谷歌的黑客夢之隊

谷歌廣納黑客奇才，組建了黑客「夢之隊」Project Zero，然而它的使命卻不僅是提升谷歌產品的安全性，它還會幫助其餘公司尋找最易被黑客利用的零日漏洞

 

2007年，17歲的喬治·霍茨成爲世界上第一個破解iPhone的AT&T鎖的人，當時，各家公司都沒有理會他，只是忙着修補他披露出來的漏洞。以後，他又對Playstation 3進行了逆向工程開發，索尼起訴了霍茨，最終他答應永遠再也不攻擊索尼的產品。

今 年早些時候，當霍茨再次破解了谷歌Chrome的操做系統防禦時，谷歌卻給了他150,000美圓，讓他幫助修補他所發現的漏洞。2個月後，谷歌 的安全工程師克里斯·埃文斯經過電子郵件向他發出了邀請，詢問他是否願意加入谷歌旗下的一支全職黑客精英部隊，這個團隊專門查找互聯網上全部流行軟件的安 全漏洞。

如今，谷歌正式對外公佈了這支名爲Project Zero的團隊，他們惟一的使命就是跟蹤、修補軟件中的潛在漏洞。安全行業將這些發現後即刻被惡意利用的漏洞稱爲「零日漏洞」，犯罪分子、國家資助的黑客 和情報機構都會利用這些漏洞。Project Zero的黑客不只會尋找谷歌產品中的漏洞，他們還能夠自由地攻擊其餘軟件，以迫使其餘的公司更好地保護谷歌用戶。

 

Project Zero已經在谷歌內部招募了一些成員，組建黑客「夢之隊」：齊蘭德·本·霍克斯因在2013年發現了Adobe Flash、微軟Office應用等的多個漏洞而名聲大噪；英國研究員塔維斯·奧曼迪是業內著名的高產「漏洞獵人」之一；上文提到的美國黑客神童喬治·霍 茨也將成爲該團隊的實習生。

爲何谷歌要支付高昂的薪水去修補其餘公司代碼中的漏洞呢？埃文斯說Project Zero「基本上是利他的」。谷歌爲團隊成員提供了極大的自由，讓他們能夠幾乎不受限制地鑽研安全難題，也許這也是谷歌招聘的籌碼，讓最頂尖的人才願意加 入谷歌，以後他們可能會轉而進行其餘的項目。谷歌表示，一個更安全的互聯網環境會使得用戶願意點擊更多的廣告。「若是咱們能從總體上提升用戶對互聯網的信 心，那麼這對谷歌也是有利的。」埃文斯說。

和其餘許多公司同樣，多年來谷歌也一直在懸賞尋找漏洞，可是隻尋找谷歌軟件中的漏洞是不夠的，谷歌的許多程序，如谷歌的Chrome瀏覽器每每會依賴第三方代碼，如Adobe的Flash，以及Windows、Mac、Linux操做系統中的一些基礎元素。

據 前谷歌安全研究員摩根·馬奎斯-鮑伊爾所說，Project Zero概念的誕生能夠追溯到2010年的某天深夜，他和埃文斯在蘇黎世一家酒吧裏的談話。大約凌晨4點的時候，話題轉到了谷歌以外的軟件安全問題對谷歌 用戶的威脅。「對於利用第三方代碼編寫安全產品的人來講，這是一個很是無奈的問題。」馬奎斯-鮑伊爾說，「攻擊者會從最弱的地方下手。騎摩托車戴頭盔的確 有助於安全，但若是你穿着和服騎摩托車的話，頭盔是沒法保護你的。」

所以谷歌的野心是用谷歌的頭腦完善其餘公司的產品。當Project Zero的黑客發現一個漏洞後，他們就會對有責任修復這個漏洞的公司發出提示，並給它60到90天的時間發佈補丁，以後就會在Project Zero的博客上公佈這個漏洞。谷歌表示，對於那些正遭到黑客頻繁攻擊的漏洞，谷歌會加快行動的速度，向軟件開發者施壓，要求其在7天內修復漏洞或找到變 通的方案。

 

 

在 軟件數量如此龐大的今天，谷歌的Project Zero是否能根除漏洞仍是一個懸而未決的問題。不過，團隊成員本·霍克斯表示，該團隊沒必要找到全部的零日漏洞，只要在這些漏洞出如今新的代碼中以前，修 補這些漏洞便可。而且Project Zero會戰略性地選擇目標，以最大化「漏洞碰撞」的效果，也就是說谷歌團隊發現的某個漏洞，恰巧也是間諜正在祕密利用的漏洞。

現代的黑客每每會將一系列能夠攻擊的漏洞結合起來，攻破計算機的防線，若是能修復這些漏洞中的一個，那麼整個攻擊就會失敗。也就是說Project Zero只要發現並修補操做系統中的一小部分漏洞，就能阻斷黑客的攻擊。

「在這個問題上，咱們會取得很大的進展。」埃文斯說，「如今是一個很好的時機，相信咱們能夠阻止零日攻擊。」