雷鋒網(wǎng)按：在這個萬物聯(lián)網(wǎng)的時代，信息安全是不可避免的問題，然而我們似乎對它還沒有足夠的重視。幸好Google走在了時代的前線，設(shè)立一個不僅關(guān)注自家安全問題，更關(guān)注整個業(yè)界安全的團隊Project Zero。

它像一個孤膽英雄，對抗著全球數(shù)字威脅，它有點急躁，也備受爭議。團隊成員用自己的方式維護互聯(lián)網(wǎng)安全。最近Fortune一篇長文對這一團隊進行了詳細報道，雷鋒網(wǎng)對文章編譯如下：

一

一個星期五下午，在加州山景城的Google總部，安全研究大神Tavis Ormandy正在他的工位上執(zhí)行一些常規(guī)的“模糊測試”。這是一種常見的代碼測試技術(shù)，可以通過隨機數(shù)據(jù)使軟件中的缺陷暴露出來。隨后他在數(shù)據(jù)集中發(fā)現(xiàn)了一些問題，但奇怪的是，這并非典型的破損數(shù)據(jù)。測試結(jié)果沒有得到預(yù)期的輸出，反而出現(xiàn)奇怪的配置異?！罅康膬?nèi)存散落。所以他繼續(xù)深挖。

在收集足夠的信息后，Ormandy召集同事分享了發(fā)現(xiàn)的一切。這個名為Project Zero的Google團隊很快發(fā)現(xiàn)問題的實質(zhì)：大量數(shù)據(jù)正從從舊金山的Cloudflare公司泄漏出去。大多數(shù)情況下，Cloudflare的內(nèi)容分發(fā)網(wǎng)絡(luò)大概可以處理世界互聯(lián)網(wǎng)流量的十分之一，并且沒有時延。但Ormandy發(fā)現(xiàn)，該公司的服務(wù)器其實在網(wǎng)絡(luò)上泄露了人們的私人數(shù)據(jù)。這些信息已經(jīng)泄漏了好幾個月。

Ormandy在Cloudflare沒有認識的人，他猶豫著要不要在一個三天小長假的前一晚給Cloudflare的技術(shù)支持團隊打電話。最后他采取了另一個解決方案，通過自己的Twitter賬號求助。

“有誰是在Cloudflare安全部門工作的，能馬上聯(lián)系我嗎？”

發(fā)布的時候，是太平洋時間的下午五點。

Ormandy沒有@Cloudflare公司。他不需要。因為他在信息安全專業(yè)人士聚集的熱門社區(qū)中聲名載道，在他按下“發(fā)送”鍵的15分鐘內(nèi)，世界上每一個需要知道和很多不需要知道的人都能看見他的這條留言。

倫敦當(dāng)?shù)貢r間凌晨1:26，John Graham-Cumming的手機將他吵醒。這位Cloudflare CTO揉了揉眼睛，拿起了手機。他沒接到電話。來電的是僅有的幾個被列在白名單里，能在午夜給他打電話的人。他馬上發(fā)短信問發(fā)生了什么情況。

他的同事立即回應(yīng)，“出了嚴(yán)重的安全問題?！?/p>

他驚坐了起來并回復(fù)，“我馬上上線?！?/p>

這位CTO從床上彈起，沖到樓下，拿出了他為這樣種場合準(zhǔn)備的裝備——充電器，耳機，額外的電池。 他啟動了電腦，并迅速加入了和Cloudflare加州總部的同事一起進行的會議。

安全小組向他介紹了局勢情況。Google的Project Zero團隊在他們的基礎(chǔ)設(shè)施中發(fā)現(xiàn)了一個bug , 一個嚴(yán)重的bug。他們的幫助運行超過600萬個客戶網(wǎng)站的服務(wù)器，存在數(shù)據(jù)泄漏。這些客戶包括FBI，納斯達克和Reddit。任何人都可以訪問Cloudflare支持的站點，并在某些情況下獲取該網(wǎng)絡(luò)上另一站點用戶的私密tokens、緩存和私人消息。這些用戶包括Uber、1Password、OKCupid和Fitbit。

