揭秘Project Zero:谷歌內部的超級黑客團隊、網路世界的「孤膽英雄」

不拘一格選人才

當George Hotz(神奇小子GeoHot:破解已經玩膩了,我要讓汽車工業變得更智能http://mp.weixin.qq.com/s/XDANelnfLrKds1jzlAafiw)於2007年8月成功解鎖了iPhone手機,使得當時的iPhone可以不再局限於AT&T網路,同時也可以支持其他GSM網路的時候,包括AT&T和蘋果在內的幾乎所有企業都在有意無意的忽視Hotz的存在,而只是專註於修復他所發現的設備、系統漏洞。

之後,Hotz在博客中表示自己花費了整整5周的時間,巧妙地運用了一些簡單的硬體改動和較為複雜的軟體方法得到了PS3系統全部內存的讀寫許可權和處理器的高級控制許可權。換句話說,他已經完全破解了PS3系統。對此,索尼公司的做法則是對其提出正式起訴,並最終在Hotz承諾不再破解任何一款索尼產品的前提下達成了和解。

然而,今年早些時候,在Hotz成功找到谷歌Chrome操作系統中漏洞的時候,谷歌非但沒有對其提起訴訟,反而給予了他15萬美元的獎勵。兩個月後,Hotz還收到了一封來自谷歌安全工程師Chris Evans的Offer郵件——邀請他加入谷歌旗下的互聯網安全精英團隊——「Project Zero」,該團隊的主要職責就是找到存在於互聯網各個角落之中的安全漏洞。

超級黑客團隊

不久前,谷歌已經正式對外介紹了自己互聯網安全項目「Project Zero」的主要情況。據悉,該團隊主要由谷歌內部頂尖安全工程師組成,而他們的唯一使命就是發現、跟蹤和修補這些全球性的軟體安全漏洞。同時,「Project Zero」所處理的安全漏洞通常都屬於「零日漏洞」級別,網路黑客或者政府有組織的黑客團隊可以利用這些漏洞展開網路監聽等活動。

谷歌表示,「Project Zero」團隊並不僅限於在谷歌自有的產品中尋找系統安全漏洞,他們還可以在任何軟體產品上尋找漏洞。在發現了漏洞後,該團隊會對其進行曝光,並通過這種方式來鼓勵相關公司與谷歌聯手合作應對黑客行為。

Project Zero負責人、曾負責過谷歌Chrome安全團隊的Chris Evans說道,「人們理應在無需擔憂安全漏洞或者隱私泄露的情況下享用互聯網,而我們團隊則會關注於找出那些高價值的安全漏洞,並將其徹底消除。」

據悉,「Project Zero」目前已經從谷歌內部抽調了一些精英人員,並組建起了自己的黑客「夢之隊」。比如,曾在2013年發現存在於Adobe Flash及微軟Office中大量漏洞的紐西蘭人Ben Hawkes、英國知名「零日漏洞查殺專家」Tavis Ormandy、曾經發現了蘋果iOS、OSX和Safari瀏覽器多個漏洞的神秘瑞士黑客Brit Ian Beer以及上文提到的成功破解谷歌Chrome操作系統的George Hotz都是這一團隊的成員。

【「Project Zero」成員——Ben Hawkes】

根據Evans透露,目前該團隊的招聘工作仍在繼續,並計劃召集到10名以上的全職互聯網安全研究人員。他們大多數都可以不在谷歌總部辦公室辦公,並使用專業的漏洞查找工具對目標軟體進行掃描,從而發現有可能包含有漏洞的系統、軟體設計。

創建的初心

了解了「Project Zero」的工作性質後,你一定好奇,這樣一個團隊的創建初衷究竟是為了什麼呢?對此,Evans解釋道,「Project Zero」基本上是利他的。谷歌為團隊成員提供極大的自由,讓他們可以幾乎不受限制地研究安全難題,也許這也是谷歌招聘的籌碼,讓最頂尖的人才願意加入谷歌,之後他們可能會轉而進行其他項目。

谷歌表示,他們希望通過這一項目把互聯網變得更加安全,並可以通過提供更加自由的工作條件來吸引許多頂級安全人才加入公司。因為谷歌始終堅信,一個更加安全、愉悅的互聯網使用環境會促使更多用戶放心的點擊廣告,並從而使谷歌受益。

