爭(zhēng)端的中心。

“極光行動(dòng)”公開(kāi)之后不久，Ormandy就透露了他幾個(gè)月前發(fā)現(xiàn)的微軟Windows一個(gè)漏洞，可能會(huì)讓黑客攻擊個(gè)人電腦并使其癱瘓。在等了微軟七個(gè)月后，他決定靠自己來(lái)解決問(wèn)題。2010年1月，Ormandy在給信息安全研究同行的“全面披露”郵件中，發(fā)布了漏洞情況和可能遭受的攻擊。他的認(rèn)為：如果微軟不及時(shí)解決這個(gè)問(wèn)題，至少應(yīng)該讓人們知道這個(gè)問(wèn)題，好讓人們制定自己的解決方案。幾個(gè)月之后，他對(duì)一個(gè)影響Oracle的Java軟件的bug，和一個(gè)更大的Windows漏洞采取了相同的辦法。后者則是在向微軟匯報(bào)了五天之后。

有人譴責(zé)Ormandy的行為，聲稱這損害了安全。在一篇博客文章中，兩名Verizon的信息安全專家稱，選擇了這些全面披露路線的研究人員都是“自戀的漏洞皮條客”。Ormandy并不理會(huì)。在2013年，他再次選擇在Windows發(fā)布修復(fù)之前將漏洞公開(kāi)。他認(rèn)為，如果沒(méi)有學(xué)者站出來(lái)給他們施壓，他們就沒(méi)有緊迫感，就會(huì)無(wú)限期地處理這些問(wèn)題，使每個(gè)人都處于危險(xiǎn)之中。

2014，Google秘密地正式確定了Project Zero的團(tuán)隊(duì)（這個(gè)名字暗示了0Day漏洞，這一術(shù)語(yǔ)是信息安全專家用來(lái)描述完全沒(méi)有時(shí)間解決的未知安全漏洞）。公司制定了一套協(xié)議，讓Chrome前任安全總監(jiān)Chris Evans主持工作。Evans隨后招募了Google員工和其他人到團(tuán)隊(duì)。

他招募了在瑞士的英裔安全研究員Ian Beer，他對(duì)發(fā)現(xiàn)蘋(píng)果代碼錯(cuò)誤有種特殊的喜好；Ormandy，一個(gè)因與微軟的公開(kāi)沖突而聞名英國(guó)大漢；Ben Hawkes，一名因發(fā)現(xiàn)Adobe Flash和微軟Office的bug而聞名的新西蘭人；還有少年George Hotz做實(shí)習(xí)生，他早些時(shí)候在一個(gè)黑客競(jìng)賽中黑進(jìn)了Chrome瀏覽器，贏得了15萬(wàn)美元。

Project Zero首次公開(kāi)是在2014年4月，當(dāng)時(shí)蘋(píng)果在一份簡(jiǎn)短的文字中贊揚(yáng)一名Google研究人員，因?yàn)槠浒l(fā)現(xiàn)了一個(gè)會(huì)讓黑客控制能運(yùn)行蘋(píng)果Safari瀏覽器的軟件的漏洞。文中向“Google Project Zero團(tuán)隊(duì)的Ian Beer”表示了感謝。

在Twitter上，安全社區(qū)都對(duì)這個(gè)秘密小組感到好奇?！笆裁词荘roject Zero？”紐約網(wǎng)絡(luò)安全顧問(wèn)Trail of Bits CEO和聯(lián)合創(chuàng)始人Dan Guido在推文中問(wèn)道。美國(guó)公民自由聯(lián)盟CTO Chris Soghoian也很好奇，“Apple安全更新日志中竟對(duì)神秘的Google Project Zero的員工對(duì)表示了感謝。”

Dan和Chris 的推文 

Project Zero漸漸收到了更多感謝。5月份，蘋(píng)果對(duì)Beer發(fā)現(xiàn)其OS X系統(tǒng)中的幾個(gè)bug表示感謝。一個(gè)月后，微軟對(duì)一個(gè)bug打了補(bǔ)丁，并感謝了Project Zero的Tavis Ormandy。

