谷歌廣納黑客奇才，組建了黑客“夢之隊(duì)”Project Zero，然而它的使命卻不只是提高谷歌產(chǎn)品的安全性，它還會(huì)幫助其他公司尋找最易被黑客利用的零日漏洞

[[116629]]

2007年，17歲的喬治·霍茨成為世界上第一個(gè)破解iPhone的AT&T鎖的人，當(dāng)時(shí)，各家公司都沒有理會(huì)他，只是忙著修補(bǔ)他披露出來的漏洞。之后，他又對Playstation 3進(jìn)行了逆向工程開發(fā)，索尼起訴了霍茨，最終他答應(yīng)永遠(yuǎn)不再攻擊索尼的產(chǎn)品。

今年早些時(shí)候，當(dāng)霍茨再次破解了谷歌Chrome的操作系統(tǒng)防護(hù)時(shí)，谷歌卻給了他150,000美元，讓他幫助修補(bǔ)他所發(fā)現(xiàn)的漏洞。2個(gè)月后，谷歌的安全工程師克里斯·埃文斯通過電子郵件向他發(fā)出了邀請，詢問他是否愿意加入谷歌旗下的一支全職黑客精英部隊(duì)，這個(gè)團(tuán)隊(duì)專門查找互聯(lián)網(wǎng)上所有流行軟件的安全漏洞。

現(xiàn)在，谷歌正式對外公布了這支名為Project Zero的團(tuán)隊(duì)，他們唯一的使命就是跟蹤、修補(bǔ)軟件中的潛在漏洞。安全行業(yè)將這些發(fā)現(xiàn)后即刻被惡意利用的漏洞稱為“零日漏洞”，犯罪分子、國家資助的黑客和情報(bào)機(jī)構(gòu)都會(huì)利用這些漏洞。Project Zero的黑客不僅會(huì)尋找谷歌產(chǎn)品中的漏洞，他們還可以自由地攻擊其他軟件，以迫使其他的公司更好地保護(hù)谷歌用戶。

[[116630]]

Project Zero已經(jīng)在谷歌內(nèi)部招募了一些成員，組建黑客“夢之隊(duì)”：齊蘭德·本·霍克斯因在2013年發(fā)現(xiàn)了Adobe Flash、微軟Office應(yīng)用等的多個(gè)漏洞而名聲大噪；英國研究員塔維斯·奧曼迪是業(yè)內(nèi)著名的高產(chǎn)“漏洞獵人”之一；上文提到的美國黑客神童喬治·霍茨也將成為該團(tuán)隊(duì)的實(shí)習(xí)生。

為什么谷歌要支付高昂的薪水去修補(bǔ)其他公司代碼中的漏洞呢？埃文斯說Project Zero“基本上是利他的”。谷歌為團(tuán)隊(duì)成員提供了極大的自由，讓他們可以幾乎不受限制地鉆研安全難題，也許這也是谷歌招聘的籌碼，讓最頂尖的人才愿意加入谷歌，之后他們可能會(huì)轉(zhuǎn)而進(jìn)行其他的項(xiàng)目。谷歌表示，一個(gè)更安全的互聯(lián)網(wǎng)環(huán)境會(huì)使得用戶愿意點(diǎn)擊更多的廣告。“如果我們能從整體上提高用戶對互聯(lián)網(wǎng)的信心，那么這對谷歌也是有利的。”埃文斯說。

和其他許多公司一樣，多年來谷歌也一直在懸賞尋找漏洞，但是只尋找谷歌軟件中的漏洞是不夠的，谷歌的許多程序，如谷歌的Chrome瀏覽器往往會(huì)依賴第三方代碼，如Adobe的Flash，以及Windows、Mac、Linux操作系統(tǒng)中的一些基礎(chǔ)元素。

[[116631]]

據(jù)前谷歌安全研究員摩根·馬奎斯-鮑伊爾所說，Project Zero概念的誕生可以追溯到2010年的某天深夜，他和埃文斯在蘇黎世一家酒吧里的談話。大約凌晨4點(diǎn)的時(shí)候，話題轉(zhuǎn)到了谷歌之外的軟件安全問題對谷歌用戶的威脅。“對于利用第三方代碼編寫安全產(chǎn)品的人來說，這是一個(gè)非常無奈的問題。”馬奎斯-鮑伊爾說，“攻擊者會(huì)從最弱的地方下手。騎摩托車戴頭盔的確有助于安全，但如果你穿著和服騎摩托車的話，頭盔是無法保護(hù)你的。”

因此谷歌的野心是用谷歌的頭腦完善其他公司的產(chǎn)品。當(dāng)Project Zero的黑客發(fā)現(xiàn)一個(gè)漏洞后，他們就會(huì)對有責(zé)任修復(fù)這個(gè)漏洞的公司發(fā)出提示，并給它60到90天的時(shí)間發(fā)布補(bǔ)丁，之后就會(huì)在Project Zero的博客上公布這個(gè)漏洞。谷歌表示，對于那些正遭到黑客頻繁攻擊的漏洞，谷歌會(huì)加快行動(dòng)的速度，向軟件開發(fā)者施壓，要求其在7天內(nèi)修復(fù)漏洞或找到變通的方案。

[[116632]]

在軟件數(shù)量如此龐大的今天，谷歌的Project Zero是否能根除漏洞還是一個(gè)懸而未決的問題。不過，團(tuán)隊(duì)成員本·霍克斯表示，該團(tuán)隊(duì)不必找到所有的零日漏洞，只要在這些漏洞出現(xiàn)在新的代碼中之前，修補(bǔ)這些漏洞即可。并且Project Zero會(huì)戰(zhàn)略性地選擇目標(biāo)，以最大化“漏洞碰撞”的效果，也就是說谷歌團(tuán)隊(duì)發(fā)現(xiàn)的某個(gè)漏洞，恰巧也是間諜正在秘密利用的漏洞。

現(xiàn)代的黑客往往會(huì)將一系列可以攻擊的漏洞結(jié)合起來，攻破計(jì)算機(jī)的防線，如果能修復(fù)這些漏洞中的一個(gè)，那么整個(gè)攻擊就會(huì)失敗。也就是說Project Zero只要發(fā)現(xiàn)并修補(bǔ)操作系統(tǒng)中的一小部分漏洞，就能阻斷黑客的攻擊。

“在這個(gè)問題上，我們會(huì)取得很大的進(jìn)展。”埃文斯說，“現(xiàn)在是一個(gè)很好的時(shí)機(jī)，相信我們可以阻止零日攻擊。”