揭秘 | Google精英黑客团队Project Zero：守护全世界的安全

本篇文章7153字，读完约18分钟

雷锋。(公开号码:雷锋。在这个物联网时代，信息安全是一个不可避免的问题，但我们似乎没有给予足够的重视。幸运的是，谷歌站在了时代的最前沿，成立了一个零项目团队，不仅关注自身的安全问题，还关注整个行业的安全。

像一个孤独的英雄，它面对全球数字威胁。这有点不耐烦和争议。团队成员以自己的方式维护互联网安全。最近，一篇关于《财富》的长文章详细报道了这个团队。雷锋把这篇文章编成如下:

一个

一个星期五的下午，在加利福尼亚州山景城的谷歌总部，伟大的安全研究之神塔维斯·奥曼迪正在他的工作站上进行一些常规的“模糊测试”。这是一种常见的代码测试技术，它可以通过随机数据暴露软件中的缺陷。然后他在数据集中发现了一些问题，但奇怪的是，这不是典型的破碎数据。测试结果没有得到预期的输出，但是出现了一个奇怪的配置异常——大量内存分散。所以他继续挖掘。

在收集了足够的信息后，ormandy打电话给同事分享所有的发现。名为“零项目”的谷歌团队很快发现了问题的本质:大量数据正从旧金山的cloudflare中泄露。在大多数情况下，cloudflare的内容分发网络可以毫不延迟地处理全球十分之一的互联网流量。然而，ormandy发现该公司的服务器实际上在互联网上泄露了人们的私人数据。这个信息已经泄露了几个月了。

奥曼迪在cloudflare中并不认识任何人，因此他犹豫是否在三天假期的前一天晚上给cloudflare的技术支持团队打电话。最后，他采取了另一种解决方案，并通过他的推特账户寻求帮助。

"谁在cloudflare安全部门工作，你能马上联系我吗？"

当它发布时，是太平洋时间下午5点。

奥曼迪没有@cloudflare。他不需要它。因为他在信息安全专业人士聚集的流行社区中很有名，所以世界上每个需要知道的人和许多不需要知道的人都可以在他按下“发送”按钮后的15分钟内看到他的消息。

伦敦当地时间凌晨1点26分，约翰·格雷厄姆·卡明斯被他的手机吵醒。云闪首席技术官揉了揉眼睛，拿起了他的手机。他没接到电话。打电话的人是白名单上少数能在午夜给他打电话的人之一。他立即发了一条短信，询问发生了什么事。

他的同事立即回答说:“有一个严重的安全问题。”

他坐起来回答说:“我马上就上网。”

首席技术官从床上跳起来，冲到楼下，拿出他为这次活动准备的设备--充电器、耳机和额外的电池。他启动了电脑，并很快加入了cloudflare加州总部的同事会议。

安全小组向他简要介绍了情况。谷歌的零项目团队在他们的基础设施中发现了一个漏洞，一个严重的漏洞。它们帮助运行超过600万个客户网站的服务器，并且存在数据泄露。这些客户包括联邦调查局、纳斯达克和reddit。任何人都可以访问cloudflare支持的站点，在某些情况下，还可以获得网络上另一个站点的用户的私有令牌、缓存和私有消息。这些用户包括uber、1password、okcupid和fitbit。

奥曼迪和格雷汉姆-卡明斯

这一信息公开了。更糟糕的是，搜索引擎和其他网络爬虫工具数月来一直在缓存泄露的数据。堵住泄漏源不能完全解决问题。

格雷厄姆-卡明斯说:“这就像石油泄漏。”“处理油罐泄漏很容易，但清理大量受污染的海床却很难。”

因此，cloudflare工程师很忙。马克·罗杰斯(Marc rogers)是美国网络黑客剧《机器人先生》(Mr. Robot)的兼职cloudflare安全顾问，他领导了这项分流工作。在不到一个小时的时间里，该团队启动了一个初始更新程序，以填补全球漏洞。几个小时后，技术人员成功恢复了导致错误的功能。在ormandy发布这条推文近7个小时后，cloudflare的工程师设法要求主要的搜索引擎——谷歌、微软和雅虎——清除历史网页。

这是一个小假期的开始。Cloudflare工程师用他们剩下的时间来评估有多少数据和什么类型的数据被泄露，以及它会有多大的影响。

Cloudflare的快速反应给谷歌的零项目团队留下了深刻印象。然而，随着两个团队就泄露内容的发布日期进行谈判，他们的关系开始变得僵硬。双方都同意在2月21日星期二宣布，但是cloudflare没有履行承诺，声称需要更多的时间来清理。所以出版日期从星期二改为星期三，然后又改为星期四。谷歌无法忍受:不管cloudflare是否完成了评估，也不管它是否确保网络缓存中的泄漏数据已被清除，泄漏情况将在周四下午公布。

