Facebook加入
LINE加入
2021/12/25
300 + 明星創業公司,3000 + 行業人士齊聚全球人工智慧與機器人峰會 GAIR 2017,一 同見證 AI 浪潮之巔!峰會搶票火熱進行中。讀者有專屬送票福利活動哦,詳情見文末!
雷鋒網按:在這個萬物聯網的時代,信息安全是不可避免的問題,然而我們似乎對它還沒有足夠的重視。幸好 Google 走在了時代的前線,設立一個不僅關注自家安全問題,更關注整個業界安全的團隊 Project Zero。
它像一個孤膽英雄,對抗著全球數字威脅,它有點急躁,也備受爭議。團隊成員用自己的方式維護互聯網安全。最近 Fortune 一篇長文對這一團隊進行了詳細報道,雷鋒網對文章編譯如下:
一
一個星期五下午,在加州山景城的 Google 總部,安全研究大神 Tavis Ormandy 正在他的工位上執行一些常規的 「模糊測試」。這是一種常見的代碼測試技術,可以通過隨機數據使軟體中的缺陷暴露出來。隨後他在數據集中發現了一些問題,但奇怪的是,這並非典型的破損數據。測試結果沒有得到預期的輸出,反而出現奇怪的配置異常——大量的內存散落。所以他繼續深挖。
在收集足夠的信息后,Ormandy 召集同事分享了發現的一切。這個名為 Project Zero 的 Google 團隊很快發現問題的實質:大量數據正從從舊金山的 Cloudflare 公司泄漏出去。大多數情況下,Cloudflare 的內容分發網路大概可以處理世界互聯網流量的十分之一,並且沒有時延。但 Ormandy 發現,該公司的伺服器其實在網路上泄露了人們的私人數據。這些信息已經泄漏了好幾個月。
Ormandy 在 Cloudflare 沒有認識的人,他猶豫著要不要在一個三天小長假的前一晚給 Cloudflare 的技術支持團隊打電話。最後他採取了另一個解決方案,通過自己的 Twitter 賬號求助。
「有誰是在 Cloudflare 安全部門工作的,能馬上聯繫我嗎?」
發布的時候,是太平洋時間的下午五點。
Ormandy 沒有 @Cloudflare 公司。他不需要。因為他在信息安全專業人士聚集的熱門社區中聲名載道,在他按下 「發送」 鍵的 15 分鐘內,世界上每一個需要知道和很多不需要知道的人都能看見他的這條留言。
倫敦當地時間凌晨 1:26,John Graham-Cumming 的手機將他吵醒。這位 Cloudflare CTO 揉了揉眼睛,拿起了手機。他沒接到電話。來電的是僅有的幾個被列在白名單里,能在午夜給他打電話的人。他馬上發簡訊問發生了什麼情況。
他的同事立即回應,「出了嚴重的安全問題。」
他驚坐了起來並回復,「我馬上上線。」
這位 CTO 從床上彈起,衝到樓下,拿出了他為這樣種場合準備的裝備——充電器,耳機,額外的電池。 他啟動了電腦,並迅速加入了和 Cloudflare 加州總部的同事一起進行的會議。
安全小組向他介紹了局勢情況。Google 的 Project Zero 團隊在他們的基礎設施中發現了一個 bug , 一個嚴重的 bug。他們的幫助運行超過 600 萬個客戶網站的伺服器,存在數據泄漏。這些客戶包括 FBI,納斯達克和 Reddit。任何人都可以訪問 Cloudflare 支持的站點,並在某些情況下獲取該網路上另一站點用戶的私密 tokens、緩存和私人消息。這些用戶包括 Uber、1Password、OKCupid 和 Fitbit。
Ormandy 和 Graham-Cumming
信息暴露在眾目睽睽之下。更糟糕的是,搜索引擎和其他網路爬蟲工具已經將泄漏的數據緩存了長達數月。 封鎖泄漏源頭也不能完全解決問題。
「這就像一次漏油事件」,Graham-Cumming 說,「處理一個油罐的漏洞很容易,但難的是有很多被污染的海床需要清理。」
