孤膽英雄Project Zero：Google精英黑客團隊如何應戰全球數字威脅

孤膽英雄Project Zero：Google精英黑客團隊如何應戰全球數字威脅

獵雲網

2017-06-29

文 | 獵雲網（ilieyun）蔡怡然

6377字，約15分鐘閱讀

獵雲君：數據泄漏、隱私曝光，生活在互聯網社會的我們隨時會面臨網路帶來的威脅。本文真實記錄了今年年初谷歌精英黑客團隊Project Zero正面迎戰數據威脅，一起來看看這群孤膽英雄的作戰紀實吧～

今年2月份的一個周五下午，留著褐色平頭的安全研究員Tavis Ormandy正在加州山景城Google總部的一張辦公桌前進行著常規的代碼測試，希望能通過測試發現軟體可能存在的問題。整個過程進行的十分順利——直到他在數據集中發現了一些問題。這太奇怪了，他自忖著。他發現的這個問題和以往受到損壞的數據並不一樣，而且相應的數據配置也跟預期的相去甚遠——數據集中到處散落著內存塊。於是，他進一步對這個數據集進行了挖掘。

在收集了足夠的信息之後，Ormandy把這件事告訴了其他的安全研究員。這個專門負責Google Project Zero的團隊很快就意識到了這個問題到底是什麼：一家位於舊金山的名為Cloudflare的公司正在發生大規模的數據泄露。Cloudflare在絕大部分時間中能夠處理全球十分之一的互聯網流量，而且鮮少出現故障。但Ormandy發現，這家公司的伺服器在網路中泄露了大量用戶的私人信息，而且這種信息的泄露情況已經持續了好幾個月了。

Ormandy並不認識Cloudflare的內部人員，也不想冒然在三天小長假的前一天以電話的方式告知。於是，他就採用了一種所能想到的最好的辦法：將這個信息發布在Twitter上，至少他還有成千上萬的粉絲能夠看到這條消息。

「請Cloudflare的安全人員儘快聯繫我，十萬火急！」

這條推文是在美國西部時間下午5：11發布的。

Ormandy並沒有「@」Cloudflare的官方Twitter——他也不需要。因為Ormandy在這個熱心的信息安全社群里有著很高的聲望，所以在他點擊「發送」按鍵之後的15分鐘內，所有需要知道這條信息的人就都已經看到了。

在當地時間凌晨1:26，Cloudflare的首席技術官John Graham--Cumming插在床頭充電的手機把他從睡夢中吵醒了。他揉著眼睛迷迷糊糊的拿起手機，屏幕上顯示有一個未接來電——來電者是少數幾個可以在午夜之後打電話給他的人之一。這位CTO趕緊給這個同事發了一條簡訊，想知道到底發生了什麼。

這個同事幾乎立刻就回復了簡訊：「非常嚴重的安全問題。」

Graham-Cumming看到後立即坐了起來，回復道：「我現在馬上上網看。」

緊接著，Graham-Cumming起身下床，下樓到地下室里拿起了專門應對這種情況的突發事件袋——裡面裝著充電器、耳機和多餘的電池。他啟動了筆記本電腦，並迅速和遠在加州Cloudflare總部的同事一起加入到Google Hangout（視頻聊天應用）中。

安全團隊向Graham-Cumming簡要說明了事態目前的發展情況：Google的Project Zero團隊在Cloudflare的後台發現了一個漏洞——很糟糕的那種。Cloudflare的伺服器能夠幫助600多萬用戶網站正常運營，其中包括FBI、Nasdaq和Reddit等知名網站。而現在，這個伺服器正在發生信息泄露。這也就是說，在某些情況下，任何能夠登錄Cloudflare所支持的網站的人都可以獲取用戶在其他網站——如Uber、1Password、OKCupid和Fitbit——的用戶名密碼、Cookie、私人信息等詳細信息。

對於稍微懂點行的人來說，這些個人信息簡直可以說唾手可得。更糟糕的是，搜索引擎和其他的網路爬蟲將這些泄露的信息存儲在緩存里已長達數月之久，所以單純地修復這個漏洞並不能徹底的解決這個問題。

「我把這次事件比作石油泄漏，」Graham-Cumming says說道，「泄露石油的洞口輕易就能堵住，但你還有一大片的海床需要清理。」

很快，一支由安全主管Marc Rogers（他同時也擔任美劇《黑客軍團》的顧問）負責、Cloudflare的工程師組成的團隊開始著手解決這個問題。不到一個小時，他們就推出了用以修復全球範圍內漏洞的升級包。緊接著，幾小時後，這群技術人員又對導致這個漏洞的功能進行了修復。在Ormandy發布推文7個小時候，Cloudflare的工程師設法找到了幾家主要引擎公司——Google、Microsoft和Yahoo，清除了他們網頁中的緩存數據。