 Ormandy和Graham-Cumming

信息暴露在眾目睽睽之下。更糟糕的是，搜索引擎和其他網(wǎng)絡(luò)爬蟲工具已經(jīng)將泄漏的數(shù)據(jù)緩存了長達數(shù)月。 封鎖泄漏源頭也不能完全解決問題。

“這就像一次漏油事件”，Graham-Cumming說，“處理一個油罐的漏洞很容易，但難的是有很多被污染的海床需要清理?！?/p>

所以Cloudflare的工程師有的忙活了。兼職擔(dān)任美國網(wǎng)絡(luò)黑客戲劇《機器人先生》的Cloudflare安全顧問的Marc Rogers領(lǐng)導(dǎo)了分流工作。在不到一個小時的時間內(nèi)，團隊推出了一個初始的更新程序，從而將全球漏洞堵住。幾個小時后，技術(shù)人員成功地恢復(fù)了導(dǎo)致錯誤的功能。Ormandy發(fā)布那條推文將近七個小時之后，Cloudflare的工程師們設(shè)法要求主要的搜索引擎——Google、微軟、雅虎，清除了歷史網(wǎng)頁。

這是一個小長假的開始。Cloudflare工程師花了剩余的時間來評估有多少數(shù)據(jù)和什么類型的數(shù)據(jù)被泄露了，以及這件事情會造成多大的影響。

Cloudflare的快速響應(yīng)令Google的Project Zero團隊印象深刻。但隨著兩個團隊之間關(guān)于公布泄露內(nèi)容日期的談判開展，他們的關(guān)系開始變僵。雙方本來暫時同意在2月21日周二公布，但Cloudflare并未履行諾言，并聲稱需要更多的時間進行清理。于是公布的日期從周二變成了周三，又變到了周四。Google忍無可忍：無論Cloudflare是否完成了評估，是否確保清除了網(wǎng)絡(luò)緩存中的泄漏數(shù)據(jù)，周四下午都將公布泄露情況。

雙方同意在在2月23日公布。一周的互聯(lián)網(wǎng)恐慌也隨之而來。

二

即使不是Google的Project Zero的成員，也知道信息安全危機在全球范圍愈演愈烈。每個公司都變成了為科技公司，黑客越來越普遍。這些黑客在企業(yè)銀行賬戶上偷盜，窺探個人信息，干預(yù)選舉。新聞頭條也令人發(fā)指：超過10億的雅虎帳戶受損。黑客從SWIFT金融網(wǎng)絡(luò)竊取了數(shù)百萬美元。2016年美國總統(tǒng)大選之前，民主黨全國委員會的無數(shù)私人電子郵件遭到曝光。

據(jù)美國身份盜竊資源中心統(tǒng)計，美國公司和政府機構(gòu)在2016年發(fā)生了比2015年多了40％的信息泄露，這還只是保守估計。與此同時，據(jù)研究組織Ponemon所進行的一項研究顯示，目前數(shù)據(jù)泄露的平均成本升到了360萬美元。

無論是程序員導(dǎo)致的錯誤，還是某一國家的黑客作怪，數(shù)據(jù)泄露都是新的常態(tài)。因此，高管們的想法是，將代碼問題扼殺在萌芽之前會更加經(jīng)濟，以防止問題像滾雪球一樣越滾越大。

但事情并這不是那么簡單。很多公司并不把信息安全放在首位，也不把它當(dāng)成產(chǎn)品交付前的指標(biāo)。根據(jù)CA Technologies今年初收購的應(yīng)用軟件安全公司Veracode的調(diào)研，參與調(diào)研的500位IT經(jīng)理中，有83％承認曾在測試bug和解決安全問題之前就發(fā)布了代碼。同時，信息安全行業(yè)也面臨人才短缺。思科公司預(yù)計全球有100萬個空缺的信息安全崗位。賽門鐵克預(yù)計，到2019年空缺將增加到150萬個。還有人預(yù)計，到2021年，這一數(shù)字將增至350萬。

