谷歌的黑客夢之隊

        谷歌廣納黑客奇才，組建了黑客“夢之隊”Project Zero，然而它的使命卻不只是提高谷歌產品的安全性，它還會幫助其他公司尋找最易被黑客利用的零日漏洞。

        2007 年，17 歲的喬治·霍茨成為世界上第一個破解 iPhone 的 AT&T鎖的人，當時，各家公司都沒有理會他，只是忙著修補他披露出來的漏洞。之后，他又對 Playstation 3 進行了逆向工程開發，索尼起訴了霍茨，最終他答應永遠不再攻擊索尼的產品。

        今年早些時候，當霍茨再次破解了谷歌 Chrome 的操作系統防護時，谷歌卻給了他 150,000 美元，讓他幫助修補他所發現的漏洞。2 個月后，谷歌的安全工程師克里斯·埃文斯通過電子郵件向他發出了邀請，詢問他是否愿意加入谷歌旗下的一支全職黑客精英部隊，這個團隊專門查找互聯網上所有 流行軟件的安全漏洞。

        現在，谷歌正式對外公布了這支名為 Project Zero 的團隊，他們唯一的使命就是跟蹤、修補軟件中的潛在漏洞。安全行業將這些發現后即刻被惡意利用的漏洞稱為“零日漏洞”，犯罪分子、國家資助的黑客和情報機 構都會利用這些漏洞。Project Zero 的黑客不僅會尋找谷歌產品中的漏洞，他們還可以自由地攻擊其他軟件，以迫使其他的公司更好地保護谷歌用戶。

        Project Zero 已經在谷歌內部招募了一些成員，組建黑客“夢之隊”：齊蘭德·本·霍克斯因在 2013 年發現了 Adobe Flash、微軟 Office 應用等的多個漏洞而名聲大噪；英國研究員塔維斯·奧曼迪是業內著名的高產“漏洞獵人”之一；上文提到的美國黑客神童喬治·霍茨也將成為該團隊的實習生。

        為什么谷歌要支付高昂的薪水去修補其他公司代碼中的漏洞呢？埃文斯說 Project Zero“基本上是利他的”。谷歌為團隊成員提供了極大的自由，讓他們可以幾乎不受限制地鉆研安全難題，也許這也是谷歌招聘的籌碼，讓最頂尖的人才愿意加 入谷歌，之后他們可能會轉而進行其他的項目。谷歌表示，一個更安全的互聯網環境會使得用戶愿意點擊更多的廣告。“如果我們能從整體上提高用戶對互聯網的信 心，那么這對谷歌也是有利的。”埃文斯說。

        和其他許多公司一樣，多年來谷歌也一直在懸賞尋找漏洞，但是只尋找谷歌軟件中的漏洞是不夠的，谷歌的許多程序，如谷歌的 Chrome 瀏覽器往往會依賴第三方代碼，如 Adobe 的 Flash，以及 Windows、Mac、Linux 操作系統中的一些基礎元素。

        據前谷歌安全研究員摩根·馬奎斯-鮑伊爾所說，Project Zero 概念的誕生可以追溯到 2010 年的某天深夜，他和埃文斯在蘇黎世一家酒吧里的談話。大約凌晨 4 點的時候，話題轉到了谷歌之外的軟件安全問題對谷歌用戶的威脅。“對于利用第三方代碼編寫安全產品的人來說，這是一個非常無奈的問題。”馬奎斯-鮑伊爾 說，“攻擊者會從最弱的地方下手。騎摩托車戴頭盔的確有助于安全，但如果你穿著和服騎摩托車的話，頭盔是無法保護你的。”

        因此谷歌的野心是用谷歌的頭腦完善其他公司的產品。當 Project Zero 的黑客發現一個漏洞后，他們就會對有責任修復這個漏洞的公司發出提示，并給它 60 到 90 天的時間發布補丁，之后就會在 Project Zero 的博客上公布這個漏洞。谷歌表示，對于那些正遭到黑客頻繁攻擊的漏洞，谷歌會加快行動的速度，向軟件開發者施壓，要求其在 7 天內修復漏洞或找到變通的方案。

        在軟件數量如此龐大的今天，谷歌的 Project Zero 是否能根除漏洞還是一個懸而未決的問題。不過，團隊成員本·霍克斯表示，該團隊不必找到所有的零日漏洞，只要在這些漏洞出現在新的代碼中之前，修補這些漏 洞即可。并且 Project Zero 會戰略性地選擇目標，以最大化“漏洞碰撞”的效果，也就是說谷歌團隊發現的某個漏洞，恰巧也是間諜正在秘密利用的漏洞。

        現代的黑客往往會將一系列可以攻擊的漏洞結合起來，攻破計算機的防線，如果能修復這些漏洞中的一個，那么整個攻擊就會失敗。也就是說 Project Zero 只要發現并修補操作系統中的一小部分漏洞，就能阻斷黑客的攻擊。

        “在這個問題上，我們會取得很大的進展。”埃文斯說，“現在是一個很好的時機，相信我們可以阻止零日攻擊。”

                    <span id="shareA4" class="fl">                            
                        </span> 

</div>