双方同意在2月23日宣布。随之而来的是一周的网络恐慌。

二

即使你不是谷歌零项目的成员，你也知道信息安全危机在全世界越来越严重。每个公司都变成了科技公司，黑客变得越来越普遍。这些黑客从公司银行账户中窃取信息，刺探个人信息，并干预选举。头条新闻也令人愤慨:超过10亿个雅虎账户遭到破坏。黑客从swift的金融网络中窃取了数百万美元。在2016年美国总统选举之前，民主党全国委员会的大量私人电子邮件被曝光。

根据美国身份盗窃资源中心的统计，2016年美国公司和政府机构发生的信息泄露比2015年多40%，这只是一个保守的估计。同时，根据研究机构ponemon进行的一项研究，数据泄露的平均成本已经上升到360万美元。

无论是程序员的错误还是某个国家的黑客，数据泄露都是一种新的常态。因此，高管们认为，在代码问题出现之前就将其扼杀在萌芽状态更为经济，这样可以防止问题滚雪球般越滚越大。

但是事情没那么简单。许多公司不把信息安全放在第一位，也不把它作为产品交付前的一个指标。根据今年早些时候ca technologies收购的应用软件安全公司veracode的调查，参与调查的500名it经理中，有83%承认他们在测试漏洞和解决安全问题之前已经发布了代码。与此同时，信息安全行业也面临着人才短缺。思科公司估计，世界上有100万个信息安全工作岗位短缺0/1。赛门铁克预测，到2019年，将有150万个职位空缺。其他人预测，到2021年，这个数字将增加到350万。

即使是一家拥有资金、雄心和声誉来支持信息安全的公司也无法避免缺陷代码的影响。最好的质量控制程序和敏捷开发方法不能抓住每一个错误。

包括微软和苹果在内的许多公司都有内部安全研究团队来调查他们自己的软件。但是很少有团队有多余的能力去研究其他公司的软件。这就是谷歌如此不同寻常的原因。对于奥曼迪和零项目的十几个人来说，他们的管辖范围是没有边界的，他们可以接触到他们接触互联网的任何地方。监控整个网络空机房不仅对人类有好处，对企业也有好处。

三

谷歌在2014年正式建立了零项目，这个团队的起源可以追溯到2009年。面对信息安全问题，许多公司往往在面临紧急情况时才意识到其严重性。对谷歌来说，那一刻就是奥罗拉行动。

2009年，与中国有关的网络间谍组织攻击谷歌和其他科技巨头，摧毁他们的服务器，窃取他们的知识，并试图监控他们的用户。这一攻击激怒了谷歌的最高管理层，导致谷歌退出中国。

谷歌的联合创始人谢尔盖布林对这一事件感到特别不安。计算机取证公司和调查人员已经确定，谷歌的攻击不是它自己的软件错误，而是通过微软ie6的漏洞。他想知道为什么谷歌的安全依赖于其他公司的产品。

在接下来的几个月里，谷歌开始要求竞争对手更积极地解决他们的软件缺陷。谷歌与其同行之间的战斗很快成为一个传奇。捕虫人塔维斯·奥曼迪凭借其出色的解决方案成为这些争议的焦点。

在“奥罗拉行动”公开后不久，奥曼迪揭露了他几个月前发现的微软视窗中的一个漏洞，这个漏洞可能会让黑客攻击个人电脑并使其瘫痪。在等了微软七个月之后，他决定自己解决这个问题。2010年1月，ormandy在给信息安全研究同行的“完全披露”电子邮件中公布了漏洞和可能的攻击。在他看来，如果微软不能及时解决这个问题，它至少应该让人们知道这个问题，这样人们才能做出自己的解决方案。几个月后，他对一个影响甲骨文java软件的漏洞和一个更大的windows漏洞采取了同样的方法。后者是在向微软汇报了五天之后。

一些人谴责奥曼迪的行为，声称这破坏了安全。在一篇博文中，两位威瑞森信息安全专家表示，选择这些全面披露途径的研究人员是“自恋型脆弱皮条客”。奥曼迪对此视而不见。2013年，他再次选择在windows发布修复程序之前公开该漏洞。他认为，如果没有学者站出来给他们施加压力，他们将没有紧迫感，将无限期地处理这些问题，把每个人都置于危险之中。

2014年，谷歌秘密正式确认了零项目团队(这个名字意味着0day漏洞，一个被信息安全专家用来描述没有时间解决的未知安全漏洞的术语)。该公司达成了一系列协议，chrome的前安全总监克里斯埃文斯主持了这项工作。埃文斯随后招募了谷歌员工和其他人加入该团队。