所以 Cloudflare 的工程師有的忙活了。兼職擔任美國網路黑客戲劇《機器人先生》的 Cloudflare 安全顧問的 Marc Rogers 領導了分流工作。在不到一個小時的時間內,團隊推出了一個初始的更新程序,從而將全球漏洞堵住。幾個小時后,技術人員成功地恢復了導致錯誤的功能。Ormandy 發布那條推文將近七個小時之後,Cloudflare 的工程師們設法要求主要的搜索引擎——Google、微軟、雅虎,清除了歷史網頁。
這是一個小長假的開始。Cloudflare 工程師花了剩餘的時間來評估有多少數據和什麼類型的數據被泄露了,以及這件事情會造成多大的影響。
Cloudflare 的快速響應令 Google 的 Project Zero 團隊印象深刻。但隨著兩個團隊之間關於公布泄露內容日期的談判開展,他們的關係開始變僵。雙方本來暫時同意在 2 月 21 日周二公布,但 Cloudflare 並未履行諾言,並聲稱需要更多的時間進行清理。於是公布的日期從周二變成了周三,又變到了周四。Google 忍無可忍:無論 Cloudflare 是否完成了評估,是否確保清除了網路緩存中的泄漏數據,周四下午都將公布泄露情況。
雙方同意在在 2 月 23 日公布。一周的互聯網恐慌也隨之而來。
二
即使不是 Google 的 Project Zero 的成員,也知道信息安全危機在全球範圍愈演愈烈。每個公司都變成了為科技公司,黑客越來越普遍。這些黑客在企業銀行賬戶上偷盜,窺探個人信息,干預選舉。新聞頭條也令人髮指:超過 10 億的雅虎帳戶受損。黑客從 SWIFT 金融網路竊取了數百萬美元。2016 年美國總統大選之前,民主黨全國委員會的無數私人電子郵件遭到曝光。
據美國身份盜竊資源中心統計,美國公司和政府機構在 2016 年發生了比 2015 年多了 40%的信息泄露,這還只是保守估計。與此同時,據研究組織 Ponemon 所進行的一項研究顯示,目前數據泄露的平均成本升到了 360 萬美元。
無論是程序員導致的錯誤,還是某一國家的黑客作怪,數據泄露都是新的常態。因此,高管們的想法是,將代碼問題扼殺在萌芽之前會更加經濟,以防止問題像滾雪球一樣越滾越大。
但事情並這不是那麼簡單。很多公司並不把信息安全放在首位,也不把它當成產品交付前的指標。根據 CA Technologies 今年初收購的應用軟體安全公司 Veracode 的調研,參與調研的 500 位 IT 經理中,有 83%承認曾在測試 bug 和解決安全問題之前就發布了代碼。同時,信息安全行業也面臨人才短缺。思科公司預計全球有 100 萬個空缺的信息安全崗位。賽門鐵克預計,到 2019 年空缺將增加到 150 萬個。還有人預計,到 2021 年,這一數字將增至 350 萬。
即使是一家有錢、有志還有聲望來支持信息安全的公司,也無法避免有缺陷的代碼產生的影響。最好的質量監控程序和敏捷開發的方式,也無法法捕捉到每一個錯誤。
許多公司,包括微軟和蘋果都有內部安全研究團隊調查自家的軟體。但很少有團隊還有餘力研究其他公司的軟體。這就是 Google 如此不同尋常的原因。對於 Ormandy 和 Project Zero 的十幾個人來說,他們的管轄權是沒有界限的,觸及互聯網的任何地方他們都能觸碰。監察全網空間不僅對人類有好處,對企業也是有好處的。
三
Google 於 2014 年正式組建 Project Zero,團隊的起源可以追溯到 2009 年。面對信息安全問題,很多公司經常要到面臨緊急情況時才意識到其嚴重性。對於 Google 而言,那一刻是 「極光行動」(Operation Aurora)。
2009 年,與天朝相關的網路間諜集團攻擊了 Google 和其他一些技術巨頭,破壞他們伺服器,竊取他們的知識,並試圖監視其用戶。這一攻擊激怒了 Google 的高層管理人員,使得 Google 最終退出了。
此次事件令 Google 聯合創始人 Sergey Brin 感到特別困擾。計算機取證公司和調查人員確定,Google 遭受的攻擊並不是自己的軟體錯誤,而是通過微軟 IE6 中的漏洞進行入侵的。他想知道,憑什麼 Google 的安全性要依賴於其他公司的產品呢?