即使是一家有錢、有志還有聲望來支持信息安全的公司，也無法避免有缺陷的代碼產(chǎn)生的影響。最好的質(zhì)量監(jiān)控程序和敏捷開發(fā)的方式，也無法法捕捉到每一個錯誤。

許多公司，包括微軟和蘋果都有內(nèi)部安全研究團隊調(diào)查自家的軟件。但很少有團隊還有余力研究其他公司的軟件。這就是Google如此不同尋常的原因。對于Ormandy和Project Zero的十幾個人來說，他們的管轄權(quán)是沒有界限的，觸及互聯(lián)網(wǎng)的任何地方他們都能觸碰。監(jiān)察全網(wǎng)空間不僅對人類有好處，對企業(yè)也是有好處的。

三

Google于2014年正式組建Project Zero，團隊的起源可以追溯到2009年。面對信息安全問題，很多公司經(jīng)常要到面臨緊急情況時才意識到其嚴(yán)重性。對于Google而言，那一刻是“極光行動”（Operation Aurora）。

2009年，與天朝相關(guān)的網(wǎng)絡(luò)間諜集團攻擊了Google和其他一些技術(shù)巨頭，破壞他們服務(wù)器，竊取他們的知識，并試圖監(jiān)視其用戶。這一攻擊激怒了Google的高層管理人員，使得Google最終退出了中國。

此次事件令Google聯(lián)合創(chuàng)始人Sergey Brin感到特別困擾。計算機取證公司和調(diào)查人員確定，Google遭受的攻擊并不是自己的軟件錯誤，而是通過微軟IE6中的漏洞進行入侵的。他想知道，憑什么Google的安全性要依賴于其他公司的產(chǎn)品呢？

在接下來的幾個月中，Google開始更加積極地要求競爭對手解決他們軟件缺陷。Google與其同行之間的戰(zhàn)斗很快就成為傳奇故事。Bug獵手Tavis Ormandy憑借這自己出神入化的解決手段，巋然處在這些爭端的中心。

“極光行動”公開之后不久，Ormandy就透露了他幾個月前發(fā)現(xiàn)的微軟Windows一個漏洞，可能會讓黑客攻擊個人電腦并使其癱瘓。在等了微軟七個月后，他決定靠自己來解決問題。2010年1月，Ormandy在給信息安全研究同行的“全面披露”郵件中，發(fā)布了漏洞情況和可能遭受的攻擊。他的認為：如果微軟不及時解決這個問題，至少應(yīng)該讓人們知道這個問題，好讓人們制定自己的解決方案。幾個月之后，他對一個影響Oracle的Java軟件的bug，和一個更大的Windows漏洞采取了相同的辦法。后者則是在向微軟匯報了五天之后。

有人譴責(zé)Ormandy的行為，聲稱這損害了安全。在一篇博客文章中，兩名Verizon的信息安全專家稱，選擇了這些全面披露路線的研究人員都是“自戀的漏洞皮條客”。Ormandy并不理會。在2013年，他再次選擇在Windows發(fā)布修復(fù)之前將漏洞公開。他認為，如果沒有學(xué)者站出來給他們施壓，他們就沒有緊迫感，就會無限期地處理這些問題，使每個人都處于危險之中。

2014，Google秘密地正式確定了Project Zero的團隊（這個名字暗示了0Day漏洞，這一術(shù)語是信息安全專家用來描述完全沒有時間解決的未知安全漏洞）。公司制定了一套協(xié)議，讓Chrome前任安全總監(jiān)Chris Evans主持工作。Evans隨后招募了Google員工和其他人到團隊。