他說到,「只要我們能夠增強用戶對於互聯網的信心,那麼谷歌也將通過非直接的方式獲益。」

與此同時,「Project Zero」也和谷歌近年來的發展策略相當吻合。在「斯諾登事件」曝光後,谷歌已經加強了自己的反偵查策略,因為斯諾登曾披露稱美國國家安全局在暗中監視谷歌用戶信息,之後谷歌便對相關鏈接進行了加密。近期,谷歌還通過在Chrome瀏覽器中內置插件的方式為用戶的電子郵件進行了加密,並且公布了一份有關哪些電郵服務商同意或者不同意使用這一加密做法的名單。

美國公民自由聯盟首席技術專家Chris Soghoian表示,谷歌大力建設自己的「Project Zero」團隊是情理之中的舉措,因為谷歌安全團隊對於政府監控行為一直非常不滿,他們自然希望能夠對此有所回應。

而且,同其他許多企業一樣,谷歌多年來也一直在獎勵那些發現代碼漏洞的白帽黑客。但是,其在查找自身軟體漏洞方面的工作似乎一直都存在缺陷,因為諸如Chrome瀏覽器這些產品經常需要依賴於Adoble Flash這些第三方代碼運行。今年3月,Evans甚至還編寫了一份在過去四年時間內由黑客所發現的18個Flash漏洞的表單。

一路走來——「Project Zero」的緣起

雖然,Google公司是於2014年才正式組建的Project Zero,但是該團隊的起源卻可以追溯到2009年。提到信息安全問題,很多公司通常要到面臨緊急情況的時候才能意識到其嚴重性。而對於當時的Google而言,其遭遇的緊急事件正是「極光行動」(Operation Aurora)。

2009年,一個與中國政府有關的網路間諜組織入侵了Google和其他一些科技巨頭的伺服器,竊取了他們的知識產權,並試圖監視其用戶。此舉激怒了Google的高管,使得Google最終退出了中國——這個世界上最大的市場。

該事件讓Google的聯合創始人Sergey Brin感到十分不安。計算機取證公司和調查人員認定,Google遭受的攻擊並不是自己的軟體錯誤,而是由微軟IE6中的一個未修復漏洞造成的。此事令Brin不禁自問,為什麼Google的安全性要依賴於其他公司的產品?

在接下來的幾個月里,Google開始不斷對外施壓,要求競爭對手解決他們軟體代碼中的漏洞。Google與其同行之間的這場沒有硝煙的戰鬥很快就成為傳奇故事。漏洞獵手Tavis Ormandy正是憑藉自身出神入化的漏洞修復手段,成為其中的核心人物,聞名於同行之間。

在「極光行動」出現後不久,Ormandy就披露了他幾個月前在微軟Windows操作系統中發現的一個漏洞,攻擊者可以利用該漏洞入侵個人電腦並使其癱瘓。在等待微軟回復的七個月後,他決定靠自己來解決問題。

2010年1月,Ormandy在一封「全面披露」的郵件中發布了該漏洞的詳細情況和可能遭受的攻擊。他的想法是:如果微軟不及時解決這個問題,用戶至少也應該對該問題有所了解,好讓他們能夠有自行探索應對方法的依據。幾個月後,他對所發現的Oracle的Java軟體漏洞,以及另一個更嚴重的Windows漏洞採取了相同的辦法——對於後者,Ormandy僅在向微軟彙報了五天後就採取了行動。

有人譴責Ormandy的這一行為,稱其對用戶安全造成了危害。兩位Verizon的信息安全專家在一篇博客文章中稱,採取這種「全面披露」方式的研究人員都是「自戀的漏洞皮條客」。

對此評價,Ormandy並未理會。2013年,他再次選擇在Windows發布修復之前將漏洞公開。他認為,如果沒有一個研究人員用這種公開披露的方式對其進行施壓,他們根本就沒有緊迫感,不可能會及時對這些問題進行修復,如此一來,所有人都將處於危險之中。

2014,Google悄悄地創建了「Project Zero」(該名字暗指「零日漏洞」,這一術語是信息安全專家用來描述完全沒有時間解決的未知安全漏洞)。公司制定了一套協議,並讓Chrome前任安全總監Chris Evans擔任負責人。之後,Evans開始招募Google員工和其他人加入團隊。

