揭秘|Google精英黑客团队ProjectZero：守护全世界的安全|雷竞技(RAYBET)

团队打电话。最后他采行了另一个解决方案，通过自己的Twitter账号求救。“有谁是在Cloudflare安全部门工作的，能立刻联系我吗？”公布的时候，是太平洋时间的下午五点。

Ormandy没@Cloudflare公司。他不必须。因为他在信息安全专业人士挤满的热门社区中声名载有道，在他按下“发送到”键的15分钟内，世界上每一个必须告诉和很多不必须告诉的人都能看到他的这条facebook。

伦敦当地时间凌晨1:26，John Graham-Cumming的手机将他吵醒。这位Cloudflare CTO烫了烫眼睛，拿着了手机。他没有收到电话。

电话的是仅有的几个被佩在白名单里，能在午夜给他打电话的人。他立刻发短信问再次发生了什么情况。他的同事立刻对此，“出有了相当严重的安全性问题。

”他怒跪了一起并恢复，“我立刻上线。”这位CTO从床上摇动，冲到楼下，拿走了他为这样种场合打算的装备——充电器，耳机，额外的电池。他启动了电脑，并很快重新加入了和Cloudflare加州总部的同事一起展开的会议。安全性小组向他讲解了局势情况。

Google的Project Zero团队在他们的基础设施中找到了一个bug , 一个相当严重的bug。他们的协助运营多达600万个客户网站的服务器，不存在数据外泄。

这些客户还包括FBI，纳斯达克和Reddit。任何人都可以采访Cloudflare反对的站点，并在某些情况下提供该网络上另一站点用户的偷窥tokens、内存和私人消息。这些用户还包括Uber、1Password、OKCupid和Fitbit。

Ormandy和Graham-Cumming信息曝露在众目睽睽之下。更加差劲的是，搜索引擎和其他网络爬虫工具早已将外泄的数据内存了长约数月。

封锁外泄源头也无法几乎解决问题。“这就像一次漏油事件”，Graham-Cumming说道，“处置一个油罐的漏洞很更容易，但无以的是有很多被污染的海床必须清扫。

”所以Cloudflare的工程师有的忙活了。全职兼任美国网络黑客戏剧《机器人先生》的Cloudflare安全性顾问的Marc Rogers领导了分流工作。在将近一个小时的时间内，团队发售了一个初始的改版程序，从而将全球漏洞挡住。

几个小时后，技术人员顺利地完全恢复了造成错误的功能。Ormandy公布那条推文将近七个小时之后，Cloudflare的工程师们设法拒绝主要的搜索引擎——Google、微软公司、雅虎，清理了历史网页。

这是一个小长假的开始。Cloudflare工程师花上了剩下的时间来评估有多少数据和什么类型的数据被泄漏了，以及这件事情不会导致多大的影响。Cloudflare的较慢号召令Google的Project Zero团队印象深刻印象。

但随着两个团队之间关于发布泄漏内容日期的谈判积极开展，他们的关系开始变僵。双方本来继续表示同意在2月21日周二发布，但Cloudflare未履行诺言，并声称必须更好的时间展开清扫。于是发布的日期从周二变为了周三，又变到了周四。

Google忍无可忍：无论Cloudflare否已完成了评估，否保证清理了网络内存中的外泄数据，周四下午都将发布泄漏情况。双方同意在在2月23日发布。一周的互联网混乱也随之而来。二即使不是Google的Project Zero的成员，也告诉信息安全危机在全球范围愈演愈烈。

每个公司都变为了为科技公司，黑客更加广泛。这些黑客在企业银行账户上偷窃，窥视个人信息，介入议会选举。新闻头条也令人发指：多达10亿的雅虎帐户损毁。黑客从SWIFT金融网络盗取了数百万美元。

2016年美国总统大选之前，民主党全国委员会的无数私人电子邮件遭曝光。据美国身份偷窃资源中心统计资料，美国公司和政府机构在2016年再次发生了比2015年多了40％的信息泄漏，这还只是激进估算。与此同时，据研究的组织Ponemon所展开的一项研究表明，目前数据泄漏的平均值成本升至了360万美元。

无论是程序员造成的错误，还是某一国家的黑客不信，数据泄漏都是新的常态。因此，高管们的点子是，将代码问题助长在兴起之前不会更为经济，以避免问题像滚雪球一样就越扯越大。

但事情并这不是那么非常简单。很多公司并不把信息安全放在首位，也不把它当作产品交付给前的指标。根据CA Technologies今年初并购的应用软件安全性公司Veracode的调研，参予调研的500位IT经理中，有83％否认曾在测试bug和解决问题安全性问题之前就公布了代码。

