正文
18个Flash漏洞的表
单
。
一路走来——“
Project Zero
”
的缘起
虽然,
Google
公司是于
2014年
才正式组建的
Project Zero
,
但是该团队的起源却可以追溯到
2009年
。
提到信息安全问题,很多公司通常要到面临紧急情况的时候才能意识到其严重性。而对于当时的
Google而言
,
其遭遇的紧急事件正是
“
极光行动
”
(
Operation Aurora
)。
2009年
,
一个与中国政府有关的网络间谍组织入侵了
Google和其他
一些
科技巨头的服务器,窃取了他们的知识产权,并试图监视其用户。此举激怒了
Google的高管,使得Google最终退出了中国——这个世界上最大的市场
。
该事件让
Google
的联合创始人
Sergey Brin
感到
十分不安。计算机取证公司和调查人员认定,
Google遭受的攻击并不是自己的软件错误,而是
由微软
IE6中的
一个未修复漏洞造成的。此事令
Brin
不禁自问,为什么
Google的安全性要依赖于其他公司的产品
?
在接下来的几个月里,
Google开始
不断对外施压,要求竞争对手解决他们软件代码中的漏洞。
Google与其同行之间的
这场没有硝烟的战斗很快就成为传奇故事。漏洞猎手
Tavis Ormandy
正是凭借自身出神入化的漏洞修复手段,成为其中的核心人物,闻名于同行之间。
在
“
极光行动
”
出现
后不久,
Ormandy就
披露了他几个月前在微软
Windows
操作系统中发现的一个漏洞,攻击者可以利用该漏洞入侵个人电脑并使其瘫痪。在等待微软回复的七个月后,他决定靠自己来解决问题。
2010年1月,Ormandy在
一封
“
全面披露
”的
邮件中发布了该漏洞的详细情况和可能遭受的攻击。他的想法是:如果微软不及时解决这个问题,用户至少也应该对该问题有所了解,好让他们能够有自行探索应对方法的依据。几个月后,他对所发现的
Oracle的Java
软件
漏洞,以及另一个更严重的
Windows漏洞采取了相同的办法——对于
后者,
Ormandy
仅在向微软汇报了五天后就采取了行动。
有人谴责
Ormandy的
这一行为,称其对用户安全造成了危害。两位
Verizon的信息安全专家在一篇博客文章中
称,采取这种
“
全面披露
”方式
的研究人员都是
“
自恋的漏洞皮条客
”
。
对此评价,
Ormandy并
未理会。
2013年,他再次选择在Windows发布修复之前将漏洞公开。他认为,如果没有
一个研究人员用这种公开披露的方式对其进行施压,他们根本就没有紧迫感,不可能会及时对这些问题进行修复,如此一来,所有人都将处于危险之中。
2014,Google
悄悄地创建了
“Project Zero”
(该名字暗指
“零日
漏洞
”
,这一术语是信息安全专家用来描述完全没有时间解决的未知安全漏洞)。公司制定了一套协议,并让
Chrome前任安全总监Chris Evans
担
任负责人。之后,
Evans
开始招募
Google员工和其他人
加入团队。
【
Chris Evans——负责为Project Zero
招募人才】
他招募了当时在瑞士的英裔安全研究员
Ian Beer
,他对
挖掘苹果代码错误有着强烈的兴趣;
Ormandy
也是一名英国人,他因与微软的公开冲突而闻名;
Ben Hawkes,一名因发现Adobe Flash和微软Office
漏洞而闻名的新西兰人。另外,
Evans
还
招募了
George Hotz做实习生
,
他应该是团队中最年轻的一位,不过他的本领可不小:他曾在一个黑客竞赛中成功入侵了
Chrome浏览器,赢得了15万美元
奖金。
2014年4月,“Project Zero”完成了成立以来的首次“亮相
”:
苹果在一份简报中赞扬了一名
Google研究人员,因为
他发现了一个会让黑客控制
Safari浏览器的漏洞
。
苹果公司在文中向
“Google Project Zero团队的Ian Beer”
表示了感谢。
在
Twitter
的信息安全社区中,人们开始讨论这是怎样一个神秘组织。
2014年4月24日
,
纽约网络安全顾问
Trail of Bits CEO
兼联合创始人
Dan Guido在推文中问道
:
“Project Zero
是什么?
”
美国民权同盟的
CTO Chris Soghoian
也
提到:
“
Apple安全更新日志中竟
对
一位神秘的
Google Project Zero员工表
达了感谢。
”
【
Dan和Chris 的推文
内容】
很快地,
Project Zero收到了更多
的赞誉。
5月份,苹果
感谢
Beer发现
了其
OS X系统中的几个
漏洞。一个月后,微软对一个可能击溃其恶意软件保护程序的漏洞打了补丁,并在报告中感谢了
Project Zero的Tavis Ormandy。