他招募了在瑞士的英裔安全研究員Ian Beer，他對發(fā)現(xiàn)蘋果代碼錯誤有種特殊的喜好；Ormandy，一個因與微軟的公開沖突而聞名英國大漢；Ben Hawkes，一名因發(fā)現(xiàn)Adobe Flash和微軟Office的bug而聞名的新西蘭人；還有少年George Hotz做實習(xí)生，他早些時候在一個黑客競賽中黑進了Chrome瀏覽器，贏得了15萬美元。

Project Zero首次公開是在2014年4月，當(dāng)時蘋果在一份簡短的文字中贊揚一名Google研究人員，因為其發(fā)現(xiàn)了一個會讓黑客控制能運行蘋果Safari瀏覽器的軟件的漏洞。文中向“Google Project Zero團隊的Ian Beer”表示了感謝。

在Twitter上，安全社區(qū)都對這個秘密小組感到好奇?！笆裁词荘roject Zero？”紐約網(wǎng)絡(luò)安全顧問Trail of Bits CEO和聯(lián)合創(chuàng)始人Dan Guido在推文中問道。美國公民自由聯(lián)盟CTO Chris Soghoian也很好奇，“Apple安全更新日志中竟對神秘的Google Project Zero的員工對表示了感謝?！?/p>

Dan和Chris 的推文 

Project Zero漸漸收到了更多感謝。5月份，蘋果對Beer發(fā)現(xiàn)其OS X系統(tǒng)中的幾個bug表示感謝。一個月后，微軟對一個bug打了補丁，并感謝了Project Zero的Tavis Ormandy。

那時，關(guān)注安全問題的人群中，這一團隊是離不開的話題。Evans最終決定在公司博客中正式宣布了他們的存在。他表示：“人們應(yīng)該能夠自由地使用網(wǎng)絡(luò)，而不用擔(dān)心犯罪或國家贊助的人利用軟件漏洞感染他們的計算機，竊取秘密或監(jiān)控通信情況?！彼酸槍ζ髽I(yè)和人權(quán)的間諜活動例子，認為這些是無良的虐待，認為“這應(yīng)該被制止”。

Evans一年后離開了團隊加入特斯拉，現(xiàn)在擔(dān)任一家漏洞賞金公司HackerOne的顧問。Hawkes現(xiàn)在是Project Zero的領(lǐng)導(dǎo)。如今，Evans更加謹(jǐn)慎地描述了該團隊的起源。他說：“Project Zero源自多年深度的午餐時間對話，和多年對攻擊演變的觀察。我們希望創(chuàng)造專注于頂級信息安全進攻研究的工作，吸引世界上最優(yōu)秀的人才進入公共研究領(lǐng)域?！?/p>

這似乎是一個比較困難的挑戰(zhàn)。私有資金吸引了許多世界上最好的黑客，引誘他們秘密工作，政府和其他團隊通過經(jīng)紀(jì)人為他們的調(diào)查結(jié)果支付高昂的報酬。如果研究無法公布，就會有人為此受苦，Evans如此認為。

自從Zero Project正式組隊，三年中這個精英黑客小組已經(jīng)成為地球上最高效的計算機漏洞終結(jié)者之一。盡管普通消費者不知道這些人：James Forshaw、Natalie Silvanovich、Gal Beniamini。

但世界都欠他們的一份感激，因為他們?yōu)榱司S護我們數(shù)字設(shè)備和服務(wù)的安全貢獻了許多。團隊還對其他公司產(chǎn)品的一系列改進負責(zé)，包括找到并幫助修復(fù)操作系統(tǒng)、防病毒軟件、密碼管理器、開源代碼庫和其他軟件中的一千多個安全漏洞。Project Zero迄今發(fā)布了70多篇有關(guān)其工作的博客文章，其中一些文章是目前網(wǎng)上最好的公共安全研究資源。

該團隊的工作間接有利于Google的主要業(yè)務(wù)：在線廣告。保護互聯(lián)網(wǎng)用戶免受威脅，意味著保護公司為這些用戶提供廣告的能力。Project Zero的努力使供應(yīng)商陷入困境的同時，也迫使他們修復(fù)導(dǎo)致Google產(chǎn)品崩潰的bug。