這個漫長的周末才剛剛開始，他們還需要在剩下的時間裡評估此次泄露的數據量、程度以及涉及信息。

一開始，Cloudflare團隊的反應速度讓Google的Project Zero拍手稱讚，而且Google團隊也知道Clouflare在處理安全問題上一向秉持著公開透明的原則。但是，兩支團隊在之後就什麼時候向公眾宣布泄露信息的具體內容進行討論時產生了分歧。經過協商，兩家公司暫定於2月21日周二宣布這一消息。然而，隨著時間的臨近，Cloudflare又稱需要更多的時間來完成善後工作，於是，周二推到周三，周三又推到周四。最後，Google方面下達了「最後通牒」：無論Cloudflare有沒有完成評估、有沒有將泄露信息從網頁緩存中徹底清理乾淨，兩家公司必須在周四下午正式公布此次信息泄露——Ormandy將其稱為「雲出血」（Cloudbleed）——的細節。

兩家公司在2月23日正式發布了消息。緊隨其後的是長達一周的網路恐慌。

哪怕你不是Project Zero的成員，你應該都知道網路安全危機正在全球範圍內不斷加劇。幾乎所有的公司都變身成為了科技公司，這也讓黑客活動成為越來越稀鬆平常的事情，竊取公司賬戶、監視內部人員、干擾選舉等事件接連上演。還有這樣給我們敲響警鐘的頭條新聞：超過10億的Yahoo賬戶遭到泄露；數千萬美元通過SWIFT的金融網路被盜；2016年美國總統大選之前，民主黨全國委員會成員的無數私人郵件遭到曝光。

據Identity Theft Resource Center統計，美國公司和政府機構在2016年遭遇的安全危機事件比2015年多了40%——這還是只是保守估計。與此同時，研究機構Ponemon Institute開展的一項由IBM資助的研究顯示，數據外泄所耗費的平均成本高達360萬美元。

無論源於程序員的失誤還是某國黑客的攻擊，數據泄露已然成為了一種新常態。公司高管也逐漸意識到，真正合算的方法是在問題變得更嚴重、更複雜之前，將編碼問題的萌芽扼殺在搖籃里。

但真實情況並沒有這麼簡單。很多公司要麼不重視安全問題，要麼把它當做產品開發和正常交貨的阻礙。據今年早些時候被CA Technologies收購的一家應用程序安全公司Veracode稱，在接受調查的500名IT經理中，有83%承認他們在發布代碼之前根本沒有測試是否存在漏洞或者解決安全問題。另外，網路安全的相關人才也非常緊缺。據Cisco估計，全球有100萬個安全崗位仍處空缺，Symantec也預測，到了2019年，這一數據將增長至150萬。還有一些人估計，這一數據到2021年會增至350萬。

即使公司擁有足夠的資金、主動性和聲望來尋求恰當的安全人員，也不能完全避免其後台產生有缺陷的代碼。即便是質量最好的程序和最敏捷的開發過程都不能找到並消除系統中的每一個漏洞。

包括Microsoft和Apple在內的很多公司都有自己的內部安全研究團隊來對自己的軟體進行安全性核查，但是鮮有團隊能夠關注其他公司的軟體是否存在安全問題。這也是Google與眾不同的原因。對於Ormandy和其他十來個組成Google Project Zero的頂尖電腦高手來說，他們的許可權並沒有受到制約——畢竟任何與互聯網有關的東西對大家來說都是公平的。監管網路空間不僅對人類有好處，而且對商業活動大有裨益。

Google在2014年正式成立了Project Zero，但這個項目組的真正起源應該要追溯到5年前。在遇到緊急情況時，大多數公司都會以非常認真的態度對待安全問題。而當時的Google所遭遇的緊急事件正是Operation Aurora。

2009年，一個與中國政府有關的網路間諜組織入侵了Google和其他一些科技巨頭的伺服器，竊取了他們的知識產權，並試圖對他們的用戶進行監視。這場信息掠奪激怒了Google的高管，以至於公司最終退出了中國這個世界上最大的市場。