同时，信息安全行业也面对人才紧缺。思科公司预计全球有100万个遗缺的信息安全岗位。赛门铁克预计，到2019年遗缺将减少到150万个。

还有人预计，到2021年，这一数字将减至350万。即使是一家有钱人、有志还有声望来反对信息安全的公司，也无法防止有缺陷的代码产生的影响。最差的质量监控程序和灵活研发的方式，也无法法捕捉到每一个错误。

许多公司，还包括微软公司和苹果都有内部安全性研究团队调查自家的软件。但很少有团队还有余力研究其他公司的软件。

这就是Google如此不同寻常的原因。对于Ormandy和Project Zero的十几个人来说，他们的管辖权是没界限的，看清互联网的任何地方他们都能触碰。监察全网空间不仅对人类有益处，对企业也是有益处的。

三Google于2014年月重新组建Project Zero，团队的起源可以追溯到2009年。面临信息安全问题，很多公司常常要到面对紧急情况时才意识到其严重性。

对于Google而言，那一刻是“极光行动”（Operation Aurora）。2009年，与天朝涉及的网络间谍集团反击了Google和其他一些技术巨头，毁坏他们服务器，盗取他们的科学知识，并企图监控其用户。

这一反击触怒了Google的高层管理人员，使得Google最后解散了中国。此次事件令Google牵头创始人Sergey Brin深感尤其后遗症。计算机核查公司和调查人员确认，Google遭到的反击并不是自己的软件错误，而是通过微软公司IE6中的漏洞展开侵略的。

他想要告诉，凭什么Google的安全性要依赖其他公司的产品呢？在接下来的几个月中，Google开始更为大力地拒绝竞争对手解决问题他们软件缺陷。Google与其同行之间的战斗迅速就沦为传奇故事。Bug猎手Tavis Ormandy凭借这自己出神入化的解决问题手段，岿然处在这些争端的中心。“极光行动”公开发表之后旋即，Ormandy就透漏了他几个月前找到的微软公司Windows一个漏洞，可能会让黑客攻击个人电脑并使其中断。

在等了微软公司七个月后，他要求靠自己来解决问题。2010年1月，Ormandy在给信息安全研究同行的“全面透露”邮件中，公布了漏洞情况和有可能遭到的反击。他的指出：如果微软公司不及时解决问题这个问题，最少应当让人们告诉这个问题，好让人们制订自己的解决方案。

几个月之后，他对一个影响Oracle的Java软件的bug，和一个更大的Windows漏洞采行了完全相同的办法。后者则是在向微软公司汇报了五天之后。有人指责Ormandy的不道德，声称这伤害了安全性。

在一篇博客文章中，两名Verizon的信息安全专家称之为，自由选择了这些全面透露路线的研究人员都是“神经质的漏洞皮条客”。Ormandy并不理会。在2013年，他再度自由选择在Windows公布修缮之前将漏洞公开发表。他指出，如果没学者车站出来给他们施加压力，他们就没紧迫感，就不会无限期地处置这些问题，使每个人都正处于危险性之中。

2014，Google秘密地月确认了Project Zero的团队（这个名字似乎了0Day漏洞，这一术语是信息安全专家用来叙述几乎没时间解决问题的不得而知安全漏洞）。公司制订了一套协议，让Chrome前任安全性总监Chris Evans主持人工作。Evans随后召募了Google员工和其他人到团队。

他召募了在瑞士的英裔安全性研究员Ian Beer，他对找到苹果代码错误有种类似的爱好；Ormandy，一个因与微软公司的公开发表冲突而著称英国大汉；Ben Hawkes，一名因找到Adobe Flash和微软公司Office的bug而著称的新西兰人；还有少年George Hotz做到实习生，他早些时候在一个黑客竞赛中黑入了Chrome浏览器，夺得了15万美元。Project Zero首次公开发表是在2014年4月，当时苹果在一份结尾的文字中称赞一名Google研究人员，因为其找到了一个不会让黑客掌控能运营苹果Safari浏览器的软件的漏洞。文中向“Google Project Zero团队的Ian Beer”回应了感激。

在Twitter上，安全性社区都对这个秘密小组深感奇怪。“什么是Project Zero？”纽约网络安全顾问Trail of Bits CEO和牵头创始人Dan Guido在引文中问道。美国公民自由联盟CTO Chris Soghoian也很奇怪，“Apple安全更新日志中竟对谜样的Google Project Zero的员工对回应了感激。”Dan和Chris 的推文Project Zero慢慢接到了更好感激。