網(wǎng)絡(luò)安全企業(yè)家、著名蘋果黑客以及前Square移動安全部門負責(zé)人Dino Dai Zovi表示：“這是一個很呆的名字，但它就像一只牧羊犬。牧羊犬不是狼，它仁慈，但也追逐羊，讓它們回到羊圈中?！?/p>

四

四月，Project Zero的三名成員前往邁阿密參加了Infiltrate安全會議，這次會議基本都關(guān)注在黑客領(lǐng)域的進攻端。

在一個滿是陽光、沙灘和跑車的城市中，黑客團隊看起來有點格格不入。Hawkes、Ormandy和德國安全研究員Thomas Dullien（Zero團隊的成員，以綽號“Halvar Flake”更為人所知），聚集在Fontainebleau酒店的草坪上，在棕櫚樹下啜飲雞尾酒。與他們一起的，還有Google的其他參會者，這些Google員工暢談工作，喜愛的科幻小說，以及如何保護黑客歷史。

對于Ormandy不得不面對的讓廠商修復(fù)他們代碼這件事，Dave Aitel說到：“人們就是不會給你好臉色。不過你知道，你不需要處理這些問題的?！盇itel是一名前NSA黑客，他運營著一個進攻性黑客商店Immunity。Aitel甚至還玩笑似的，試圖說服Ormandy加入黑客研究員的“黑暗面”，也就是發(fā)現(xiàn)漏洞后賣出去，而不是報告給受影響的公司。

各類設(shè)備的漏洞獎金金額

當(dāng)時Ormandy只是聳了聳肩笑了笑。他可能是一個會讓人覺得很麻煩的人，但他的目標(biāo)是純粹的。

盡管外界看起來Project Zero鋒芒畢露，但由于其理想與現(xiàn)實世界的復(fù)雜性相沖突，團隊不得不變得更加靈活。他們最初規(guī)定的是很嚴(yán)格的90天披露截止日期，而對于那些正被積極利用的漏洞則只有七天。但在幾次于公司發(fā)布更新之前就披露漏洞的事件后，如微軟就習(xí)慣在每周二發(fā)布補丁，導(dǎo)致團隊受到了頗多指責(zé)。它也因此為90天的期限增加了14天的拓展期，以防廠商準(zhǔn)備好了補丁但還沒發(fā)布。

Katie Moussouris稱，Project Zero擁有業(yè)內(nèi)最明確的披露政策。她曾幫助微軟制定了披露政策，現(xiàn)在則運營著自己的漏洞賞金咨詢公司Luta Security。她認為這是一件好事。許多公司沒有如何報告漏洞的指南，也缺乏指導(dǎo)研究者如何及何時公布漏洞的政策。有一些組織給公司準(zhǔn)備的修復(fù)軟件的時間，比Google更少。脫胎自卡內(nèi)基梅隆大學(xué)的一個團體Cert CC，給的期限只有45天，不過他們會根據(jù)各情況進行調(diào)整。

Project Zero團隊會迅速贊揚采取行動來修復(fù)bug的公司，也會嚴(yán)厲批評那些回應(yīng)緩慢的公司。今年早些時候，Ormandy在推特上說，他和同事Natalie Silvanovich“在內(nèi)存中發(fā)現(xiàn)了最糟糕的Windows遠程代碼執(zhí)行”，這意味著可以遠程控制基于Windows的系統(tǒng)。他說到，這個漏洞極其危險。他們兩人與微軟合作修補了這個bug，并在附后的推文中對微軟安全部門的反應(yīng)贊譽有嘉。

科技公司可能會對Project Zero的大膽感到畏懼，但他們應(yīng)該感到安慰，因為這些黑客愿意抵制那些促使一些研究人員把研究結(jié)果出售的動機。在黑客逐漸專業(yè)化的這幾年中，Project Zero公布的這些bug已經(jīng)在市場上萌芽了。各國政府、情報機構(gòu)、犯罪分子，都想擁有這些漏洞，而且愿意支付不菲的價格。好在軟件公司越來越多地發(fā)起了漏洞獎勵計劃，讓天平不至于只向惡意的一方傾斜。這些獎勵為研究人員的時間、精力和專長提供了補償。但賞金金額可能永遠都比不上暗市能給出的價格。