這一事件尤其讓Google的聯合創始人Sergey Brin感到十分不安。計算機取證公司和調查人員認定，這次黑客入侵事件，並不是通過Google自己的軟體，而是由Microsoft的瀏覽器Internet Explorer 6的一個未修護的漏洞造成的。Sergey Brin不禁自問：為什麼Google的安全要依賴於其他公司的產品？

在之後的幾個月里，Google不斷施加壓力，要求競爭對手修復其軟體代碼中的漏洞。Google與其他同行之間的這場沒有硝煙的戰爭很快就變成了傳奇故事。而無疑，「漏洞獵手」Tavis Ormandy正式這其中的核心人物，他以一種「不厚道」的漏洞修復方式而聞名於同行之中。

例如，在Operation Aurora出現後不久，Ormandy就披露了他幾個月前在Microsoft的Windows操作系統中發現的一個漏洞，攻擊者可以利用它入侵人們的個人電腦。在經歷長達七個月的漫長等待後，他還是沒有等來Microsoft發布的補丁，於是Ormandy決定自己出手來解決問題。2010年1月，Ormandy在一個「全面披露」的郵件列表中公布了這個漏洞的詳細信息，從而讓安全研究員能夠知曉這個新的漏洞以及可能的攻擊方法。他的想法是：如果Microsoft不能及時解決這個問題，人們也至少要對這個問題有所了解，這樣他們就可以自主探索應對方法了。幾個月後，他對所發現的Oracle的Java軟體和另一個Windows系統的漏洞採取了同樣的方法——而對於後者，Ormandy僅在向Microsoft告知5天後就採取了行動。

有批評者譴責了Ormandy的這一行為，稱這對人們的安全造成了危害（Apple、Microsoft和Oracle並未對此發表評論）。兩位來自Verizon的安全專家在其公司博客中稱這種採用「全面披露」方式的研究人員是「自戀又內心脆弱的皮條客」。Ormandy並沒有在意這條具有攻擊性的指責——2013年，他再次選擇在Microsoft提供解決方案之間公布了Windows的系統漏洞。他認為，如果沒有一個研究人員用這樣公開披露的方式進行威脅，公司很可能就不會及時對漏洞進行修復。他們會一直隱瞞下去，即使代價是讓所有人都處於危險之中。

2014年，Google悄悄地開始正式創建Project Zero（這個名字暗指「零日攻擊」，是安全專員用來描述公司發現未知漏洞卻沒有時間做準備來應對它的一個術語）。公司設立了一整套協議，並讓Google Chrome前安全主管Chris Evans擔任負責人。之後，Evans開始招募Google員工和其他人員加入團隊。

他簽約僱傭了當時在瑞士的安全研究員Ian Beer，他是個英國人，曾對Apple的編碼錯誤表現出強烈的興趣。Evans還邀請了另一名英國人Ormandy，他因與Microsoft的小衝突而聞名。來自紐西蘭的Ben Hawkes也加入了團隊，他發現了Adobe Flash和Microsoft Office的漏洞。另外，Evans還招募了George Hotz來做實習生，他可能是團隊里最年輕的，但是本領卻不小：在當年的黑客競賽中，George Hotz成功入侵了Google Chrome瀏覽器，獲得了15萬美元的獎金。

2014年4月，Project Zero完成了成立以來的第一項任務：Apple在一份簡要報告中稱讚了Google的一位研究人員，他發現了一個可讓黑客操控Safari瀏覽器的漏洞。這張感謝字條是寫給「Google Project Zero的Ian Beer」的。

在Twitter上的信息安全社區中，人們都開始討論這是一個什麼樣的神秘組織。2014年4月24日，總部位於紐約的網路安全諮詢公司Trail of Bits的聯合創始人兼CEO Dan Guido在Twitter上問道：「Google Project Zero是什麼？」美國民權同盟（American Civil Liberties Union）的首席技術專家Chris Soghoian也提到：「Apple的安全更新日誌上竟然感謝了一位Google Project Zero的神秘員工。」

很快，更多的讚譽聲出現了。5月份，Apple感謝Beer發現了OS X操作系統中的幾處漏洞。一個月後，Microsoft修復了一個可能擊潰其惡意軟體保護程序的漏洞，並在報告中提到「Google Project Zero的Tavis Ormandy為我們提供了幫助」。

這個團隊在那些關注安全問題的人群當中引起了相當大的反響。直到這時，Evans才終於在公司網站的一篇博文中公開宣布了這個團隊的存在。「我們在使用網路的過程中，不應該再擔心犯罪分子或某國的黑客利用軟體漏洞攻擊電腦、竊取機密文件或者監視通訊。」Evans以最近一些針對企業和人權活動人士的間諜活動進行了舉例說明，「這些行為必須停止。」