他招募了伊恩·比尔，一位在瑞士的英国安全研究员。他特别喜欢发现苹果的代码错误；奥曼迪，一个因与微软公开冲突而出名的英国人；本·霍克斯，新西兰人，以发现adobe flash和微软office中的漏洞而闻名；还有年轻的乔治·霍兹当实习生。早些时候，他在一次黑客竞赛中入侵了chrome浏览器，并赢得了15万美元。

零项目于2014年4月首次发布，当时苹果在一篇短文中称赞了谷歌的一名研究员，因为他发现了一个漏洞，黑客可以通过这个漏洞控制运行苹果safari浏览器的软件。感谢“谷歌零项目团队的伊恩·比尔”。

在twitter上，安全社区对这个秘密组织很好奇。“零项目是什么？”纽约网络安全咨询公司Trail of Bits的首席执行官兼联合创始人丹吉多(Dan guido)在一条推文中问道。美国公民自由联盟的首席技术官克里斯·索戈伊恩也很好奇。"苹果安全更新日志实际上表达了对神秘的谷歌零员工项目的感谢."

丹和克里斯的推文

零项目逐渐得到了更多的感谢。今年5月，苹果感谢比尔在其操作系统中发现了几个漏洞。一个月后，微软修补了一个漏洞，并感谢了零项目的塔维斯或安迪。

当时，这个团队是关注安全问题的人们之间不可分割的话题。埃文斯最终决定在公司博客上正式宣布他们的存在。他说:“人们应该能够自由使用网络，而不用担心罪犯或国家资助的人利用软件漏洞感染他们的计算机、窃取机密或监控通信。”他列举了针对企业和人权的间谍活动的例子，认为这些都是肆无忌惮的侵权行为，“应该停止这种行为。”

一年后，埃文斯离开团队加入特斯拉，现在他是一家漏洞赏金公司哈克龙的顾问。霍克斯现在是零项目的领导者。现在埃文斯更仔细地描述了这个团队的起源。他说:“零项目源于多年的午餐时间深度对话和对攻击演变的观察。”我们希望创造专注于顶级信息安全攻击性研究的工作，并吸引世界上最优秀的人才进入公共研究领域。”

这似乎是一个艰难的挑战。私人基金吸引了许多世界上最好的黑客，并诱使他们秘密工作。政府和其他团队通过经纪人为他们的调查结果支付高额报酬。埃文斯认为，如果这项研究不能发表，就会有人为此受苦。

自从零项目正式组建团队以来，这个精英黑客团体已经成为过去三年中世界上最高效的计算机漏洞终结者之一。虽然普通消费者不认识这些人:詹姆斯福肖，娜塔莉席尔瓦诺维奇，gal beniamini。

但世界欠他们一份情，因为他们为我们数字设备和服务的安全做出了很大贡献。该团队还负责其他公司产品的一系列改进，包括发现并帮助修复操作系统、防病毒软件、密码管理器、开源代码库和其他软件中的1000多个安全漏洞。到目前为止，零项目已经发表了70多篇关于其工作的博客文章，其中一些是互联网上最好的公共安全研究资源。

该团队的工作间接有利于谷歌的主要业务:在线广告。保护互联网用户免受威胁意味着保护公司为这些用户提供广告的能力。零项目的努力让供应商陷入困境，但也迫使他们修复导致谷歌产品崩溃的漏洞。

网络安全企业家、苹果著名黑客、square移动安全部门前负责人迪诺·戴佐维(Dino dai zovi)表示:“这是一个愚蠢的名字，但它就像一只牧羊犬。”牧羊犬不是狼，它是善良的，但它也追逐羊群，让他们回到羊圈。”

四

4月，零项目的三名成员前往迈阿密参加渗透安全会议，会议主要关注黑客领域的攻击端。

在一个充满阳光、沙滩和跑车的城市，黑客团队似乎有点格格不入。霍克斯、欧曼迪和德国安全研究员托马斯·杜林(Zero(Zero团队成员，更广为人知的昵称是“哈尔瓦·弗雷克”)聚集在枫丹白露酒店的草坪上，在棕榈树下啜饮鸡尾酒。除了他们，还有来自谷歌的其他参与者。这些谷歌员工谈论他们的工作、他们最喜欢的科幻小说以及如何保护黑客历史。

戴夫·艾特尔说:“人们就是不看好你。”ormandy不得不面对让供应商修改他们的代码的问题。但是你知道，你不必处理这些问题。“艾特尔，前国安局黑客，经营着一家攻击性黑客商店，豁免权。艾特尔甚至开玩笑地试图说服ormandy加入黑客研究人员的“阴暗面”，即寻找漏洞并出售，而不是向受影响的公司报告。

各类设备的易损性奖金金额

奥曼迪只是耸耸肩，笑了笑。他可能是个麻烦的人，但他的目标很明确。

尽管零项目看起来是锋利的，但团队必须变得更加灵活，因为它的理想与现实世界的复杂性相冲突。他们最初设定了严格的90天披露期限，但对于那些被积极利用的漏洞，只有7天。然而，在该公司发布更新之前，微软曾多次披露漏洞，例如，它过去常常在每周二发布补丁，这导致该团队受到批评。因此，它在90天期限的基础上增加了14天的延长期，以防补丁已经准备好但尚未发布。

