ADVERTISEMENT
George Hotz 是一位大名鼎鼎的駭客。2007 年,17 歲的他第一個破解了第一代 iPhone。7 年後,Hotz 也許萬萬沒有想到自己會和一大波駭客一道,不再製造麻煩,而是為全球網際網路解決漏洞。
▲
ADVERTISEMENT
Hotz 剛剛在今年初破解了 Chrome 的防禦漏洞,而 Google 卻選擇付給他 15 萬美元的獎勵,請他發現和修復其他漏洞。兩個月後,Google 的安全工程師發了一封郵件給他,正式邀請他加入 。
Project Zero 的前世今生
Google 上周宣佈了 Project Zero 計畫,它由一組安全研究人員負責,唯一的目標就是追蹤和修復漏洞,維護所有網路用戶的安全。
Project Zero 的前身是 Google 的一項「兼職」研究團隊,來研究一些網路安全問題。之前的成果包括發現了 Heartbleed 漏洞、幫助蘋果修復安全缺陷。
ADVERTISEMENT
Project Zero 主要針對「Zero-day」(零日型漏洞)。「Zero-day」是目前網路普遍存在的一項威脅,這些漏洞常常尚未被公開,因而用戶無法及時得到對應的更新檔。
因而,駭客會利用「Zero-day」,對人權主義人士、企業、政府的網站發起攻擊。也有駭客以此從事間諜活動、竊聽通信資訊、竊取信用卡資訊等。
Project Zero 要做的,就是發現、圍堵、修正這些漏洞。「人們渴望一個沒有恐懼和漏洞的網際網路,不會因為瀏覽一個網站就洩露隱私。」Chris Evans 說,他曾領導 Chrome 的安全團隊,現在掌舵 Project Zero。「我們努力把精力集中在高價值的漏洞上並消除它們。」
ADVERTISEMENT
比較有意思的是,Project Zero 不止是為 Google 的產品提供解決方案,而是面向所有網路產品。Project Zero 還將創建一個公共資料庫,「Zero-day」將被首先報告給軟體廠商。Project Zero 希望「盡可能早地」向軟體廠商通報並合作開發更新檔。
Google 為什麼要做 Project Zero
為什麼 Google 要高薪聘請駭客來給其他公司找漏洞呢?Chris Evans 說,Project Zero 項目完全是「利他」的,但是高薪聘請駭客有著長遠的戰略性意義——Google 為他們提供誘人的薪水、很少限制的工作環境,而他們為 Google 帶來更多的靈感和人才,今後他們也許會被派遣到其他團隊。
Google 還認為,建立起網路用戶的安全信心,可以帶來更多的廣告點擊率,對谷歌沒有壞處。
ADVERTISEMENT
和其他公司一樣,Google 已經這樣做了數年了——高價懸賞「友好」的駭客,來尋求告知產品的漏洞。但是一直尋找自家的軟體遠遠不夠:比如 Chrome 瀏覽器的安全性往往取決於第三方的程式碼,比如 Adobe Flash、相關的 Windows、Mac、Linux 作業系統等等。
今年三月,Chris Evans 匯總了 18 個駭客利用過的漏洞,這些漏洞被用來攻擊敘利亞公民、人權活動家、國防和航太的工作人員……
如此看來,Google 似乎在做一項沒什麼實質回報、目標遠大的正義之舉。全世界有那麼多的漏洞等待被發現和修復,Google 的這個小團隊似乎也沒有辦法「拯救世界」,因而 Project Zero 更像是一場行銷。
競爭對手怎麼看
因為口號太響亮,Project Zero 也招來了不少。
「Zero-day」的買賣已經形成了一個完整的市場,漏洞往往被一些公司出售給政府、法律機關、私人企業,來幫助他們自我防護。不過這些公司不會告訴供應商漏洞在哪裡,獲益的只有客戶。可是供應商不知道漏洞,也就意味著不會有更新檔,大多數用戶仍然處在危險之中。
Google 如果參與到這一個領域,也許會擾亂這一市場。不過 Google 能力有限,強大的口號,也許只是杯水車薪。
漏洞檢測銷售商 VUPEN CEO 兼首席駭客 Chaouki Bekrar 就明確表示 Project Zero 不過是行銷一場。不僅如此,Project Zero 也許將會使這一市場更加有利可圖:正規市場和黑市的「Zero-day」要價會增加。之前,合法的「Zero-day」銷售商曾表示他們的漏洞檢測程式碼曾賣到 50 萬美元。
安全公司 Errata Security 的 Robert Graham 表示:「我認為 Google 除了給這個項目起了一個好聽的名字外,其他沒有什麼變化。這樣做最大的好處在於,駭客們透過團隊之間的緊密聯繫,能夠相互學習,進而比單獨工作時取得更大的成果。透過瞭解其他產品的生產情報,Google 也能夠提升自己的產品。」
ADVERTISEMENT