揭秘 | Google精英黑客團隊Project Zero：守護全世界的安全

雷鋒網按：在這個萬物聯網的時代，信息安全是不可避免的問題，然而我們似乎對它還沒有足夠的重視。幸好Google走在了時代的前線，設立一個不僅關注自家安全問題，更關注整個業界安全的團隊Project Zero。

它像一個孤膽英雄，對抗著全球數字威脅，它有點急躁，也備受爭議。團隊成員用自己的方式維護互聯網安全。，雷鋒網對文章編譯如下：

一

一個星期五下午，在加州山景城的Google總部，安全研究大神Tavis Ormandy正在他的工位上執行一些常規的「模糊測試」。這是一種常見的代碼測試技術，可以通過隨機數據使軟體中的缺陷暴露出來。隨後他在數據集中發現了一些問題，但奇怪的是，這並非典型的破損數據。測試結果沒有得到預期的輸出，反而出現奇怪的配置異常——大量的內存散落。所以他繼續深挖。

在收集足夠的信息後，Ormandy召集同事分享了發現的一切。這個名為Project Zero的Google團隊很快發現問題的實質：大量數據正從從舊金山的Cloudflare公司泄漏出去。大多數情況下，Cloudflare的內容分發網路大概可以處理世界互聯網流量的十分之一，並且沒有時延。但Ormandy發現，該公司的伺服器其實在網路上泄露了人們的私人數據。這些信息已經泄漏了好幾個月。

Ormandy在Cloudflare沒有認識的人，他猶豫著要不要在一個三天小長假的前一晚給Cloudflare的技術支持團隊打電話。最後他採取了另一個解決方案，通過自己的Twitter賬號求助。

「有誰是在Cloudflare安全部門工作的，能馬上聯繫我嗎？」

發布的時候，是太平洋時間的下午五點。

Ormandy沒有@Cloudflare公司。他不需要。因為他在信息安全專業人士聚集的熱門社區中聲名載道，在他按下「發送」鍵的15分鐘內，世界上每一個需要知道和很多不需要知道的人都能看見他的這條留言。

倫敦當地時間凌晨1:26，John Graham-Cumming的手機將他吵醒。這位Cloudflare CTO揉了揉眼睛，拿起了手機。他沒接到電話。來電的是僅有的幾個被列在白名單里，能在午夜給他打電話的人。他馬上發簡訊問發生了什麼情況。

他的同事立即回應，「出了嚴重的安全問題。」

他驚坐了起來並回復，「我馬上上線。」

這位CTO從床上彈起，衝到樓下，拿出了他為這樣種場合準備的裝備——充電器，耳機，額外的電池。 他啟動了電腦，並迅速加入了和Cloudflare加州總部的同事一起進行的會議。

安全小組向他介紹了局勢情況。Google的Project Zero團隊在他們的基礎設施中發現了一個bug , 一個嚴重的bug。他們的幫助運行超過600萬個客戶網站的伺服器，存在數據泄漏。這些客戶包括FBI，納斯達克和Reddit。任何人都可以訪問Cloudflare支持的站點，並在某些情況下獲取該網路上另一站點用戶的私密tokens、緩存和私人消息。這些用戶包括Uber、1Password、OKCupid和Fitbit。

Ormandy和Graham-Cumming

信息暴露在眾目睽睽之下。更糟糕的是，搜索引擎和其他網路爬蟲工具已經將泄漏的數據緩存了長達數月。 封鎖泄漏源頭也不能完全解決問題。

「這就像一次漏油事件」，Graham-Cumming說，「處理一個油罐的漏洞很容易，但難的是有很多被污染的海床需要清理。」

所以Cloudflare的工程師有的忙活了。兼職擔任美國網路黑客戲劇《機器人先生》的Cloudflare安全顧問的Marc Rogers領導了分流工作。在不到一個小時的時間內，團隊推出了一個初始的更新程序，從而將全球漏洞堵住。幾個小時後，技術人員成功地恢復了導致錯誤的功能。Ormandy發布那條推文將近七個小時之後，Cloudflare的工程師們設法要求主要的搜索引擎——Google、微軟、雅虎，清除了歷史網頁。