那時(shí)，關(guān)注安全問(wèn)題的人群中，這一團(tuán)隊(duì)是離不開(kāi)的話題。Evans最終決定在公司博客中正式宣布了他們的存在。他表示：“人們應(yīng)該能夠自由地使用網(wǎng)絡(luò)，而不用擔(dān)心犯罪或國(guó)家贊助的人利用軟件漏洞感染他們的計(jì)算機(jī)，竊取秘密或監(jiān)控通信情況。”他援引了針對(duì)企業(yè)和人權(quán)的間諜活動(dòng)例子，認(rèn)為這些是無(wú)良的虐待，認(rèn)為“這應(yīng)該被制止”。

Evans一年后離開(kāi)了團(tuán)隊(duì)加入特斯拉，現(xiàn)在擔(dān)任一家漏洞賞金公司HackerOne的顧問(wèn)。Hawkes現(xiàn)在是Project Zero的領(lǐng)導(dǎo)。如今，Evans更加謹(jǐn)慎地描述了該團(tuán)隊(duì)的起源。他說(shuō)：“Project Zero源自多年深度的午餐時(shí)間對(duì)話，和多年對(duì)攻擊演變的觀察。我們希望創(chuàng)造專注于頂級(jí)信息安全進(jìn)攻研究的工作，吸引世界上最優(yōu)秀的人才進(jìn)入公共研究領(lǐng)域?！?/p>

這似乎是一個(gè)比較困難的挑戰(zhàn)。私有資金吸引了許多世界上最好的黑客，引誘他們秘密工作，政府和其他團(tuán)隊(duì)通過(guò)經(jīng)紀(jì)人為他們的調(diào)查結(jié)果支付高昂的報(bào)酬。如果研究無(wú)法公布，就會(huì)有人為此受苦，Evans如此認(rèn)為。

自從Zero Project正式組隊(duì)，三年中這個(gè)精英黑客小組已經(jīng)成為地球上最高效的計(jì)算機(jī)漏洞終結(jié)者之一。盡管普通消費(fèi)者不知道這些人：James Forshaw、Natalie Silvanovich、Gal Beniamini。

但世界都欠他們的一份感激，因?yàn)樗麄優(yōu)榱司S護(hù)我們數(shù)字設(shè)備和服務(wù)的安全貢獻(xiàn)了許多。團(tuán)隊(duì)還對(duì)其他公司產(chǎn)品的一系列改進(jìn)負(fù)責(zé)，包括找到并幫助修復(fù)操作系統(tǒng)、防病毒軟件、密碼管理器、開(kāi)源代碼庫(kù)和其他軟件中的一千多個(gè)安全漏洞。Project Zero迄今發(fā)布了70多篇有關(guān)其工作的博客文章，其中一些文章是目前網(wǎng)上最好的公共安全研究資源。

該團(tuán)隊(duì)的工作間接有利于Google的主要業(yè)務(wù)：在線廣告。保護(hù)互聯(lián)網(wǎng)用戶免受威脅，意味著保護(hù)公司為這些用戶提供廣告的能力。Project Zero的努力使供應(yīng)商陷入困境的同時(shí)，也迫使他們修復(fù)導(dǎo)致Google產(chǎn)品崩潰的bug。

網(wǎng)絡(luò)安全企業(yè)家、著名蘋(píng)果黑客以及前Square移動(dòng)安全部門(mén)負(fù)責(zé)人Dino Dai Zovi表示：“這是一個(gè)很呆的名字，但它就像一只牧羊犬。牧羊犬不是狼，它仁慈，但也追逐羊，讓它們回到羊圈中?！?/p>

四

四月，Project Zero的三名成員前往邁阿密參加了Infiltrate安全會(huì)議，這次會(huì)議基本都關(guān)注在黑客領(lǐng)域的進(jìn)攻端。

在一個(gè)滿是陽(yáng)光、沙灘和跑車(chē)的城市中，黑客團(tuán)隊(duì)看起來(lái)有點(diǎn)格格不入。Hawkes、Ormandy和德國(guó)安全研究員Thomas Dullien（Zero團(tuán)隊(duì)的成員，以綽號(hào)“Halvar Flake”更為人所知），聚集在Fontainebleau酒店的草坪上，在棕櫚樹(shù)下啜飲雞尾酒。與他們一起的，還有Google的其他參會(huì)者，這些Google員工暢談工作，喜愛(ài)的科幻小說(shuō)，以及如何保護(hù)黑客歷史。

