北京时间7月18日消息,据国外媒体报道,虽然谷歌Project Zero打着维护所有互联网用户安全、避免其受到网络犯罪的威胁的旗号,还是遭到了一些人的蔑视。
“零日漏洞”是目前互联网普遍存在的一项威胁。公司将未修补的安全漏洞出售给政府、法律机关和私人实体企业,旨在帮助他们自我防护,但是这些漏洞检测代码(exploit code)在起到防护作用的同时也会对用户进行攻击。这些公司称自己是在帮助这个世界找出安全漏洞,并负责将它们出售给可信任的对象。
也许是这样。但是很多人都讨厌“零日漏洞”销售商。因为他们往往不会告诉供应商他们发现的漏洞,大多数使用受感染的软件的人仍处于危险之中。受益的只是那些销售商和他们的客户。
鉴于谷歌Project Zero能够抢先发现漏洞,它的出现很有可能扰乱这一市场。但是只要想到层出不穷的网络漏洞,谷歌的修复力也并没有那么强大。这也是为何漏洞检测销售商VUPEN的CEO兼首席黑客查欧基-贝克拉(Chaouki Bekrar)表示Project Zero不过是谷歌的又一场营销活动而已。
谷歌没能弄明白的一点在于消灭一些“零日漏洞”确实能够让谷歌的研发人员和股东感觉良好,但是这并不能消灭“零日漏洞”代码检测市场。贝克拉在邮件中表示:“相反,谷歌的行为将会使这一市场更加有利可图。正规市场和黑市的‘零日漏洞’要价会增加。之前,合法的‘零日漏洞’销售商就曾表示他们的漏洞检测代码曾售价50万美元。
安全公司Errata Security的罗伯特-格雷厄姆(Robert Graham)指出谷歌已经开始在每种软件里寻找“零日漏洞”。他表示:“我认为除了谷歌给项目安了一个好听的名字外,其他没有什么变化。”
他表示:“谷歌这样做最大的好处就是,通过团队之间的紧密联系,他们能够相互学习,从而比单独工作时取得更大的成就。通过了解其他产品的生产情报,谷歌能够提升自己的产品。”
如果贝克拉和格雷厄姆是正确的话,同时Project Zero不会影响“零日漏洞”市场,漏洞的价格会上升,那么漏洞经销商们也很有可能获利。这种情况简直是有悖常理。