這是一個小長假的開始。Cloudflare工程師花了剩餘的時間來評估有多少數據和什麼類型的數據被泄露了，以及這件事情會造成多大的影響。

Cloudflare的快速響應令Google的Project Zero團隊印象深刻。但隨著兩個團隊之間關於公布泄露內容日期的談判開展，他們的關係開始變僵。雙方本來暫時同意在2月21日周二公布，但Cloudflare並未履行諾言，並聲稱需要更多的時間進行清理。於是公布的日期從周二變成了周三，又變到了周四。Google忍無可忍：無論Cloudflare是否完成了評估，是否確保清除了網路緩存中的泄漏數據，周四下午都將公布泄露情況。

雙方同意在在2月23日公布。一周的互聯網恐慌也隨之而來。

二

即使不是Google的Project Zero的成員，也知道信息安全危機在全球範圍愈演愈烈。每個公司都變成了為科技公司，黑客越來越普遍。這些黑客在企業銀行賬戶上偷盜，窺探個人信息，干預選舉。新聞頭條也令人髮指：超過10億的雅虎帳戶受損。黑客從SWIFT金融網路竊取了數百萬美元。2016年美國總統大選之前，民主黨全國委員會的無數私人電子郵件遭到曝光。

據美國身份盜竊資源中心統計，美國公司和政府機構在2016年發生了比2015年多了40％的信息泄露，這還只是保守估計。與此同時，據研究組織Ponemon所進行的一項研究顯示，目前數據泄露的平均成本升到了360萬美元。

無論是程序員導致的錯誤，還是某一國家的黑客作怪，數據泄露都是新的常態。因此，高管們的想法是，將代碼問題扼殺在萌芽之前會更加經濟，以防止問題像滾雪球一樣越滾越大。

但事情並這不是那麼簡單。很多公司並不把信息安全放在首位，也不把它當成產品交付前的指標。根據CA Technologies今年初收購的應用軟體安全公司Veracode的調研，參與調研的500位IT經理中，有83％承認曾在測試bug和解決安全問題之前就發布了代碼。同時，信息安全行業也面臨人才短缺。思科公司預計全球有100萬個空缺的信息安全崗位。賽門鐵克預計，到2019年空缺將增加到150萬個。還有人預計，到2021年，這一數字將增至350萬。

即使是一家有錢、有志還有聲望來支持信息安全的公司，也無法避免有缺陷的代碼產生的影響。最好的質量監控程序和敏捷開發的方式，也無法法捕捉到每一個錯誤。

許多公司，包括微軟和蘋果都有內部安全研究團隊調查自家的軟體。但很少有團隊還有餘力研究其他公司的軟體。這就是Google如此不同尋常的原因。對於Ormandy和Project Zero的十幾個人來說，他們的管轄權是沒有界限的，觸及互聯網的任何地方他們都能觸碰。監察全網空間不僅對人類有好處，對企業也是有好處的。

三

Google於2014年正式組建Project Zero，團隊的起源可以追溯到2009年。面對信息安全問題，很多公司經常要到面臨緊急情況時才意識到其嚴重性。對於Google而言，那一刻是「極光行動」（Operation Aurora）。

2009年，與天朝相關的網路間諜集團攻擊了Google和其他一些技術巨頭，破壞他們伺服器，竊取他們的知識，並試圖監視其用戶。這一攻擊激怒了Google的高層管理人員，使得Google最終退出了中國。

此次事件令Google聯合創始人Sergey Brin感到特別困擾。計算機取證公司和調查人員確定，Google遭受的攻擊並不是自己的軟體錯誤，而是通過微軟IE6中的漏洞進行入侵的。他想知道，憑什麼Google的安全性要依賴於其他公司的產品呢？