對(duì)于Ormandy不得不面對(duì)的讓廠商修復(fù)他們代碼這件事，Dave Aitel說(shuō)到：“人們就是不會(huì)給你好臉色。不過(guò)你知道，你不需要處理這些問(wèn)題的?！盇itel是一名前NSA黑客，他運(yùn)營(yíng)著一個(gè)進(jìn)攻性黑客商店Immunity。Aitel甚至還玩笑似的，試圖說(shuō)服Ormandy加入黑客研究員的“黑暗面”，也就是發(fā)現(xiàn)漏洞后賣(mài)出去，而不是報(bào)告給受影響的公司。

各類設(shè)備的漏洞獎(jiǎng)金金額

當(dāng)時(shí)Ormandy只是聳了聳肩笑了笑。他可能是一個(gè)會(huì)讓人覺(jué)得很麻煩的人，但他的目標(biāo)是純粹的。

盡管外界看起來(lái)Project Zero鋒芒畢露，但由于其理想與現(xiàn)實(shí)世界的復(fù)雜性相沖突，團(tuán)隊(duì)不得不變得更加靈活。他們最初規(guī)定的是很?chē)?yán)格的90天披露截止日期，而對(duì)于那些正被積極利用的漏洞則只有七天。但在幾次于公司發(fā)布更新之前就披露漏洞的事件后，如微軟就習(xí)慣在每周二發(fā)布補(bǔ)丁，導(dǎo)致團(tuán)隊(duì)受到了頗多指責(zé)。它也因此為90天的期限增加了14天的拓展期，以防廠商準(zhǔn)備好了補(bǔ)丁但還沒(méi)發(fā)布。

Katie Moussouris稱，Project Zero擁有業(yè)內(nèi)最明確的披露政策。她曾幫助微軟制定了披露政策，現(xiàn)在則運(yùn)營(yíng)著自己的漏洞賞金咨詢公司Luta Security。她認(rèn)為這是一件好事。許多公司沒(méi)有如何報(bào)告漏洞的指南，也缺乏指導(dǎo)研究者如何及何時(shí)公布漏洞的政策。有一些組織給公司準(zhǔn)備的修復(fù)軟件的時(shí)間，比Google更少。脫胎自卡內(nèi)基梅隆大學(xué)的一個(gè)團(tuán)體Cert CC，給的期限只有45天，不過(guò)他們會(huì)根據(jù)各情況進(jìn)行調(diào)整。

Project Zero團(tuán)隊(duì)會(huì)迅速贊揚(yáng)采取行動(dòng)來(lái)修復(fù)bug的公司，也會(huì)嚴(yán)厲批評(píng)那些回應(yīng)緩慢的公司。今年早些時(shí)候，Ormandy在推特上說(shuō)，他和同事Natalie Silvanovich“在內(nèi)存中發(fā)現(xiàn)了最糟糕的Windows遠(yuǎn)程代碼執(zhí)行”，這意味著可以遠(yuǎn)程控制基于Windows的系統(tǒng)。他說(shuō)到，這個(gè)漏洞極其危險(xiǎn)。他們兩人與微軟合作修補(bǔ)了這個(gè)bug，并在附后的推文中對(duì)微軟安全部門(mén)的反應(yīng)贊譽(yù)有嘉。

科技公司可能會(huì)對(duì)Project Zero的大膽感到畏懼，但他們應(yīng)該感到安慰，因?yàn)檫@些黑客愿意抵制那些促使一些研究人員把研究結(jié)果出售的動(dòng)機(jī)。在黑客逐漸專業(yè)化的這幾年中，Project Zero公布的這些bug已經(jīng)在市場(chǎng)上萌芽了。各國(guó)政府、情報(bào)機(jī)構(gòu)、犯罪分子，都想擁有這些漏洞，而且愿意支付不菲的價(jià)格。好在軟件公司越來(lái)越多地發(fā)起了漏洞獎(jiǎng)勵(lì)計(jì)劃，讓天平不至于只向惡意的一方傾斜。這些獎(jiǎng)勵(lì)為研究人員的時(shí)間、精力和專長(zhǎng)提供了補(bǔ)償。但賞金金額可能永遠(yuǎn)都比不上暗市能給出的價(jià)格。

IBM知名安全大師兼高管Bruce Schneier表示：“無(wú)論Google為漏洞給的獎(jiǎng)賞是什么，有的政府都將付出更多的代價(jià)?！?/p>