在接下來的幾個月中,Google 開始更加積極地要求競爭對手解決他們軟體缺陷。Google 與其同行之間的戰鬥很快就成為傳奇故事。Bug 獵手 Tavis Ormandy 憑藉這自己出神入化的解決手段,巋然處在這些爭端的中心。
「極光行動」 公開之後不久,Ormandy 就透露了他幾個月前發現的微軟 Windows 一個漏洞,可能會讓黑客攻擊個人電腦並使其癱瘓。在等了微軟七個月後,他決定靠自己來解決問題。2010 年 1 月,Ormandy 在給信息安全研究同行的 「全面披露」 郵件中,發布了漏洞情況和可能遭受的攻擊。他的認為:如果微軟不及時解決這個問題,至少應該讓人們知道這個問題,好讓人們制定自己的解決方案。幾個月之後,他對一個影響 Oracle 的 Java 軟體的 bug,和一個更大的 Windows 漏洞採取了相同的辦法。後者則是在向微軟彙報了五天之後。
有人譴責 Ormandy 的行為,聲稱這損害了安全。在一篇博客文章中,兩名 Verizon 的信息安全專家稱,選擇了這些全面披露路線的研究人員都是 「自戀的漏洞皮條客」。Ormandy 並不理會。在 2013 年,他再次選擇在 Windows 發布修復之前將漏洞公開。他認為,如果沒有學者站出來給他們施壓,他們就沒有緊迫感,就會無限期地處理這些問題,使每個人都處於危險之中。
2014,Google 秘密地正式確定了 Project Zero 的團隊(這個名字暗示了 0Day 漏洞,這一術語是信息安全專家用來描述完全沒有時間解決的未知安全漏洞)。公司制定了一套協議,讓 Chrome 前任安全總監 Chris Evans 主持工作。Evans 隨後招募了 Google 員工和其他人到團隊。
他招募了在瑞士的英裔安全研究員 Ian Beer,他對發現蘋果代碼錯誤有種特殊的喜好;Ormandy,一個因與微軟的公開衝突而聞名英國大漢;Ben Hawkes,一名因發現 Adobe Flash 和微軟 Office 的 bug 而聞名的紐西蘭人;還有少年 George Hotz 做實習生,他早些時候在一個黑客競賽中黑進了 Chrome 瀏覽器,贏得了 15 萬美元。
Project Zero 首次公開是在 2014 年 4 月,當時蘋果在一份簡短的文字中讚揚一名 Google 研究人員,因為其發現了一個會讓黑客控制能運行蘋果 Safari 瀏覽器的軟體的漏洞。文中向 「Google Project Zero 團隊的 Ian Beer」 表示了感謝。
在 Twitter 上,安全社區都對這個秘密小組感到好奇。「什麼是 Project Zero?」 紐約網路安全顧問 Trail of Bits CEO 和聯合創始人 Dan Guido 在推文中問道。美國公民自由聯盟 CTO Chris Soghoian 也很好奇,「Apple 安全更新日誌中竟對神秘的 Google Project Zero 的員工對錶示了感謝。」
Project Zero 漸漸收到了更多感謝。5 月份,蘋果對 Beer 發現其 OS X 系統中的幾個 bug 表示感謝。一個月後,微軟對一個 bug 打了補丁,並感謝了 Project Zero 的 Tavis Ormandy。
那時,關注安全問題的人群中,這一團隊是離不開的話題。Evans 最終決定在公司博客中正式宣布了他們的存在。他表示:「人們應該能夠自由地使用網路,而不用擔心犯罪或國家贊助的人利用軟體漏洞感染他們的計算機,竊取秘密或監控通信情況。」 他援引了針對企業和人權的間諜活動例子,認為這些是無良的虐待,認為 「這應該被制止」。
Evans 一年後離開了團隊加入特斯拉,現在擔任一家漏洞賞金公司 HackerOne 的顧問。Hawkes 現在是 Project Zero 的領導。如今,Evans 更加謹慎地描述了該團隊的起源。他說:「Project Zero 源自多年深度的午餐時間對話,和多年對攻擊演變的觀察。我們希望創造專註於頂級信息安全進攻研究的工作,吸引世界上最優秀的人才進入公共研究領域。」
