当前位置:首页 > 企业新闻

揭秘|Google精英黑客团队ProjectZero:守护全世界的安全:雷火官网
本文摘要:团队打来电话。

团队打来电话。最后他想了别的解决办法,用自己的推特账号求助。

“有人在Cloudflare安全部门工作吗? 能马上联系我吗? 》公布的是太平洋时间下午5点。Ormandy没有@Cloudflare公司。他不是必须的。他以充满信息安全专家的受欢迎社区而闻名,所以在按“发送”键15分钟之内,世界上每个人都可以看到他的facebook。

伦敦当地时间上午1:26,John Graham-Cumming的手机叫醒了他。这个Cloudflare CTO温暖了眼睛,拿着手机。他没有接到电话。

只有在白名单里能在半夜给他打电话的人才打电话。他马上发邮件问再次发生了什么。

同事马上对此表示:“有相当严重的安全问题。”。他生气地跪下恢复过来,“马上上线。

”。这个CTO从床上摇晃,跳下楼,为这种情况做好了准备,拿走了——充电器、耳机和多馀的电池。

他启动了电脑,很快又参加了Cloudflare加利福尼亚总部的同事的会议。安全小组向他说明了形势。谷歌的项目zero团队在他们的基础设施中发现了bug。相当严重的bug。

他们的合作最多运营600万个客户网站的服务器,没有数据泄露。这些客户还包括联邦调查局、纳斯达克和Reddit。

任何人都可以访问Cloudflare反对的网站,有时提供该网络上其他网站用户的窥视tokens、内存和私人消息。这些用户还包括Uber、1Password、OKCupid和Fitbit。Ormandy和Graham-Cumming的信息暴露在大众眼前。

更糟糕的是,搜索引擎和其他网络爬虫工具已经把泄露的数据存储了大约几个月。封锁外部流出源几乎不能解决问题。“就像漏油事件,”Graham-Cumming说。

“处理一个油箱的漏洞很简单,但必须清理很多被污染的海底。”。

所以Cloudflare的工程师很忙。全职兼任美国网络黑客剧《机器人老师》的Cloudflare安全顾问的Marc Rogers指挥了分流工作。

将近一个小时,团队推出了早期的改版过程,阻止了全球漏洞。几小时后,技术人员顺利地完全恢复了导致错误的功能。

Ormandy发布那条推特约7小时后,Cloudflare的工程师们拒绝了主要的搜索引擎——Google、微软公司和雅虎,试图整理历史网页。这是一个小长假的开始。Cloudflare工程师花了剩下的时间来评估泄露了多少数据和什么类型的数据。

雷火官网

另外,这件事影响不大。Cloudflare的缓慢呼吁给谷歌的项目zero团队留下了深刻的印象。但是,随着两个团队之间关于发表泄露内容的日期的谈判积极进行,他们的关系开始变得僵化。

双方本来同意于2月21日星期二发表,但Cloudflare主张不履行约定,必须在更好的时间展开清扫。于是发表日从星期二改到了星期三,改到了星期四。谷歌受不了:无论Cloudflare是否完成了评估,都将在星期四下午公布泄露情况,无论是否保证清理来自网络内存的外部数据。双方同意于2月23日发表。

一周的网络混乱也在持续。即使不是Google的Project Zero成员,也要告诉全世界信息安全危机正在加剧。

每家公司都成了技术公司,黑客更广泛了。这些黑客从企业银行账户窃取,窥探个人信息,介入议会选举。新闻头条也指出最多有10亿雅虎账户受损。

黑客从SWIFT金融网络偷了数百万美元。到2016年美国总统选举为止,民主党全国委员会的无数个人邮件被曝光了。根据美国id盗窃资源中心的统计资料,美国公司和政府机构在2016年再次比2015年发生了40%的信息泄露,但这只是过激的估计。与此同时,根据正在研究的组织Ponemon开展的研究,现在数据泄露的平均成本上升到了360万美元。

即使是程序员的错误,或者某个国家的黑客不相信,数据泄露也是新的常态。因此,高管们的想法是,在发展代码问题之前助长其不经济,避免问题像雪人一样大。但这没那么简单。

很多公司没有把信息安全放在第一位,没有把产品交付前的指标。根据CA Technologies今年早些时候收购的应用程序安全公司Veracode的调查,参加调查的500名IT经理中有83%否认在错误测试和问题安全问题解决之前发布了代码。