在接下來的幾個月中，Google開始更加積極地要求競爭對手解決他們軟體缺陷。Google與其同行之間的戰鬥很快就成為傳奇故事。Bug獵手Tavis Ormandy憑藉這自己出神入化的解決手段，巋然處在這些爭端的中心。

「極光行動」公開之後不久，Ormandy就透露了他幾個月前發現的微軟Windows一個漏洞，可能會讓黑客攻擊個人電腦並使其癱瘓。在等了微軟七個月後，他決定靠自己來解決問題。2010年1月，Ormandy在給信息安全研究同行的「全面披露」郵件中，發布了漏洞情況和可能遭受的攻擊。他的認為：如果微軟不及時解決這個問題，至少應該讓人們知道這個問題，好讓人們制定自己的解決方案。幾個月之後，他對一個影響Oracle的Java軟體的bug，和一個更大的Windows漏洞採取了相同的辦法。後者則是在向微軟彙報了五天之後。

有人譴責Ormandy的行為，聲稱這損害了安全。在一篇博客文章中，兩名Verizon的信息安全專家稱，選擇了這些全面披露路線的研究人員都是「自戀的漏洞皮條客」。Ormandy並不理會。在2013年，他再次選擇在Windows發布修復之前將漏洞公開。他認為，如果沒有學者站出來給他們施壓，他們就沒有緊迫感，就會無限期地處理這些問題，使每個人都處於危險之中。

2014，Google秘密地正式確定了Project Zero的團隊（這個名字暗示了0Day漏洞，這一術語是信息安全專家用來描述完全沒有時間解決的未知安全漏洞）。公司制定了一套協議，讓Chrome前任安全總監Chris Evans主持工作。Evans隨後招募了Google員工和其他人到團隊。

他招募了在瑞士的英裔安全研究員Ian Beer，他對發現蘋果代碼錯誤有種特殊的喜好；Ormandy，一個因與微軟的公開衝突而聞名英國大漢；Ben Hawkes，一名因發現Adobe Flash和微軟Office的bug而聞名的紐西蘭人；還有少年George Hotz做實習生，他早些時候在一個黑客競賽中黑進了Chrome瀏覽器，贏得了15萬美元。

Project Zero首次公開是在2014年4月，當時蘋果在一份簡短的文字中讚揚一名Google研究人員，因為其發現了一個會讓黑客控制能運行蘋果Safari瀏覽器的軟體的漏洞。文中向「Google Project Zero團隊的Ian Beer」表示了感謝。

在Twitter上，安全社區都對這個秘密小組感到好奇。「什麼是Project Zero？」紐約網路安全顧問Trail of Bits CEO和聯合創始人Dan Guido在推文中問道。美國公民自由聯盟CTO Chris Soghoian也很好奇，「Apple安全更新日誌中竟對神秘的Google Project Zero的員工對表示了感謝。」

Dan和Chris 的推文

Project Zero漸漸收到了更多感謝。5月份，蘋果對Beer發現其OS X系統中的幾個bug表示感謝。一個月後，微軟對一個bug打了補丁，並感謝了Project Zero的Tavis Ormandy。

那時，關注安全問題的人群中，這一團隊是離不開的話題。Evans最終決定在公司博客中正式宣布了他們的存在。他表示：「人們應該能夠自由地使用網路，而不用擔心犯罪或國家贊助的人利用軟體漏洞感染他們的計算機，竊取秘密或監控通信情況。」他援引了針對企業和人權的間諜活動例子，認為這些是無良的虐待，認為「這應該被制止」。

Evans一年後離開了團隊加入特斯拉，現在擔任一家漏洞賞金公司HackerOne的顧問。Hawkes現在是Project Zero的領導。如今，Evans更加謹慎地描述了該團隊的起源。他說：「Project Zero源自多年深度的午餐時間對話，和多年對攻擊演變的觀察。我們希望創造專註於頂級信息安全進攻研究的工作，吸引世界上最優秀的人才進入公共研究領域。」

