谷歌日前对外公布了一个名为Project Zero的互联网安全项目,该项目主要由谷歌的安全研究人员组成,旨在保护所有互联网用户的网络安全,避免其受到黑客的恶意攻击和网络犯罪的威胁。科技媒体《连线》杂志网络版日前撰文对谷歌的Project Zero秘密团队进行了详细披露,以下是文章的主要内容。
谷歌的互联网安全团队
现年24岁的乔治·霍茨(George Hotz)是个极富传奇色彩的人物,2007年,年仅17岁的他成为首个破解iPhone的AT&T网络锁的黑客,当时AT&T和苹果并未理会霍茨,只是急忙对Bug进行了修正;随后霍茨又成功对Playstation 3进行了逆向工程开发,致使索尼对其进行了起诉,这件事情最终以霍茨承诺不再破解索尼的产品而结束。
在今年早些时候,霍茨再度发威破解了谷歌的Chrome操作系统,但这次谷歌的态度与其他公司截然相反,为霍茨提供了15万美元的奖金来让其修补了他所发现的漏洞。两个月后,霍茨收到了谷歌安全工程师克里斯·埃文斯(Chris Evans)的邮件,询问他是否有意加入一支谷歌旗下的互联网安全精英团队。
今天,谷歌公布了互联网安全项目Project Zero的团队成员,该团队由谷歌内部的顶尖安全工程师组成,他们的唯一使命就是发现、跟踪和修补一些全球性软件的安全漏洞。Project Zero的名称来源于“零日漏洞”(Zero-day),所谓的“零日漏洞”是指针对以前并不为人知的软件问题发起的攻击或威胁。据了解,Project Zero团队并不仅限于在谷歌自有的产品中寻找漏洞,他们甚至可以在任何软件产品上寻找漏洞,而一旦发现了某个漏洞,该团队会对其进行曝光,通过这种方式来动员或迫使相关的公司与谷歌联手对付利用这些漏洞发动攻击的黑客。
“人们应该在无需任何担忧的情况下享受互联网所带来的便利,”Project Zero的负责人、曾经带领过谷歌Chrome安全团队的埃文斯说道,“而我们的团队将会全职关注那些高价值的漏洞并积极对其进行消除。”
Project Zero目前已经从谷歌内部抽调了一些安全精英组建了自己的“梦之队”,除了前文提到的有着“美国神童黑客”之称的霍茨之外,还有在2013年发现Adobe Flash及微软Office大量漏洞的新西兰人本·霍克斯(Ben Hawkes)、英国知名“零日漏洞查杀”专家塔维斯·奥曼迪(Tavis Ormandy)和发现了苹果iOS、OSX和Safari浏览器多个漏洞的瑞士人布雷特·伊恩·贝尔(Brit Ian Beer)。
根据埃文斯的介绍,目前该团队还在招募更多的成员,未来将会聚集10名以上全职的互联网安全研究人员,他们将会使用专业的漏洞查找工具来对一些目标软件进行扫描,从而发现漏洞并对其进行修补。
缘何组建Project Zero团队
Project Zero汇聚了顶尖的互联网安全人才,同时肯定也为这些人支付了不菲的薪水,但是他们的一部分工作却是去查找其他公司软件中所存在的缺陷,谷歌这样做究竟是为了什么呢?埃文斯对此表示,谷歌希望通过Project Zero来把互联网变得更加安全和纯净,从而提升用户的使用体验,这样一来,自然就能够带动更多的用户去点击谷歌的广告,“只要能够增强用户对于互联网的信息,那么对于谷歌来说肯定是有利的,”埃文斯说道。
同时,Project Zero也符合谷歌近几年的反侦察策略。“斯诺登事件”中曾披露美国国家安全局存在暗中监视谷歌用户信息的行为,所以谷歌随后对相关的链接进行了加密,最近谷歌由通过在Chrome浏览器中内置插件来对用户的电子邮件进行了加密,这些都表明谷歌已经把保护用户信息的安全性放在了一个非常重要的位置上,而Project Zero无疑将会减少安全漏洞对谷歌用户的骚扰。
与其他公司一样,谷歌多年来一直在“悬赏”奖励那些发现其代码漏洞的友好黑客,但查找自身软件的漏洞也一直都不是谷歌的强项,所以组建Project Zero团队也将会帮助谷歌补强在软件漏洞查找方面的综合实力,进而在一定程度上提升谷歌软件产品的用户体验。
Project Zero的理念
根据前谷歌安全研究人员摩根·马奎斯-鲍伊尔(Morgan Marquis-Boire)的介绍,Project Zero背后的理念要追溯到2010年他与埃文斯的一次深夜对话,但是两人正在探讨谷歌产品之外的软件所存在的缺陷对谷歌用户的影响,“这些软件之所以会存在缺陷大多是因为开发者在编程时使用了第三方的代码,”马奎斯-鲍伊尔说道,“这就好像你穿着一身和服在骑摩托车,那么此时即便你戴了头盔,那也难以保证你的安全。”
Project Zero的愿景是借助谷歌的技术实力来改进其他公司的软件产品,当Project Zero的团队发现某款软件的漏洞之后,他们首先会对该软件的开发商发出警告,然后给对方60-90天的时间来修补该漏洞,随后谷歌就会在Project Zero的官方博客上公布该漏洞。为了避免这些漏洞被恶意的黑客所利用,谷歌表示会动员软件的开发者或者临时组建小团队在7天之内对公布的漏洞进行修复,从而把损失降低到最小程度。