同时,信息安全行业也面临人才短缺。思科公司预计世界上缺少一百万个信息安全岗位。赛门铁克预测,到2019年,遗缺将减少到150万个。

有些人预计到2021年这个数字将减少到350万。即使是有钱、有反对信息安全欲望的公司也无法防止缺陷代码的影响。

最坏的质量监视器程序和灵活的开发方法也不能捕获所有的错误。很多公司包括微软公司和苹果公司在内,内部安全性研究小组正在调查自己公司的软件。但是很少有业余的团队研究其他公司的软件。

雷火官网

这就是谷歌发生如此变化的原因。对Ormandy和Project Zero的十几个人来说,他们的管辖权是有限的,可以在网上到处接触。监察全网空间不仅对人类有益,对企业也有益。三谷歌在2014年重建了Project Zero,团队的起源可以追溯到2009年。

面对信息安全问题,许多企业在面临紧急情况时往往意识到其严重性。对谷歌来说,那一刻是“极光行动”(Operation Aurora )。2009年,他反击了天朝关系的网络间谍集团和谷歌及其他大型技术人员,试图破坏服务器,窃取科学知识,监视用户。

这一反击激怒了谷歌的高级管理层,谷歌最后解散了中国。这次事件使谷歌牵引了创始人Sergey Brin,特别深感后遗症。电脑检查公司和调查员确认,谷歌受到的反击不是自己的软件错误,而是通过微软公司IE6的脆弱性展开了侵略。

他想告诉我谷歌的安全性取决于其他公司的产品。在接下来的几个月里,谷歌开始更有力地拒绝竞争对手解决问题。谷歌和同行之间的战斗迅速成为了传说。

臭虫猎人Tavis Ormandy通过这个自己神化的问题解决手段位于这些争端的中心。“极光行动”发布后,Ormandy可能会泄露几个月前发现的微软公司Windows的漏洞,黑客攻击电脑使其中断。

等了微软公司七个月后,他要求自己解决问题。2010年1月,Ormandy在给信息安全研究伙伴的“全面公开”邮件中,发表了脆弱性的状况和反击的可能性。

他指出,如果微软公司不及时解决问题,至少要告诉人们这个问题,让人们制定自己的解决办法。几个月后,他对影响Oracle Java软件的bug和更大的Windows漏洞采取了完全相同的方法。后者是在向微软公司报告五天后。

也有人谴责Ormandy的不道德,声称伤害了安全性。一篇博客文章中,两个Verizon的信息安全专家说自由选择这些全面渠道的研究者是“神经质漏洞的妓女”。Ormandy不在乎。

2013年,Windows再次自由选择在宣布翻新之前公开漏洞。他指出,如果学者站出来不对他们施加压力,他们没有紧迫感,就不会无限期处理这些问题,每个人都处于危险之中。2014年,谷歌秘密确认了项目zero的团队(这个名字好像是0Day的漏洞。这个术语用于描述信息安全专家几乎没有时间解决问题的安全漏洞)。

公司制定了一系列协议,让Chrome的前安全总监Chris Evans的主持人工作。Evans后来把谷歌员工和其他人叫进了团队。他招募在瑞士的英国安全研究者Ian Beer,有类似于查找苹果代码错误的兴趣。Ormandy在与微软公司公开发表的冲突中被称为英国大个子。

Ben Hawkes是新西兰人,因发现Adobe Flash和微软公司Office的bug而闻名。然后少年乔治霍茨成了实习生。

他早期在黑客竞赛中黑进了Chrome浏览器,获得了15万美元。Project Zero首次发表是在2014年4月,苹果用最后的文字称赞了谷歌研究者。因为黑客发现了无法控制能够运行苹果Safari浏览器的软件的漏洞。

感谢“谷歌项目zero团队的Ian Beer”。在Twitter上,安全社区对这个秘密小组感到深深的不可思议。

“什么是项目zero? 》纽约网络安全顾问Trail of Bits CEO和主要创始人Dan Guido在引文中问。美国公民自由联盟的CTO Chris Soghoian也很奇怪,他说:“感谢神秘的Google Project Zero员工回应了苹果安全更新日志。