【Chris Evans——負責為Project Zero招募人才】

他招募了當時在瑞士的英裔安全研究員Ian Beer,他對挖掘蘋果代碼錯誤有著強烈的興趣;Ormandy也是一名英國人,他因與微軟的公開衝突而聞名;Ben Hawkes,一名因發現Adobe Flash和微軟Office漏洞而聞名的紐西蘭人。另外,Evans還招募了George Hotz做實習生,他應該是團隊中最年輕的一位,不過他的本領可不小:他曾在一個黑客競賽中成功入侵了Chrome瀏覽器,贏得了15萬美元獎金。

2014年4月,「Project Zero」完成了成立以來的首次「亮相」:蘋果在一份簡報中讚揚了一名Google研究人員,因為他發現了一個會讓黑客控制Safari瀏覽器的漏洞。蘋果公司在文中向「Google Project Zero團隊的Ian Beer」表示了感謝。

在Twitter的信息安全社區中,人們開始討論這是怎樣一個神秘組織。2014年4月24日,紐約網路安全顧問Trail of Bits CEO兼聯合創始人Dan Guido在推文中問道:「Project Zero是什麼?」美國民權同盟的CTO Chris Soghoian也提到:「Apple安全更新日誌中竟對一位神秘的Google Project Zero員工表達了感謝。」

【Dan和Chris 的推文內容】

很快地,Project Zero收到了更多的讚譽。5月份,蘋果感謝Beer發現了其OS X系統中的幾個漏洞。一個月後,微軟對一個可能擊潰其惡意軟體保護程序的漏洞打了補丁,並在報告中感謝了Project Zero的Tavis Ormandy。

當時,在所有關注安全問題的人群中,該團隊是繞不開的話題。Evans最終決定在公司博客中公開宣布了該團隊的存在。他表示:「我們應該能夠自由地使用網路,而不用擔心犯罪分子或國家支持的間諜組織利用軟體漏洞感染設備,竊取機密數據或是監控通訊。」他還援引了最近一些針對企業和人權活動人士的間諜活動,認為「這些行為必須停止」。

Evans在一年後離開了該團隊並加入了特斯拉,現在是HackerOne的顧問。Project Zero目前的領導是Hawkes。

即使到今天,Evans在描述該團隊的起源時仍然十分謹慎,他說:「Project Zero是在經歷多年的深度討論,和對攻擊演變的觀察基礎上最終確立的。我們希望創造出專註於頂級信息安全進攻研究的工作,吸引世界上最優秀的人才進入該研究貢獻力量。」

最高效的網路漏洞終結者團隊

這個挑戰比看上去還要困難。金錢吸引著世界上很多最好的黑客開展秘密工作,而政府和其他團隊也願意通過經紀人為他們的調查結果支付高昂的報酬。Evans認為,如果這種研究工作無法公布,那人們將長久生活在危機四伏的網路世界中。

在Zero Project正式成立的三年中,這個精英黑客小組已經成為地球上最高效的網路漏洞終結者之一。也許普通的消費者並不知曉這些人的名字——James Forshaw、Natalie Silvanovich、Gal Beniamini。但正是這群人在對我們的智能設備和數字生活中可能出現的漏洞進行嚴防死守,我想全世界都欠他們的一句「感謝」!

該團隊還負責對其他公司的產品進行改進,包括找到並幫助修復操作系統、殺毒軟體、密碼管理器、開源代碼庫和其他軟體中的1000多個安全漏洞。迄今為止,Project Zero已經發布了70多篇有關其工作的博文,其中一些文章堪稱目前網上最好的公共安全調研資源。

該團隊的工作間接惠及了Google的主要業務:在線廣告。保護互聯網用戶免受威脅,就意味著保護公司為用戶提供廣告服務的能力。Project Zero所做的工作向供應商施加了很大壓力,也迫使他們修復那些可能導致Google產品崩潰的漏洞。

網路安全企業家、著名蘋果黑客以及前Square移動安全部負責人Dino Dai Zovi表示:「這麼說可能不太恰當,但Project Zero就像一隻牧羊犬一樣。牧羊犬不是狼,它更為仁慈,但同樣能夠將羊群趕回羊圈中。」

4月,Project Zero的三名成員前往邁阿密參加了Infiltrate安全會議,這次會議的焦點主要集中在黑客攻擊領域。

Hawkes、Ormandy和德國安全研究員Thomas Dullien(Zero團隊的成員, 「Halvar Flake」的綽號更為人所知)以及其他與會者一起聚集在Fontainebleau酒店的草坪上,在棕櫚樹下一邊暢飲著雞尾酒,一邊暢談彼此最熱衷的科幻小說,以及如何保護黑客歷史。