這似乎是一個比較困難的挑戰。私有資金吸引了許多世界上最好的黑客，引誘他們秘密工作，政府和其他團隊通過經紀人為他們的調查結果支付高昂的報酬。如果研究無法公布，就會有人為此受苦，Evans如此認為。

自從Zero Project正式組隊，三年中這個精英黑客小組已經成為地球上最高效的計算機漏洞終結者之一。儘管普通消費者不知道這些人：James Forshaw、Natalie Silvanovich、Gal Beniamini。

但世界都欠他們的一份感激，因為他們為了維護我們數字設備和服務的安全貢獻了許多。團隊還對其他公司產品的一系列改進負責，包括找到並幫助修復操作系統、防病毒軟體、密碼管理器、開源代碼庫和其他軟體中的一千多個安全漏洞。Project Zero迄今發布了70多篇有關其工作的博客文章，其中一些文章是目前網上最好的公共安全研究資源。

該團隊的工作間接有利於Google的主要業務：在線廣告。保護互聯網用戶免受威脅，意味著保護公司為這些用戶提供廣告的能力。Project Zero的努力使供應商陷入困境的同時，也迫使他們修復導致Google產品崩潰的bug。

網路安全企業家、著名蘋果黑客以及前Square移動安全部門負責人Dino Dai Zovi表示：「這是一個很呆的名字，但它就像一隻牧羊犬。牧羊犬不是狼，它仁慈，但也追逐羊，讓它們回到羊圈中。」

四

四月，Project Zero的三名成員前往邁阿密參加了Infiltrate安全會議，這次會議基本都關注在黑客領域的進攻端。

在一個滿是陽光、沙灘和跑車的城市中，黑客團隊看起來有點格格不入。Hawkes、Ormandy和德國安全研究員Thomas Dullien（Zero團隊的成員，以綽號「Halvar Flake」更為人所知），聚集在Fontainebleau酒店的草坪上，在棕櫚樹下啜飲雞尾酒。與他們一起的，還有Google的其他參會者，這些Google員工暢談工作，喜愛的科幻小說，以及如何保護黑客歷史。

對於Ormandy不得不面對的讓廠商修復他們代碼這件事，Dave Aitel說到：「人們就是不會給你好臉色。不過你知道，你不需要處理這些問題的。」Aitel是一名前NSA黑客，他運營著一個進攻性黑客商店Immunity。Aitel甚至還玩笑似的，試圖說服Ormandy加入黑客研究員的「黑暗面」，也就是發現漏洞後賣出去，而不是報告給受影響的公司。

各類設備的漏洞獎金金額

當時Ormandy只是聳了聳肩笑了笑。他可能是一個會讓人覺得很麻煩的人，但他的目標是純粹的。

儘管外界看起來Project Zero鋒芒畢露，但由於其理想與現實世界的複雜性相衝突，團隊不得不變得更加靈活。他們最初規定的是很嚴格的90天披露截止日期，而對於那些正被積極利用的漏洞則只有七天。但在幾次於公司發布更新之前就披露漏洞的事件後，如微軟就習慣在每周二發布補丁，導致團隊受到了頗多指責。它也因此為90天的期限增加了14天的拓展期，以防廠商準備好了補丁但還沒發布。

Katie Moussouris稱，Project Zero擁有業內最明確的披露政策。她曾幫助微軟制定了披露政策，現在則運營著自己的漏洞賞金諮詢公司Luta Security。她認為這是一件好事。許多公司沒有如何報告漏洞的指南，也缺乏指導研究者如何及何時公布漏洞的政策。有一些組織給公司準備的修復軟體的時間，比Google更少。脫胎自卡內基梅隆大學的一個團體Cert CC，給的期限只有45天，不過他們會根據各情況進行調整。

Project Zero團隊會迅速讚揚採取行動來修復bug的公司，也會嚴厲批評那些回應緩慢的公司。今年早些時候，Ormandy在推特上說，他和同事Natalie Silvanovich「在內存中發現了最糟糕的Windows遠程代碼執行」，這意味著可以遠程控制基於Windows的系統。他說到，這個漏洞極其危險。他們兩人與微軟合作修補了這個bug，並在附後的推文中對微軟安全部門的反應讚譽有嘉。