雷火官网

” Dan和Chris的推特Project Zero逐渐受到感谢。5月份,苹果感谢Beer发现了OS X系统的一些错误。一个月后,微软公司给bug打了补丁,感谢项目zero的Tavis Ormandy。

那时,在关注安全性问题的人们中,这个团队是不可或缺的话题。Evans最后在公司博客上要求每月宣布他们的存在。不用担心犯罪和国家赞助人利用软件漏洞病毒感染计算机、窃取秘密、监视通信状况,人们有权利在网络上使用”。

他援引了对企业和人权的间谍活动的例子,指出这些是不好的酷刑,指出“应该被阻止”。Evans一年后离开团队再次参加特斯拉,现在兼任脆弱性奖金公司HackerOne的顾问。

Hawkes现在是项目zero的领导。现在,Evans更谨慎地阐述了这个团队的起源。

“Project Zero仔细观察了多年的午餐时间对话和多年反击的进展。我们建立了专注于顶级信息安全反击研究的工作,期待世界上最优秀的人才转向公共研究领域。’这可能是一个困难的挑战。

私人资金拥有更多世界上最差的黑客,让他们做秘密工作,政府和其他团队通过经纪人为他们的调查结果支付了高额的报酬。Evans指出,如果研究不能发表,就没有人会为此受苦。自Zero Project月组建团队以来,三年来这个精英黑客团队已经成为地球上最有效率的计算机漏洞终结者之一。一般消费者不会告诉这些人James Forshaw,Natalie Silvanovich,Gal Beniamini。

但是世界得不到他们的感谢。因为他们为确保我们的数字设备和服务的安全性做出了很多贡献。小组还管理其他公司产品的一系列改进,包括搜索和修理操作系统、防病毒软件、密码管理器、源代码库和其他软件的1,000多个安全漏洞这个团队的工作间接不利于谷歌的主要业务——在线广告。保护互联网用户免受威胁意味着公司将保持为这些用户获取广告的能力. Project Zero的希望在使供应商陷入困境的同时,迫使谷歌产品修理崩溃的bug。

Dino Dai Zovi先生是网络安全企业家、知名苹果黑客和前Square移动安全部门的负责人,他说:“这名字睡得很好,但很像牧羊犬。牧羊犬不是狼,是仁慈的,但把羊追回羊圈。

“四四月,Project Zero的三名成员去迈阿密参加了Infiltrate安全会议,这次会议关注了黑客领域反击的末端。在剩下太阳、沙滩和跑车的城市里,黑客队看起来有点格格不入。

Hawkes、Ormandy、德国安全研究者Thomas Dullien(Zero团队成员中以“Halvar Flake”的爱称而闻名)充斥着Fontainebleau酒店的草坪,在棕榈树下嬉戏和他们在一起的是Google的其他参与者,他们谈论如何保持工作、受欢迎的科幻小说和黑客历史。关于Ormandy被迫让制造商修改代码,Dave Aitel说:“人们会让你脸色变好。但是,你说你必须处理这些问题。

”。Aitel是前NSA黑客,经营攻击性黑客商店Immunity。Aitel像开玩笑一样,试图说服Ormandy再次加入黑客研究者的“黑暗面”。

也就是说,我们试图销售漏洞,而不是向不受影响的公司报告。各种设备的bug奖金金额当时只是Ormandy耸耸肩笑了笑。他可能真的不难,但他的目标是纯粹的。

外部看起来露出了Project Zero的前线,但其理想与现实世界的复杂性相矛盾,因此团队不得不更加灵活。他们最初决定的是在严格的90天内明确累计日期,但关于它被大幅度利用的脆弱性只有7天。但是,在公司发表改版之前有几次查明漏洞的事件之后,微软公司习惯于每周二发布补丁,团队受到了很多谴责。

因此,90天的期限减少了14天的扩展期,防止了制造商准备补丁,但还没有公布。Katie Moussouris说,Project Zero享有业界最具体的披露政策。她协助微软公司制定了发表政策,现在经营着自己的脆弱性奖金咨询公司Luta Security。