期間,Ormandy擦拭了一下Morgan Marquis-Boire(前Google員工、著名的惡意軟體研究員,目前在eBay創始人Pierre Omidyar創建的另一家媒體公司First Look Media中擔任安全部負責人)落在桌上的一副范思哲墨鏡,然後戴上了它。由於當時陽光已經沒有那麼刺眼了,此舉讓Ormandy看上去有點滑稽。

看到這一幕後,Dave Aitel(此次會議的組織者,一名前NSA黑客,目前運營著一家攻擊性黑客商店Immunity)突然拿起手機拍了一張照片。Ormandy此時正把雙手擺出了一個重金屬音樂迷式的「號角」造型。「這就是Tavis Ormandy:上線的時候是一個精明、愛與人較勁的批評家;離線之後卻是一個親切友好的極客,還喜歡捉弄別人。」

說到Ormandy在敦促廠商修復他們代碼過程中可能遇到的不愉快時,Aitel說道:「人們當然不會給你好臉色看。不過你要知道,你不是非得面臨這些的。」接著,Aitel又玩笑似的,試圖說服Ormandy加入黑客研究員的「黑暗面」——即發現漏洞後高價出售,而不是報告給受影響的公司。

【各類設備的漏洞獎金金額】

聽了Aitel的提議後,Ormandy只是聳聳肩,笑了笑,然後把杯子放回到桌子上。他也許是個麻煩精,但他的目標是純粹的。

儘管外界看起來Project Zero名聲極盛,但由於它崇高的理想與複雜的現實世界相互抵觸,所以該團隊不得不採取更為靈活的方式處理工作。他們最初嚴格恪守90天的披露截止期限,但是有幾次Project Zero在被發現漏洞的公司定好發布補丁的日子之前就進行了披露,比如Microsoft和它著名的「周二補丁」,引發了眾多公司的強烈反對。那之後,這個團隊把披露期限延長了14天。

Katie Moussouris(曾參與制定微軟信息披露政策,目前運營著自己的漏洞賞金諮詢公司Luta Security)表示,Project Zero擁有業內最明確的披露政策,這是一件好事。許多公司沒有如何報告漏洞的指導規範,也缺乏指導研究者如何及何時公布漏洞的明文政策。

【Luta Security公司CEO Katie Moussouris】

雖然,Project Zero團隊會對那些反應緩慢的公司不留情面地進行批評,但是對迅速採取行動來修復漏洞的公司也會不吝讚揚。今年早些時候,Ormandy在推特上說,他和同事Natalie Silvanovich在Windows系統中發現了迄今最為嚴重的遠程代碼執行漏洞,這意味著攻擊者可以遠程控制所有基於Windows的系統。之後,他們兩人與微軟合作共同修補了該漏洞,Ormandy在隨後的推文中表示:「這次Microsoft安全團隊的反應速度非常及時,值得稱讚!」顯然,只要你想改善自己,永遠都不會太遲。

【Ormandy讚揚Microsoft安全團隊高效的推文】

科技公司可能會對Project Zero這種處理問題的大膽做法感到畏懼,但他們應該感到安慰,因為有這樣的黑客願意公然抵制通過不合法的網路活動而牟利的行為。在黑客逐漸專業化的這幾年裡,市場正因Project Zero公布的這些漏洞而得到迅速發展。政府、情報機構、犯罪分子都想通過高價來獲取這些漏洞。好在越來越多的軟體公司願意發起了漏洞獎勵計劃來解決自身的安全問題,為研究人員的時間、精力和專長技能買單,但賞金金額可能永遠都比不上暗市能給出的價格。

知名安全專家兼IBM高管Bruce Schneier表示:「無論Google為發現漏洞的人提供多少獎勵,一些政府都能夠支付比之更高的報酬。」

當時在Fontainebleau開會的時候,Dullien也表示,對如今黑客技術如此大的需求量感到驚訝。曾經這只是在黑暗地下室的愛好,現在卻變成了政府大廳里是一個職業。他說:「在90年代,它還只是一種亞文化,就像嘻哈、霹靂舞、滑板或塗鴉一樣,但是現在卻被軍方發現了它的用武之地。」

