George Hotz 是一位大名鼎鼎的駭客。2007 年,17 歲的他第一個破解了第一代 iPhone。7 年後,Hotz 也許萬萬沒有想到自己會和一大波駭客一道效力 Google,不再製造麻煩,而是為全球網際網路解決漏洞。
▲圖片來源
Hotz 剛剛在今年初破解了 Chrome 的防禦漏洞,而 Google 卻選擇付給他 15 萬美元的獎勵,請他發現和修復其他漏洞。兩個月後,Google 的安全工程師 Chris Evans發了一封郵件給他,正式邀請他加入 Project Zero。
Project Zero 的前世今生
Google 上周宣佈了 Project Zero 計畫,它由一組安全研究人員負責,唯一的目標就是追蹤和修復漏洞,維護所有網路用戶的安全。
Project Zero 的前身是 Google 的一項「兼職」研究團隊,來研究一些網路安全問題。之前的成果包括發現了 Heartbleed 漏洞、幫助蘋果修復安全缺陷。
Project Zero 主要針對「Zero-day」(零日型漏洞)。「Zero-day」是目前網路普遍存在的一項威脅,這些漏洞常常尚未被公開,因而用戶無法及時得到對應的更新檔。
因而,駭客會利用「Zero-day」,對人權主義人士、企業、政府的網站發起攻擊。也有駭客以此從事間諜活動、竊聽通信資訊、竊取信用卡資訊等。
Project Zero 要做的,就是發現、圍堵、修正這些漏洞。「人們渴望一個沒有恐懼和漏洞的網際網路,不會因為瀏覽一個網站就洩露隱私。」Chris Evans 說,他曾領導 Chrome 的安全團隊,現在掌舵 Project Zero。「我們努力把精力集中在高價值的漏洞上並消除它們。」
比較有意思的是,Project Zero 不止是為 Google 的產品提供解決方案,而是面向所有網路產品。Project Zero 還將創建一個公共資料庫,「Zero-day」將被首先報告給軟體廠商。Project Zero 希望「盡可能早地」向軟體廠商通報並合作開發更新檔。
Google 為什麼要做 Project Zero
為什麼 Google 要高薪聘請駭客來給其他公司找漏洞呢?Chris Evans 說,Project Zero 項目完全是「利他」的,但是高薪聘請駭客有著長遠的戰略性意義——Google 為他們提供誘人的薪水、很少限制的工作環境,而他們為 Google 帶來更多的靈感和人才,今後他們也許會被派遣到其他團隊。
Google 還認為,建立起網路用戶的安全信心,可以帶來更多的廣告點擊率,對谷歌沒有壞處。
和其他公司一樣,Google 已經這樣做了數年了——高價懸賞「友好」的駭客,來尋求告知產品的漏洞。但是一直尋找自家的軟體遠遠不夠:比如 Chrome 瀏覽器的安全性往往取決於第三方的程式碼,比如 Adobe Flash、相關的 Windows、Mac、Linux 作業系統等等。
今年三月,Chris Evans 匯總了 18 個駭客利用過的漏洞,這些漏洞被用來攻擊敘利亞公民、人權活動家、國防和航太的工作人員……
如此看來,Google 似乎在做一項沒什麼實質回報、目標遠大的正義之舉。全世界有那麼多的漏洞等待被發現和修復,Google 的這個小團隊似乎也沒有辦法「拯救世界」,因而 Project Zero 更像是一場行銷。
競爭對手怎麼看
因為口號太響亮,Project Zero 也招來了不少負面聲音。
「Zero-day」的買賣已經形成了一個完整的市場,漏洞往往被一些公司出售給政府、法律機關、私人企業,來幫助他們自我防護。不過這些公司不會告訴供應商漏洞在哪裡,獲益的只有客戶。可是供應商不知道漏洞,也就意味著不會有更新檔,大多數用戶仍然處在危險之中。
Google 如果參與到這一個領域,也許會擾亂這一市場。不過 Google 能力有限,強大的口號,也許只是杯水車薪。
漏洞檢測銷售商 VUPEN CEO 兼首席駭客 Chaouki Bekrar 就明確表示 Project Zero 不過是行銷一場。不僅如此,Project Zero 也許將會使這一市場更加有利可圖:正規市場和黑市的「Zero-day」要價會增加。之前,合法的「Zero-day」銷售商曾表示他們的漏洞檢測程式碼曾賣到 50 萬美元。
安全公司 Errata Security 的 Robert Graham 表示:「我認為 Google 除了給這個項目起了一個好聽的名字外,其他沒有什麼變化。這樣做最大的好處在於,駭客們透過團隊之間的緊密聯繫,能夠相互學習,進而比單獨工作時取得更大的成果。透過瞭解其他產品的生產情報,Google 也能夠提升自己的產品。」
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!