5月份，苹果对Beer找到其OS X系统中的几个bug表示感谢。一个月后，微软公司对一个bug打了补丁，并感激了Project Zero的Tavis Ormandy。那时，注目安全性问题的人群中，这一团队是必不可少的话题。

Evans最后要求在公司博客中月宣告了他们的不存在。他回应：“人们应当需要权利地用于网络，而不必担忧犯罪或国家赞助商的人利用软件漏洞病毒感染他们的计算机，盗取秘密或监控通信情况。”他援引了针对企业和人权的间谍活动例子，指出这些是无良的折磨，指出“这应当被阻止”。

Evans一年后离开了团队重新加入特斯拉，现在兼任一家漏洞赏金公司HackerOne的顾问。Hawkes现在是Project Zero的领导。如今，Evans更为慎重地叙述了该团队的起源。

他说道：“Project Zero源于多年深度的午餐时间对话，和多年对反击演进的仔细观察。我们期望建构专心于顶级信息安全反攻研究的工作，更有世界上最杰出的人才转入公共研究领域。

”这或许是一个较为艰难的挑战。私有资金更有了许多世界上最差的黑客，诱使他们秘密工作，政府和其他团队通过经纪人为他们的调查结果缴纳高昂的报酬。如果研究无法发布，就不会有人为此苦难，Evans如此指出。自从Zero Project月组队，三年中这个精英黑客小组早已沦为地球上最高效的计算机漏洞终结者之一。

尽管普通消费者不告诉这些人：James Forshaw、Natalie Silvanovich、Gal Beniamini。但世界都不出他们的一份感谢，因为他们为了确保我们数字设备和服务的安全性贡献了许多。团队还对其他公司产品的一系列改良负责管理，还包括寻找并协助修缮操作系统、防病毒软件、密码管理器、进源代码库和其他软件中的一千多个安全漏洞。Project Zero目前为止公布了70多篇有关其工作的博客文章，其中一些文章是目前网上最差的公共安全研究资源。

该团队的工作间接不利于Google的主要业务：在线广告。维护互联网用户免遭威胁，意味著维护公司为这些用户获取广告的能力。

Project Zero的希望使供应商陷入困境的同时，也被迫他们修缮造成Google产品瓦解的bug。网络安全企业家、知名苹果黑客以及前Square移动安全部门负责人Dino Dai Zovi回应：“这是一个很睡的名字，但它就像一只牧羊犬。牧羊犬不是狼，它仁慈，但也追赶羊，让它们返回羊圈中。”四四月，Project Zero的三名成员前往迈阿密参与了Infiltrate安全性会议，这次会议基本都注目在黑客领域的反攻末端。

在一个剩是阳光、沙滩和跑车的城市中，黑客团队看上去有点格格不入。Hawkes、Ormandy和德国安全性研究员Thomas Dullien（Zero团队的成员，以绰号“Halvar Flake”更加为人所知），挤满在Fontainebleau酒店的草坪上，在棕榈树下啜饮鸡尾酒。与他们一起的，还有Google的其他参会者，这些Google员工谈及工作，青睐的科幻小说，以及如何维护黑客历史。

对于Ormandy被迫面临的让厂商修缮他们代码这件事，Dave Aitel说道到：“人们就是会给你好脸色。不过你告诉，你不必须处置这些问题的。”Aitel是一名前NSA黑客，他运营着一个进攻性黑客商店Immunity。

Aitel甚至还笑话似的，企图劝说Ormandy重新加入黑客研究员的“黑暗面”，也就是找到漏洞后卖出去，而不是报告给不受影响的公司。各类设备的漏洞奖金金额当时Ormandy只是耸了耸肩笑了笑。他有可能是一个不会让人实在很困难的人，但他的目标是纯粹的。

尽管外界看上去Project Zero锋芒毕露，但由于其理想与现实世界的复杂性相冲突，团队被迫显得更为灵活性。他们最初规定的是很严苛的90天透露累计日期，而对于那些于是以被大力利用的漏洞则只有七天。但在几次于公司公布改版之前就透露漏洞的事件后，如微软公司就习惯在每周二公布补丁，造成团队受到了颇多谴责。它也因此为90天的期限减少了14天的扩展期，防止厂商准备好了补丁但还没有公布。

Katie Moussouris称之为，Project Zero享有业内最具体的透露政策。她曾协助微软公司制订了透露政策，现在则运营着自己的漏洞赏金咨询公司Luta Security。她指出这是一件好事。