科技公司可能會對Project Zero的大膽感到畏懼，但他們應該感到安慰，因為這些黑客願意抵制那些促使一些研究人員把研究結果出售的動機。在黑客逐漸專業化的這幾年中，Project Zero公布的這些bug已經在市場上萌芽了。各國政府、情報機構、犯罪分子，都想擁有這些漏洞，而且願意支付不菲的價格。好在軟體公司越來越多地發起了漏洞獎勵計劃，讓天平不至於只向惡意的一方傾斜。這些獎勵為研究人員的時間、精力和專長提供了補償。但賞金金額可能永遠都比不上暗市能給出的價格。

IBM知名安全大師兼高管Bruce Schneier表示：「無論Google為漏洞給的獎賞是什麼，有的政府都將付出更多的代價。」

Dullien也表示，如今對於黑客技能的需求讓自己感到驚訝，曾經這只是在黑暗地下室的愛好，現在卻變成了政府大廳里是一個職業。「它是90年代的亞文化，就像嘻哈、霹靂舞、滑板或塗鴉一樣，但現在的情況卻是，軍方覺得很有用。」

五

據Cloudflare CEO兼聯合創始人Matthew Prince說，Google頂級安全研究員發現的漏洞，最初使他的公司幾乎失去了一個月的營收。

不過如果這段經歷真讓他覺得很糟糕，他或許不會把它說出來。他當然知道被真正惡意的黑客盯上是什麼感覺。幾年前，一個名為「UGNazi」的黑客組織黑進了Prince的個人Gmail帳戶，用它控制了他的企業郵件帳戶，然後再藉此劫持了Cloudflare的基礎架構。這些黑客本可能造成重大損失，不過他們只是將4chan.org（一個黑客社區）的地址重新定向到了他們個人的Twitter頁面，以作宣傳。

Prince很後悔，沒有在Google和Cloudflare發布初步調查結果之前，向客戶通報公司的全部問題。他希望公司在客戶閱讀有關新聞報道前，就將漏洞的事提醒了客戶。即使如此，他回想起來，還是覺得Project Zero團隊對於在何時披露漏洞是對的。據他所知，漏洞公布後沒發現任何與它相關的重大損失，沒有密碼、信用卡號或健康記錄被泄露。

Prince表示，Cloudflare已經制定了新的控制措施，以防止這種事件再次發生。公司開始審查所有代碼，並聘請外部測試人員做同樣的事情。它還建立了一個更複雜的系統，用於識別常見的軟體崩潰，這往往表明存在漏洞。

對於漏洞及其後果，他說，幸好是Tavis和他的團隊發現了漏洞，而不是一些瘋狂的黑客。

當然，他也永遠無法排除另一個人或組織，有泄密數據副本的可能性。這也是Project Zero的觀點，對於其每一個團隊成員來說，有無數其他研究人員在私下工作，他們的目標不太高尚。這是你所知道和不知道的邪惡。

雷鋒網附關注漏洞市場的小知識：

有兩個漏洞市場：進攻和防守。前者包括民族國家，有組織犯罪集團和其他黑客攻擊者。後者包括漏洞賞金項目和銷售安全產品的公司。

進攻市場的價格較高，沒有上限。他們不只是購買漏洞，也會購買利用漏洞但不會被檢測到的能力。購買者很低調。

防守市場的支付能力不強，基本不會有廠商會為找到漏洞的頂級開發者補償上百萬美元。儘管主要公司的代碼質量正在改善，但複雜性仍在不斷增加，這也意味著更多的錯誤。

安全研究人員對特定的漏洞可能採取的行動，往往取決於他們的財務需求，他們對一款軟體或廠商的主觀貨幣，以及他們自己的個人風險偏好。這裡不只是簡單的黑白分明。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！