「孤膽英雄」的作戰實錄

今年2月份的一個周五下午,在加州山景城的Google總部,留著褐色平頭的安全研究大牛Tavis Ormandy正在他的辦公桌前進行著一些常規的代碼測試工作,希望能夠通過隨機數據使軟體中的缺陷暴露出來。整個過程進行的十分順利,直到他在數據集中發現了一些問題。這太奇怪了,他自忖著。他發現的這個問題並非典型的破損數據,而且相應的數據配置也和預期輸出的相差甚遠——數據集中存在大量的內存散落。於是,他進一步對該數據集進行了深挖。

在收集足夠的信息後,Ormandy將這件事分享給了其他研究同事。這個名為「Project Zero」的Google團隊很快意識到了問題的實質:一家位於舊金山的Cloudflare公司正在發生大規模的數據泄漏。大多數情況下,Cloudflare的內容分發網路可以處理全球十分之一的互聯網流量,且鮮少出現故障。但Ormandy發現,該公司的伺服器其實在網路中泄露了大量用戶的私人數據,且這種信息泄漏情況已經持續了好幾個月時間。

Ormandy並不認識Cloudflare公司的人員,也不想貿然在三天小長假的前一晚給Cloudflare的技術支持團隊電話告警。最後,他想到了一個好辦法——將這個消息發布在自己的Twitter上,至少自己大量的粉絲群能夠看到、轉發這條消息。

Ormandy在美國時間下午5:11發布了這樣一條推文:「請Cloudflare安全部門的工作人員儘快聯繫我,十萬火急!」

Ormandy沒有@Cloudflare公司的官方Twitter——他也不需要。因為他在信息安全專業人士聚集的熱門社區中擁有很高的名望,所以,在他按下「發送」鍵的15分鐘內,所有需要知道(當然還包括很多不需要知道)此事的人都能看見他的這條推文。

在當地時間凌晨1:26,Cloudflare公司首席技術官John Graham-Cumming的手機將他從睡夢中吵醒。他揉了揉眼睛,拿起了手機,看到屏幕上顯示有一個未接電話,致電者是少數幾個能夠在午夜給他打電話的人之一。他馬上發簡訊問發生了什麼情況。

他的同事立即回應稱:「公司出了非常嚴重的安全問題。」

他驚坐起來並回復道:「我馬上上線查看。」

這位CTO從床上彈起,衝到樓下,拿出了專門應對這種情況的突發事件裝備袋——裡面裝有充電器、耳機、備用電池等。他啟動了筆記本電腦,並迅速和遠在加州Cloudflare總部的同事一起加入到Google Hangout(視頻聊天應用)中。

安全團隊簡單向Graham-Cumming介紹了事態發展情況:Google的Project Zero團隊在他們的基礎設施中發現了一個漏洞—— 屬於高危級別的漏洞。

Cloudflare的伺服器能夠保障超過600萬個用戶網站的正常運營,這些客戶包括FBI、Nasdaq(納斯達克)以及Reddit等知名網站等。而現在,該伺服器存在高危漏洞,也就意味著,任何人都能夠訪問Cloudflare支持的站點,並在某些情況下獲取該網路上另一站點用戶(例如Uber、1Password、OKCupid和Fitbit等)的用戶名密碼、緩存以及私人消息等詳細信息。

【Ormandy和Graham-Cumming】

對於稍微懂點行的人來說,這些隱私信息可以說是唾手可得。更糟糕的是,搜索引擎和其他網路爬蟲工具已經將這些泄漏的數據緩存了長達數月的時間。所以,簡單地修復漏洞並不能徹底解決該問題。

Graham-Cumming說道,「這次事件就像石油泄漏,想要堵住泄漏石油的洞口很容易,但難的是還有大片被污染的海床需要清理。」

很快,兼職擔任美國網路黑客戲劇《機器人先生》的Cloudflare安全顧問的Marc Rogers領導了分流工作。不到一個小時,他們就推出了一個用以修復全球範圍內漏洞的升級程序包。幾個小時後,這群技術人員又成功恢復了導致該漏洞的功能。

就在Ormandy發布那條推文近七個小時後,Cloudflare的工程師們設法要求幾家主要的搜索引擎公司——Google、Microsoft和Yahoo清除了他們網頁中的緩存數據。

這個漫長的周末才剛剛開始,Cloudflare工程師們還需要在剩下的時間裡,對數據泄露量、涉及信息以及危害程度進行評估。

據Cloudflare CEO兼聯合創始人Matthew Prince表示,Google Project Zero發現的漏洞一開始讓他的公司幾乎損失了一個月的營收。但是,挫折只是暫時的,Cloudflare在此次事件中堅持公開透明的做法也幫助公司吸引了新的業務。