這似乎是一個比較困難的挑戰。私有資金吸引了許多世界上最好的黑客,引誘他們秘密工作,政府和其他團隊通過經紀人為他們的調查結果支付高昂的報酬。如果研究無法公布,就會有人為此受苦,Evans 如此認為。
自從 Zero Project 正式組隊,三年中這個精英黑客小組已經成為地球上最高效的計算機漏洞終結者之一。儘管普通消費者不知道這些人:James Forshaw、Natalie Silvanovich、Gal Beniamini。
但世界都欠他們的一份感激,因為他們為了維護我們數字設備和服務的安全貢獻了許多。團隊還對其他公司產品的一系列改進負責,包括找到並幫助修復操作系統、防病毒軟體、密碼管理器、開源代碼庫和其他軟體中的一千多個安全漏洞。Project Zero 迄今發布了 70 多篇有關其工作的博客文章,其中一些文章是目前網上最好的公共安全研究資源。
該團隊的工作間接有利於 Google 的主要業務:在線廣告。保護互聯網用戶免受威脅,意味著保護公司為這些用戶提供廣告的能力。Project Zero 的努力使供應商陷入困境的同時,也迫使他們修復導致 Google 產品崩潰的 bug。
網路安全企業家、著名蘋果黑客以及前 Square 移動安全部門負責人 Dino Dai Zovi 表示:「這是一個很呆的名字,但它就像一隻牧羊犬。牧羊犬不是狼,它仁慈,但也追逐羊,讓它們回到羊圈中。」
四
四月,Project Zero 的三名成員前往邁阿密參加了 Infiltrate 安全會議,這次會議基本都關注在黑客領域的進攻端。
在一個滿是陽光、沙灘和跑車的城市中,黑客團隊看起來有點格格不入。Hawkes、Ormandy 和德國安全研究員 Thomas Dullien(Zero 團隊的成員,以綽號 「Halvar Flake」 更為人所知),聚集在 Fontainebleau 酒店的草坪上,在棕櫚樹下啜飲雞尾酒。與他們一起的,還有 Google 的其他參會者,這些 Google 員工暢談工作,喜愛的科幻小說,以及如何保護黑客歷史。
對於 Ormandy 不得不面對的讓廠商修復他們代碼這件事,Dave Aitel 說到:「人們就是不會給你好臉色。不過你知道,你不需要處理這些問題的。」Aitel 是一名前 NSA 黑客,他運營著一個進攻性黑客商店 Immunity。Aitel 甚至還玩笑似的,試圖說服 Ormandy 加入黑客研究員的 「黑暗面」,也就是發現漏洞后賣出去,而不是報告給受影響的公司。
各類設備的漏洞獎金金額
當時 Ormandy 只是聳了聳肩笑了笑。他可能是一個會讓人覺得很麻煩的人,但他的目標是純粹的。
儘管外界看起來 Project Zero 鋒芒畢露,但由於其理想與現實世界的複雜性相衝突,團隊不得不變得更加靈活。他們最初規定的是很嚴格的 90 天披露截止日期,而對於那些正被積極利用的漏洞則只有七天。但在幾次於公司發布更新之前就披露漏洞的事件后,如微軟就習慣在每周二發布補丁,導致團隊受到了頗多指責。它也因此為 90 天的期限增加了 14 天的拓展期,以防廠商準備好了補丁但還沒發布。
Katie Moussouris 稱,Project Zero 擁有業內最明確的披露政策。她曾幫助微軟制定了披露政策,現在則運營著自己的漏洞賞金諮詢公司 Luta Security。她認為這是一件好事。許多公司沒有如何報告漏洞的指南,也缺乏指導研究者如何及何時公布漏洞的政策。有一些組織給公司準備的修復軟體的時間,比 Google 更少。脫胎自卡內基梅隆大學的一個團體 Cert CC,給的期限只有 45 天,不過他們會根據各情況進行調整。