她指出这是件好事。许多企业不太报告脆弱性,也缺乏指导研究者如何发表脆弱性的政策。有些组织计划给公司修理软件的时间比谷歌少。

卡内基梅隆大学的集团Cert CC只提供45天,但不能根据情况进行调整。Project Zero团队不会立即称赞采取行动修理bug的公司,也不会严厉批评缓慢的公司。今年早些时候,Ormandy在推特上和同事Natalie Silvanovich说:“在内存中发现了最糟糕的Windows远程代码执行。

” 这意味着著可以远程控制基于Windows的系统。他说这个漏洞极其危险。

他们俩与微软公司合作修复了这个bug,在所附的引文中赞扬了微软公司安全部门的反应。科技公司可能对Project Zero的大胆感到恐惧,但他们必须深深地恳求。因为这些黑客不想给一些研究者销售研究结果的动机。

在黑客越来越专业化的这几年里,Project Zero发布的这些bug已经在市场上兴起。各国政府情报机构,罪犯想享受这些漏洞,不愿意付出高昂的价格。

幸运的是,软件公司启动了更多的脆弱性奖励计划,使天平只能向有意者弯曲。这些奖励得到了研究者的时间、精力和专业知识的补偿。

但是奖金有可能比不上什么时候在黑市上得到的价格。IBM着名的安全大师兼高管Bruce Schneier回答说:“无论Google因脆弱性而给予的报酬是什么,政府都会付出更好的代价。” 达尔文也回答说,现在对黑客技能的市场需求感到吃惊,是多次在黑暗地下室的兴趣,但现在已经成为政府大厅的职业了。“90年代的亚文化,像嘻哈、雷击、滑板、涂鸦,但现在的状况毕竟是军队有用的。

”五、根据Cloudflare CEO兼任领导人的Matthew Prince,Google的顶级但如果这段经历真的是为了让他坏得厉害,他可能会这么说。他当然告诉我,确实被故意黑客识破是什么感觉。几年前,一个名为“UGNazi”的黑客组织白入了Prince的个人Gmail账户,用它来管理企业邮件账户,夹持了Cloudflare的基础架构。这些黑客可能会造成重大损失,但他们只是新向个人推特网页宣传了4chan.org (黑客社区)的地址。

Prince很抱歉,谷歌和Cloudflare在公布可行性调查结果之前没有向客户通报公司的所有问题。他期待着公司在关于客户读者新闻报道之前,警告客户漏洞的事情。尽管如此,他想起来了,真的Project Zero团队什么时候弄清脆弱性是对的? 他说,漏洞公布后,未发现与其相关的重大损失,没有泄露密码、信用卡号码或健康记录。Prince回答说,Cloudflare为避免此类事件的再次发生制定了新的控制措施。

公司开始审查所有代码,采用外部测试器进行某种程度的工作。它还建立了一个更简单的系统来识别罕见的软件崩溃,说明它没有漏洞。关于漏洞及其结果,他幸运地说Tavis和他的团队发现了漏洞而不是可怕的黑客。

当然,他也有一天无法避开另一个人或组织,可能会泄露数据的副本。这也是Project Zero的见解,对每个团队成员来说,其他很多研究者都在个人工作,他们的目标只是高尚。

雷火官网

这是你教的恶魔和不教的恶魔。备受瞩目的脆弱性市场小科学知识:有两个脆弱性市场:反攻和防御。前者包括民族国家,也包括一些有组织犯罪集团和其他黑客。

后者包括销售漏洞奖金项目和安全产品的公司。反攻市场的价格比较高,没有下限。

他们不仅销售脆弱性,还利用脆弱性但不销售检测能力。买家很高调。防御市场的缴纳能力不强,几乎所有制造商都会为寻找脆弱性的顶级开发者补偿数百万美元。

主要公司的代码质量有所提高,但复杂性依然大幅减少,这意味着更好的错误。安全研究者可能对特定的脆弱性采取行动,往往财务市场需求不同,对软件或制造商的主观货币以及他们自己的个人风险有偏好。这里不仅仅是非常简单的黑白分明。版权文章,发布许可禁令刊登。

以下,听取刊登的心得。


本文关键词:雷火官网

本文来源:雷火官网-www.giasukhxhnv.com