Prince很遺憾沒有在Google和Cloudflare共同發布初步調查結果之前,向客戶告知這次「雲出血(Cloudbleed)」的詳細信息。他希望客戶能夠從公司方面,而不是新聞報道中獲知這樣的消息。即使如此,他回想起來,還是覺得Project Zero團隊對於在何時披露漏洞是對的。據他所知,漏洞公布後沒發現任何與此次信息泄漏相關的重大損失。他們最初擔心的用戶密碼、信用卡號或健康記錄等信息也均未遭到濫用。

Prince表示,Cloudflare已經制定了新的控制措施,以防止此類事件再次發生。同時,公司開始審查所有代碼,並聘請外部測試人員進行二次審查。它還開發了一個更複雜的系統來識別常見的軟體崩潰,這就意味著,公司能夠及時發現安全漏洞。

Prince在談到這次數據泄露及善後事宜時說道:「就因為這14天,我的白頭髮比以前更多了,甚至壽命都可能要減少一歲。但是幸好是Tavis和他的團隊發現了這個漏洞,而不是那些瘋狂的黑客。」

當然,Prince永遠也無法排除某些人或組織有泄密數據副本的可能性。這也是Project Zero想要強調的觀點:Project Zero團隊的每一個成員每時每刻都在與那些在暗地裡搞小動作的「研究人員」作鬥爭。無論你能不能覺察到他們,這些惡魔就在暗地裡盯著自己的獵物,不知道何時就會發起進攻。

存在的意義

哪怕你不是Google Project Zero的成員,你也應該知道網路安全危機正在全球範圍內愈演愈烈。幾乎所有公司都變身成了科技公司,這也讓黑客活動變得越來越普遍——竊取銀行賬戶,監視內部人員,干預選舉等事件接連上演。新聞頭條也越發令人髮指:超過10億的雅虎帳戶泄漏;黑客從SWIFT金融網路竊取了數百萬美元;2016年美國總統大選之前,民主黨全國委員會私人電子郵件遭到曝光……

據美國身份盜竊資源中心(Identity Theft Resource Center)統計,美國公司和政府機構在2016年遭遇的信息泄漏事件比2015年多了40%,這還只是保守估計。與此同時,研究組織Ponemon所開展的一項研究顯示,目前數據泄露所消耗的平均成本高達360萬美元。

無論是程序員導致的錯誤,還是某國黑客的攻擊行為,數據泄露已經成為一種新常態。因此,企業高管們也逐漸意識到,在問題變得更加嚴重、複雜之前,將代碼問題扼殺在搖籃里才是較為合算的做法。

但事情並這沒有那麼簡單。很多公司要麼不重視信息安全問題,要麼將其視為產品開發和正常交貨的阻礙。據CA Technologies今年初收購的應用軟體安全公司Veracode稱,在參與調研的500位IT經理中,有83%承認曾在測試漏洞和解決安全問題之前就發布了代碼。

此外,信息安全行業也面臨著嚴重的人才短缺現象。據思科公司預計,全球有100萬個空缺的信息安全崗位。賽門鐵克也預計稱,到2019年,這一數字將增加到150萬個。還有一些人預計,到2021年,這一數字將增至350萬。

即使公司擁有充足的資金、主動性和聲望來尋求恰當的安全專業人士,也無法完全避免其後台產生有缺陷的代碼。即使是最好的質量監控程序和敏捷開發的方式,也無法準確地捕捉到每一個錯誤。

包括Microsoft和Apple在內的很多公司,都有自己的內部安全研究團隊來對自家的軟體進行安全核查,但卻少有團隊能夠關注其他公司的軟體是否存在安全問題。這也正是Google與眾不同的原因。對於Ormandy和Project Zero的其他十幾個頂尖電腦高手來說,他們的管轄權是沒有制約的——畢竟任何與互聯網有關的東西對大家來說都是公平的。監管網路空間不僅對人類有好處,對商業活動大有裨益的。

安在

(ID:AnZer_SH)

新銳|大咖|白帽|深度


推薦閱讀:

千年蟲之後最大危機,Intel晶元漏洞這隻黑天鵝背後福禍難料
Windows遠程桌面漏洞Esteemaudit(CVE-2017-9073)補丁簡要分析
讓我們一起來消滅CSRF跨站請求偽造(上)

TAG:网络安全 | 黑客Hacker | 安全漏洞 |