Evans在一年之後離開了這個團隊並加入了Tesla，他現在是HackerOne（一個安全漏洞披露平台）的顧問。（Project Zero現在的負責人是Hawkes。）即使在今天，Evans在描述這個團隊的起源時仍然十分謹慎：「Project Zero經過了多年午餐會的討論，和多年對黑客攻擊的研究才最終確立的。我們希望創造出專門針對高級網路攻擊的研究工作，來吸引世界上優秀的人才進入這個領域發光發熱。」

這個挑戰比看上去還要困難。金錢誘使世界上很多優秀的黑客在背地裡進行工作，而政府和其他組織也願意通過經紀人向這些黑客支付高額的薪金以獲取他們的成果。Evans說，如果這種研究工作遲遲不能推出，那人們將長久生活在危機四伏的網路世界中。

在Google的Project Zero正式成立後的3年里，黑客精英小隊逐漸建立起了聲譽——畢竟他們是這個星球上最有能力的bug終結者。一般的消費者不太可能知曉他們的姓名——James Forshaw、Natalie Silvanovich和Gal Beniamini，正是這群人對我們的智能設備和數字生活中可能出現的漏洞進行了嚴防死守，全世界都欠他們一句「謝謝」。這個團隊主要負責對其他公司的產品進行改進，他們修復了1000多個包括操作系統、殺毒軟體、密碼管理器、開源代碼庫以及其他軟體中的漏洞。迄今為止，Project Zero已經發布了70多篇有關其工作的博文，其中有一些堪稱當今網路上最優秀的公共安全調研報告。

該團隊的工作間接惠及了Google的主要業務：在線廣告。保護網路用戶不受威脅就相當於在保護公司為用戶提供服務的能力。Project Zero所做的工作向供應商施加了很大的壓力，這也迫使他們修復那些可能導致Google產品崩潰的安全漏洞。

Dino Dai Zovi是一位網路安全企業家、著名的Apple黑客，也曾擔任Square移動安全部的負責人，他說：「這麼說可能不太恰當，但是Project Zero就像牧羊犬一樣。它並不是狼，它會採取更為仁慈的行為，但仍然能夠把羊群趕回羊圈中。」

4月份，Project Zero的三名成員前往邁阿密參加潛入安全會議（Infiltrate security conference），這場大會的焦點完全集中在黑客攻擊方面。

在一個依靠日光浴和跑車發展起來的城市，這群計算機專家的出現似乎有些突兀。Hawkes、Ormandy以及Project Zero的另一位德國安全研究員Thomas Dullien（他還有一個廣為人知的黑客綽號「Halvar Flake」）聚集在Fontainebleau酒店的草坪上，在沙沙作響的棕櫚樹下啜飲著Mojito（一種雞尾酒）。當所有參會者圍坐在桌邊的時候，他們與大家探討時事和最喜歡的科幻故事，以及如果不採取行動來打擊黑客將會有多麼糟糕。

期間，Ormandy擦拭了一下Morgan Marquis-Boire（前Google員工、著名的惡意軟體研究員，目前在eBay創始人Pierre Omidyar創建的另一家媒體公司First Look Media中擔任安全部負責人）落在桌上的一副范思哲墨鏡，然後戴上了它。當時陽光已經沒有那麼刺眼了，這就讓Ormandy看上去有點滑稽。

這場會議的組織者Dave Aitel以前是美國國安局的黑客，他經營著一家具有攻擊性的黑客商店，Immunity。在看到上面這一幕時，他突然拿出手機拍了一張照片。Ormandy此時正把雙手擺出了一個重金屬音樂迷式的「號角」造型。「這就是Tavis Ormandy：上線的時候是一個精明的、愛與人較勁的批評家；離線之後卻是一個親切友好的極客，還喜歡捉弄別人。」

「人們會給你很多好處的，Tavis，」Aitel說道，緊接著又提到Ormandy必須在督促供應商修復代碼時可能會遇到的不愉快，「你知道，你不是非得面對這些。」Aitel頑皮的笑著，開玩笑似的想要說服Ormandy加入黑客組織的「黑暗面」，即找到系統漏洞然後高價出售，而不是好心地向每家公司通報發現的bug。