Katie moussouris说，零项目拥有业内最明确的披露政策。她帮助微软制定了披露政策，现在她经营着鲁达安全公司，她自己的漏洞赏金咨询公司。她认为这是一件好事。许多公司没有关于如何报告漏洞的指导，也缺乏指导研究人员如何以及何时发布漏洞的政策。一些组织比谷歌有更少的时间为他们的公司修复软件。卡内基梅隆大学的Cert cc小组只给了45天，但是他们会根据不同的情况进行调整。

零项目团队会很快表扬那些已经采取行动来修复缺陷的公司，也会严厉批评那些反应迟钝的公司。今年早些时候，ormandy在推特上说他和他的同事natalie silvanovich“发现了内存中最糟糕的windows远程代码执行”，这意味着基于windows的系统可以被远程控制。他说这个漏洞极其危险。他们两人与微软合作修复了这个漏洞，并在所附的推文中赞扬了微软安全部门的回应。

科技公司可能害怕零项目的大胆，但他们应该得到安慰，因为这些黑客愿意抵制促使一些研究人员出售其研究成果的动机。在黑客逐渐变得专业化的那些年里，零项目宣布的这些漏洞已经在市场上萌芽。政府、情报机构和罪犯都希望有这些漏洞，并愿意付出大量金钱。幸运的是，越来越多的软件公司推出了漏洞奖励计划，这样天平就不会偏向恶意方。这些奖项是对研究人员的时间、精力和专业知识的补偿。然而，赏金的数量可能永远无法与黑市的价格相比。

著名的ibm安全大师兼执行官Bruce schneier说:“不管谷歌对漏洞的奖励是多少，一些政府都会付出更多。”

杜林还说，他对黑客技术的需求感到惊讶。它曾经只是黑暗地下室里的一种爱好，现在已经成为政府大厅里的一种职业。“这是上世纪90年代的一种亚文化，就像嘻哈、霹雳舞、滑板或涂鸦一样，但现在的情况是，军方发现它非常有用。”

五

据cloudflare首席执行官兼联合创始人马修普林斯(matthew prince)称，谷歌顶级安全研究人员发现的漏洞最初耗费了他的公司近一个月的收入。

但是如果这次经历真的让他感觉不好，他可能不会说出来。他当然知道成为真正恶意黑客的目标是什么感觉。几年前，一个名为“ugnazi”的黑客组织入侵了普林斯的个人gmail账户，并利用它控制了他的公司电子邮件账户，然后劫持了cloudflare的基础设施。这些黑客本可以造成巨大损失，但他们只是将4chan(一个黑客社区)的地址重定向到他们的个人twitter页面进行宣传。

普林斯感到遗憾的是，在谷歌和cloudflare发布初步调查结果之前，他没有将公司的所有问题告知客户。他希望公司在顾客阅读新闻报道之前提醒他们注意漏洞。即便如此，回想起来，他觉得零项目团队关于何时披露漏洞的想法是正确的。据他所知，该漏洞发布后，没有发现与该漏洞相关的重大损失，也没有密码、信用卡号或健康记录被泄露。

普林斯说，云耀斑已经制定了新的控制措施，以防止此类事件再次发生。公司开始审查所有的代码，并雇佣外部测试人员来做同样的事情。它还建立了一个更复杂的系统来识别常见的软件崩溃，这往往表明存在漏洞。

关于漏洞及其后果，他说，幸运的是，塔维斯和他的团队发现了漏洞，而不是一些疯狂的黑客。

当然，他永远不能排除另一个人或组织泄露数据副本的可能性。这也是零项目的观点。对于每个团队成员来说，还有无数其他研究人员在私下工作，他们的目标并不高尚。这是你知道和不知道的邪恶。

雷锋附上了一点关于漏洞市场的知识:

有两个漏洞市场:进攻性和防御性。前者包括民族国家、有组织犯罪集团和其他黑客。后者包括漏洞赏金计划和销售安全产品的公司。

攻击市场的价格更高，没有上限。他们不仅购买漏洞，还购买在不被发现的情况下利用漏洞的能力。买方保持低调。

防御性市场的支付能力不强，几乎没有制造商会为发现漏洞的顶级开发商赔偿数百万美元。尽管大公司的代码质量在提高，但复杂性仍在增加，这意味着更多的错误。

安全研究人员针对特定漏洞可能采取的行动通常取决于他们的财务需求、他们对软件或制造商的主观偏好以及他们自己的风险偏好。这不仅仅是黑白的。

雷锋文章版权所有。严禁擅自转载。详情请参考转载说明。