Dullien也表示，如今對(duì)于黑客技能的需求讓自己感到驚訝，曾經(jīng)這只是在黑暗地下室的愛(ài)好，現(xiàn)在卻變成了政府大廳里是一個(gè)職業(yè)?！八?0年代的亞文化，就像嘻哈、霹靂舞、滑板或涂鴉一樣，但現(xiàn)在的情況卻是，軍方覺(jué)得很有用?！?/p>

五

據(jù)Cloudflare CEO兼聯(lián)合創(chuàng)始人Matthew Prince說(shuō)，Google頂級(jí)安全研究員發(fā)現(xiàn)的漏洞，最初使他的公司幾乎失去了一個(gè)月的營(yíng)收。

不過(guò)如果這段經(jīng)歷真讓他覺(jué)得很糟糕，他或許不會(huì)把它說(shuō)出來(lái)。他當(dāng)然知道被真正惡意的黑客盯上是什么感覺(jué)。幾年前，一個(gè)名為“UGNazi”的黑客組織黑進(jìn)了Prince的個(gè)人Gmail帳戶，用它控制了他的企業(yè)郵件帳戶，然后再借此劫持了Cloudflare的基礎(chǔ)架構(gòu)。這些黑客本可能造成重大損失，不過(guò)他們只是將4chan.org（一個(gè)黑客社區(qū)）的地址重新定向到了他們個(gè)人的Twitter頁(yè)面，以作宣傳。

Prince很后悔，沒(méi)有在Google和Cloudflare發(fā)布初步調(diào)查結(jié)果之前，向客戶通報(bào)公司的全部問(wèn)題。他希望公司在客戶閱讀有關(guān)新聞報(bào)道前，就將漏洞的事提醒了客戶。即使如此，他回想起來(lái)，還是覺(jué)得Project Zero團(tuán)隊(duì)對(duì)于在何時(shí)披露漏洞是對(duì)的。據(jù)他所知，漏洞公布后沒(méi)發(fā)現(xiàn)任何與它相關(guān)的重大損失，沒(méi)有密碼、信用卡號(hào)或健康記錄被泄露。

Prince表示，Cloudflare已經(jīng)制定了新的控制措施，以防止這種事件再次發(fā)生。公司開(kāi)始審查所有代碼，并聘請(qǐng)外部測(cè)試人員做同樣的事情。它還建立了一個(gè)更復(fù)雜的系統(tǒng)，用于識(shí)別常見(jiàn)的軟件崩潰，這往往表明存在漏洞。

對(duì)于漏洞及其后果，他說(shuō)，幸好是Tavis和他的團(tuán)隊(duì)發(fā)現(xiàn)了漏洞，而不是一些瘋狂的黑客。

當(dāng)然，他也永遠(yuǎn)無(wú)法排除另一個(gè)人或組織，有泄密數(shù)據(jù)副本的可能性。這也是Project Zero的觀點(diǎn)，對(duì)于其每一個(gè)團(tuán)隊(duì)成員來(lái)說(shuō)，有無(wú)數(shù)其他研究人員在私下工作，他們的目標(biāo)不太高尚。這是你所知道和不知道的邪惡。

雷鋒網(wǎng)附關(guān)注漏洞市場(chǎng)的小知識(shí)：

有兩個(gè)漏洞市場(chǎng)：進(jìn)攻和防守。前者包括民族國(guó)家，有組織犯罪集團(tuán)和其他黑客攻擊者。后者包括漏洞賞金項(xiàng)目和銷(xiāo)售安全產(chǎn)品的公司。

進(jìn)攻市場(chǎng)的價(jià)格較高，沒(méi)有上限。他們不只是購(gòu)買(mǎi)漏洞，也會(huì)購(gòu)買(mǎi)利用漏洞但不會(huì)被檢測(cè)到的能力。購(gòu)買(mǎi)者很低調(diào)。

防守市場(chǎng)的支付能力不強(qiáng)，基本不會(huì)有廠商會(huì)為找到漏洞的頂級(jí)開(kāi)發(fā)者補(bǔ)償上百萬(wàn)美元。盡管主要公司的代碼質(zhì)量正在改善，但復(fù)雜性仍在不斷增加，這也意味著更多的錯(cuò)誤。

安全研究人員對(duì)特定的漏洞可能采取的行動(dòng)，往往取決于他們的財(cái)務(wù)需求，他們對(duì)一款軟件或廠商的主觀貨幣，以及他們自己的個(gè)人風(fēng)險(xiǎn)偏好。這里不只是簡(jiǎn)單的黑白分明。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。