聽了Aitel的提議後，Ormandy聳聳肩表示不屑，笑了笑，然後把杯子放回到桌子上。他也許是個搗蛋鬼，但是他的目標很純粹。

儘管Project Zero有著良好的聲譽，但由於它高尚的理想同複雜的現實世界是相互抵觸的，因此它不得不採取更加靈活的方式處理工作。最初，這個團隊嚴格恪守90天的披露期限，但是有幾次Project Zero在被發現漏洞的公司定好發布補丁的日子之前就進行了披露，比如Microsoft和它著名的「周二補丁」，引發了眾多公司的強烈反對。那之後，這個團隊把披露期限延長了14天。

Katie Moussouris（她幫助創立了Microsoft的信息披露政策，現在經營者自己的漏洞懸賞諮詢公司，Luta Security）表示，Project Zero在科技領域中有一些非常明確的信息披露政策，這是件好事。許多公司在關於如何彙報後台漏洞方面沒有完善的規範，或者缺少對於安全研究員如何以及在何時公開所發現的漏洞的明文規定。

而且，雖然Project Zero對於那些反應緩慢的公司毫不留情面，但在遇到能夠迅速採取行動的企業時也不吝讚揚。今年早些時候，Ormandy在Twitter上說，他和同事Natalie Silvanovich在Windows系統中發現了迄今最為嚴重的遠程代碼漏洞，這意味著所有基於Windows系統的程序都可以被遠程操控。他寫道：「這太糟糕了。」這兩位安全研究員立刻同Microsoft共同合作修復了漏洞。Ormandy在推文中表示：「這次Microsoft團隊的反應速度非常迅速，值得給他們點贊！」顯然，只要你想改善自己，永遠都不會太遲。

科技公司有時可能會因為Project Zero這種處理問題的魄力而備受困擾，但有這樣的黑客能夠公然抵制通過不合法的網路活動而牟利的行為，他們應該感到欣慰。在黑客入侵後的幾年裡，市場因Project Zero披露的漏洞而得以迅速發展。政府、情報機構、犯罪分子——每個人都想通過高價獲得Project Zero所發現的漏洞。越來越多的軟體公司願意採用懸賞方式來解決自己的安全問題，樂意為研究人員的時間、精力和專業知識買單。但是，懸賞的獎金再高也比不過「做壞事」獲得的報酬。

知名安全專家、IBM高管Bruce Schneier表示：「無論Google為發現bug的人提供多少獎金，中國政府都會支付比它更高的報酬。」

當時在Fontainebleau開會的時候，Dullien曾告訴我們，他對於黑客技術如此大的需求量而感到驚訝。曾經在陰暗的地下室里當做業餘愛好的工作現在卻成了政府大樓里的一種職業。

「這種業餘愛好就跟嘻哈、霹靂舞。滑板或者塗鴉一樣，屬於90年代的亞文化，」他說道，「只不過碰巧軍方發現了它的用武之地。」

據Cloudflare的聯合創始人兼CEO Matthew Prince表示，Google Project Zero發現的漏洞一開始讓公司損失了一個月的增長額。但是，挫折只是暫時的，Cloudflare在此次事件中堅持公開透明的做法也幫助公司吸引了新的業務。

Prince很遺憾公司沒能在和Google共同發布初期調查結果之前向自己的客戶告知這次雲出血的詳細信息。他希望用戶能夠從公司這裡而不是新聞報道中得知這樣的消息。即便如此，Prince也承認Project Zero確定的披露時間是非常正確和及時的。據他所知，目前還沒有用戶發現任何與此次信息泄露相關的重大損失。他們最初最為擔心的用戶名密碼、信用卡號或醫療記錄等信息都沒有遭到濫用。

Prince說，Cloudflare已經開始實施新的管控措施，以防止類似事件再次發生。同時，公司也對其所有代碼進行安全核查，還聘請了外部測試人員來進行二次審查。它還開發了一個更為複雜的系統來識別常見的軟體崩潰，這也就意味著公司能夠進及時發現安全漏洞。

Prince在談到這次數據泄露及善後事宜時說道：「就因為這14天，我的白頭髮比以前更多了，甚至壽命都可能要減少一歲。謝天謝地，幸好是Tavis和他的團隊發現了這個漏洞，而不是那些瘋狂的黑客。」

當然，Prince永遠無法排除某些人或組織泄露數據副本的可能性。這也是Project Zero想要強調的：這個團隊的成員每時每刻都在同那些在暗地裡搞小動作的「研究人員」作鬥爭。無論你能不能發現他們，這些魔鬼就在暗地裡盯著自己的獵物，不知道什麼時候就會出擊。

END

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！