Project Zero 團隊會迅速讚揚採取行動來修復 bug 的公司,也會嚴厲批評那些回應緩慢的公司。今年早些時候,Ormandy 在推特上說,他和同事 Natalie Silvanovich「在內存中發現了最糟糕的 Windows 遠程代碼執行」,這意味著可以遠程控制基於 Windows 的系統。他說到,這個漏洞極其危險。他們兩人與微軟合作修補了這個 bug,並在附后的推文中對微軟安全部門的反應讚譽有嘉。
科技公司可能會對 Project Zero 的大膽感到畏懼,但他們應該感到安慰,因為這些黑客願意抵制那些促使一些研究人員把研究結果出售的動機。在黑客逐漸專業化的這幾年中,Project Zero 公布的這些 bug 已經在市場上萌芽了。各國政府、情報機構、犯罪分子,都想擁有這些漏洞,而且願意支付不菲的價格。好在軟體公司越來越多地發起了漏洞獎勵計劃,讓天平不至於只向惡意的一方傾斜。這些獎勵為研究人員的時間、精力和專長提供了補償。但賞金金額可能永遠都比不上暗市能給出的價格。
IBM 知名安全大師兼高管 Bruce Schneier 表示:「無論 Google 為漏洞給的獎賞是什麼,有的政府都將付出更多的代價。」
Dullien 也表示,如今對於黑客技能的需求讓自己感到驚訝,曾經這只是在黑暗地下室的愛好,現在卻變成了政府大廳里是一個職業。「它是 90 年代的亞文化,就像嘻哈、霹靂舞、滑板或塗鴉一樣,但現在的情況卻是,軍方覺得很有用。」
五
據 Cloudflare CEO 兼聯合創始人 Matthew Prince 說,Google 頂級安全研究員發現的漏洞,最初使他的公司幾乎失去了一個月的營收。
不過如果這段經歷真讓他覺得很糟糕,他或許不會把它說出來。他當然知道被真正惡意的黑客盯上是什麼感覺。幾年前,一個名為 「UGNazi」 的黑客組織黑進了 Prince 的個人 Gmail 帳戶,用它控制了他的企業郵件帳戶,然後再藉此劫持了 Cloudflare 的基礎架構。這些黑客本可能造成重大損失,不過他們只是將 4chan.org(一個黑客社區)的地址重新定向到了他們個人的 Twitter 頁面,以作宣傳。
Prince 很後悔,沒有在 Google 和 Cloudflare 發布初步調查結果之前,向客戶通報公司的全部問題。他希望公司在客戶閱讀有關新聞報道前,就將漏洞的事提醒了客戶。即使如此,他回想起來,還是覺得 Project Zero 團隊對於在何時披露漏洞是對的。據他所知,漏洞公布后沒發現任何與它相關的重大損失,沒有密碼、信用卡號或健康記錄被泄露。
Prince 表示,Cloudflare 已經制定了新的控制措施,以防止這種事件再次發生。公司開始審查所有代碼,並聘請外部測試人員做同樣的事情。它還建立了一個更複雜的系統,用於識別常見的軟體崩潰,這往往表明存在漏洞。
對於漏洞及其後果,他說,幸好是 Tavis 和他的團隊發現了漏洞,而不是一些瘋狂的黑客。
當然,他也永遠無法排除另一個人或組織,有泄密數據副本的可能性。這也是 Project Zero 的觀點,對於其每一個團隊成員來說,有無數其他研究人員在私下工作,他們的目標不太高尚。這是你所知道和不知道的邪惡。
雷鋒網附關注漏洞市場的小知識:
有兩個漏洞市場:進攻和防守。前者包括民族國家,有組織犯罪集團和其他黑客攻擊者。後者包括漏洞賞金項目和銷售安全產品的公司。
進攻市場的價格較高,沒有上限。他們不只是購買漏洞,也會購買利用漏洞但不會被檢測到的能力。購買者很低調。
防守市場的支付能力不強,基本不會有廠商會為找到漏洞的頂級開發者補償上百萬美元。儘管主要公司的代碼質量正在改善,但複雜性仍在不斷增加,這也意味著更多的錯誤。
安全研究人員對特定的漏洞可能採取的行動,往往取決於他們的財務需求,他們對一款軟體或廠商的主觀貨幣,以及他們自己的個人風險偏好。這裡不只是簡單的黑白分明。
熱門推薦
留言回覆