许多公司没如何报告漏洞的指南，也缺少指导研究者如何及何时发布漏洞的政策。有一些的组织给公司打算的修缮软件的时间，比Google较少。

一脉相承自卡内基梅隆大学的一个团体Cert CC，给的期限只有45天，不过他们不会根据各情况展开调整。Project Zero团队不会很快称赞采取行动来修缮bug的公司，也不会严厉批评那些对此较慢的公司。今年早些时候，Ormandy在推特上说道，他和同事Natalie Silvanovich“在内存中找到了最差劲的Windows远程代码执行”，这意味著可以远程控制基于Windows的系统。他说道到，这个漏洞极为危险性。

他们两人与微软公司合作修复了这个bug，并在附后的引文中对微软公司安全部门的反应赞誉有嘉。科技公司可能会对Project Zero的大胆深感惧怕，但他们应当深感恳求，因为这些黑客不愿杯葛那些促成一些研究人员把研究结果出售的动机。

在黑客渐渐专业化的这几年中，Project Zero发布的这些bug早已在市场上兴起了。各国政府、情报机构、犯罪分子，都想要享有这些漏洞，而且不愿缴纳高昂的价格。

好在软件公司更加多地发动了漏洞奖励计划，让天平不至于只向蓄意的一方弯曲。这些奖励为研究人员的时间、精力和专长获取了补偿。但赏金金额有可能总有一天都比不上暗市能得出的价格。IBM著名安全性大师兼高管Bruce Schneier回应：“无论Google为漏洞给的奖励是什么，有的政府都将代价更好的代价。

”Dullien也回应，如今对于黑客技能的市场需求让自己深感吃惊，曾多次这只是在黑暗地下室的嗜好，现在却变为了政府大厅里是一个职业。“它是90年代的亚文化，就像嘻哈、霹雳舞、滑板或涂鸦一样，但现在的情况毕竟，军方觉得很有用。”五据Cloudflare CEO兼任牵头创始人Matthew Prince说道，Google顶级安全性研究员找到的漏洞，最初使他的公司完全丧失了一个月的营收。不过如果这段经历真为让他实在很差劲，他也许会把它说道出来。

他当然告诉被确实蓄意的黑客识破是什么感觉。几年前，一个取名为“UGNazi”的黑客的组织白入了Prince的个人Gmail帐户，用它掌控了他的企业邮件帐户，然后再行借以挟持了Cloudflare的基础架构。

这些黑客本有可能导致重大损失，不过他们只是将4chan.org（一个黑客社区）的地址新的定向到了他们个人的Twitter页面，以作宣传。Prince很愧疚，没在Google和Cloudflare公布可行性调查结果之前，向客户通报公司的全部问题。他期望公司在客户读者有关新闻报道前，就将漏洞的事警告了客户。

即使如此，他回想起来，还是实在Project Zero团队对于在何时透露漏洞是对的。据他熟知，漏洞发布后没有找到任何与它涉及的重大损失，没密码、信用卡号或身体健康记录被泄漏。Prince回应，Cloudflare早已制订了新的控制措施，以避免这种事件再次发生。

公司开始审查所有代码，并聘用外部测试人员做到某种程度的事情。它还创建了一个更加简单的系统，用作辨识少见的软件瓦解，这往往指出不存在漏洞。对于漏洞及其后果，他说道，幸而是Tavis和他的团队找到了漏洞，而不是一些可怕的黑客。

当然，他也总有一天无法回避另一个人或的组织，有泄露数据副本的可能性。这也是Project Zero的观点，对于其每一个团队成员来说，有无数其他研究人员在私下工作，他们的目标不过于高尚。

这是你所告诉和不告诉的恶魔。所附注目漏洞市场的小科学知识：有两个漏洞市场：反攻和防御。

前者还包括民族国家，有的组织犯罪集团和其他黑客攻击者。后者还包括漏洞赏金项目和销售安全性产品的公司。反攻市场的价格较高，没下限。

他们不只是出售漏洞，也不会出售利用漏洞但会被检测到的能力。购买者很高调。防御市场的缴纳能力不强劲，基本会有厂商会为寻找漏洞的顶级开发者补偿上百万美元。

尽管主要公司的代码质量正在提高，但复杂性仍在大大减少，这也意味著更好的错误。安全性研究人员对特定的漏洞有可能采行的行动，往往各不相同他们的财务市场需求，他们对一款软件或厂商的主观货币，以及他们自己的个人风险偏爱。这里不只是非常简单的黑白分明。版权文章，予以许可禁令刊登。

下文闻刊登须知。

本文来源：雷竞技(RAYBET)-www.666bike.com