IBM知名安全大師兼高管Bruce Schneier表示：“無論Google為漏洞給的獎賞是什么，有的政府都將付出更多的代價?！?/p>

Dullien也表示，如今對于黑客技能的需求讓自己感到驚訝，曾經(jīng)這只是在黑暗地下室的愛好，現(xiàn)在卻變成了政府大廳里是一個職業(yè)?！八?0年代的亞文化，就像嘻哈、霹靂舞、滑板或涂鴉一樣，但現(xiàn)在的情況卻是，軍方覺得很有用?！?/p>

五

據(jù)Cloudflare CEO兼聯(lián)合創(chuàng)始人Matthew Prince說，Google頂級安全研究員發(fā)現(xiàn)的漏洞，最初使他的公司幾乎失去了一個月的營收。

不過如果這段經(jīng)歷真讓他覺得很糟糕，他或許不會把它說出來。他當(dāng)然知道被真正惡意的黑客盯上是什么感覺。幾年前，一個名為“UGNazi”的黑客組織黑進了Prince的個人Gmail帳戶，用它控制了他的企業(yè)郵件帳戶，然后再借此劫持了Cloudflare的基礎(chǔ)架構(gòu)。這些黑客本可能造成重大損失，不過他們只是將4chan.org（一個黑客社區(qū)）的地址重新定向到了他們個人的Twitter頁面，以作宣傳。

Prince很后悔，沒有在Google和Cloudflare發(fā)布初步調(diào)查結(jié)果之前，向客戶通報公司的全部問題。他希望公司在客戶閱讀有關(guān)新聞報道前，就將漏洞的事提醒了客戶。即使如此，他回想起來，還是覺得Project Zero團隊對于在何時披露漏洞是對的。據(jù)他所知，漏洞公布后沒發(fā)現(xiàn)任何與它相關(guān)的重大損失，沒有密碼、信用卡號或健康記錄被泄露。

Prince表示，Cloudflare已經(jīng)制定了新的控制措施，以防止這種事件再次發(fā)生。公司開始審查所有代碼，并聘請外部測試人員做同樣的事情。它還建立了一個更復(fù)雜的系統(tǒng)，用于識別常見的軟件崩潰，這往往表明存在漏洞。

對于漏洞及其后果，他說，幸好是Tavis和他的團隊發(fā)現(xiàn)了漏洞，而不是一些瘋狂的黑客。

當(dāng)然，他也永遠無法排除另一個人或組織，有泄密數(shù)據(jù)副本的可能性。這也是Project Zero的觀點，對于其每一個團隊成員來說，有無數(shù)其他研究人員在私下工作，他們的目標(biāo)不太高尚。這是你所知道和不知道的邪惡。

雷鋒網(wǎng)附關(guān)注漏洞市場的小知識：

有兩個漏洞市場：進攻和防守。前者包括民族國家，有組織犯罪集團和其他黑客攻擊者。后者包括漏洞賞金項目和銷售安全產(chǎn)品的公司。

進攻市場的價格較高，沒有上限。他們不只是購買漏洞，也會購買利用漏洞但不會被檢測到的能力。購買者很低調(diào)。

防守市場的支付能力不強，基本不會有廠商會為找到漏洞的頂級開發(fā)者補償上百萬美元。盡管主要公司的代碼質(zhì)量正在改善，但復(fù)雜性仍在不斷增加，這也意味著更多的錯誤。

安全研究人員對特定的漏洞可能采取的行動，往往取決于他們的財務(wù)需求，他們對一款軟件或廠商的主觀貨幣，以及他們自己的個人風(fēng)險偏好。這里不只是簡單的黑白分明。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。