主頁 >  其他 > 解密Project Zero:谷歌內部的超級黑客團隊

解密Project Zero:谷歌內部的超級黑客團隊

2020-09-22 15:38:16 其他

美國知名科技媒體《連線》長期撰稿人安迪-格林伯格(Andy Greenberg)日前撰文對 谷歌( 微博)內部的秘密安全團隊“Project Zero”進行了詳細披露。格林伯格表示,這支團隊的成員幾乎都是全球頂級的互聯網黑客,而這一團隊的建立宗旨就是打擊全球黑客,并讓用戶可以可以更放心的點擊廣告,以及更加愜意的享受互聯網生活。
以下是文章梗概:

當喬治-霍茲(George Hotz)在2007年8月成功解鎖iPhone,使得當時的iPhone可以不僅僅局限于AT&T網路,同時也支持其他GSM網路的時候,包括AT&T和 蘋果在內的幾乎所有企業都在有意無意的忽視霍茲的存在,而只是專注于修復他所發現的設備、系統漏統。

之后,霍茲在博客中表示自己花費了整整5周時間,巧妙運用了一些簡單的硬體改動和較復雜的軟體方法得到了PS3系統全部記憶體的讀寫權限和處理器的高級控制權限。換句話說,他已經完全破解了PS3系統。對此,索尼公司的做法則是將其正式起訴至法庭,并最終在霍茲承諾不再破解任何一款索尼產品的前提下達成和解。

今年早些時候,當霍茲成功找到谷歌Chrome作業系統中漏洞的時候,谷歌非但沒有對他提起訴訟,反而給予了前者15萬美元的獎勵。兩個月后,霍茨收到了一封來自谷歌安全工程師克里斯-埃文斯(Chris Evans)的Offer郵件,后者邀請他加入谷歌旗下的互聯網安全精英團隊,該團隊的主要職責就是找到存在于互聯網各個角落之中的安全漏洞。

超級黑客團隊

日前,谷歌首次正式對外介紹了自己互聯網安全專案“Project Zero”的主要情況。據悉,該團隊主要由谷歌內部頂尖安全工程師組成,而他們的唯一使命就是發現、跟蹤和修補這些全球性的軟體安全漏洞。同時,“Project Zero”所處理的安全漏洞通常都屬于“零日漏洞”范疇,網路黑客或者政府有組織的黑客團隊可以利用這些漏洞展開網路監聽等操作。

谷歌表示,“Project Zero”團隊并不僅限于在谷歌自有的產品中尋找系統安全漏洞,因為他們也會在任何軟體產品上尋找漏洞。在發現了某個漏洞后,該團隊會對其進行曝光,并通過這種方式來鼓勵相關公司與谷歌聯手對付黑客。

“人們理應在無需擔憂安全漏洞或者隱私泄露的情況下享用互聯網,而我們團隊則會關注于找出那些高價值的安全漏洞,并將其徹底消除。” Project Zero負責人、曾負責過谷歌Chrome安全團隊的埃文斯說道。

訊息指出,“Project Zero”目前已經從谷歌內部抽調了一些精英人員而組建起了自己的黑客“夢之隊”。比如,曾在2013年發現存在于 Adobe Flash及 微軟Office中大量漏洞的新西蘭人本-霍克斯(Ben Hawkes)、英國知名“零日漏洞查殺”專家塔維斯-奧曼迪(Tavis Ormandy)、成功破解谷歌Chrome作業系統的喬治-霍茲以及曾經發現了蘋果iOS、OSX和Safari瀏覽器多個漏洞的神秘瑞士黑客布雷特-伊恩-貝爾(Brit Ian Beer)都是這一團隊的成員。

據埃文斯透露,目前這一團隊的招聘作業仍然在繼續,并計劃召集到10名以上的全職互聯網安全研究人員。他們大多數都可以不在谷歌總部辦公室辦公,并使用專業的漏洞查找工具對目標軟體進行掃描,從而發現有可能包含有漏洞的系統、軟體設計。

動機何在

那么,谷歌“Project Zero”團隊的建設目的究竟是為了什么呢?對此,埃文斯表示,谷歌希望通過這一專案把互聯網變得更加安全,并可以通過提供更加自由的作業條件來吸引許多頂級安全人才加入公司。因為谷歌始終堅信,一個更加安全、愉悅的互聯網使用環境會促使更多用戶放心的點擊廣告,并從而使谷歌受益。

“只要我們能夠增強用戶對于互聯網的信心,那么谷歌也將通過非直接的方式獲益。”埃文斯說道。

與此同時,Project Zero也同谷歌近年來的發展策略相當吻合。在“斯諾登事件”曝光后,谷歌已經加強了自己的反偵查策略,因為斯諾登曾披露稱美國國家安全域在暗中監視谷歌用戶資訊,之后谷歌便對相關鏈接進行了加密。近期,谷歌還通過在Chrome瀏覽器中內置插件的方式為用戶的電子郵件進行了加密,并且公布了一份有關哪些電郵服務商同意或者不同意使用這一加密做法的名單。

美國公民自由聯盟首席技術專家克里斯-索霍安(Chris Soghoian)表示,谷歌大力建設自己的“Project Zero”團隊是情理之中的舉措,因為谷歌安全團隊對于政府監控行為一直非常不滿,他們自然希望能夠對此有所回應。

而且,同其他許多企業一樣,谷歌多年來也一直在獎勵那些發現代碼漏洞的善意黑客。然而,查找自身軟體漏洞的作業似乎一直都并不完善,因為諸如Chrome瀏覽器這些產品經常需要依賴于Adoble Flash這些第三方代碼運行。今年3月,埃文斯甚至還撰寫了一份在過去四年時間內由黑客所發現的18個Flash漏洞的表單。

封堵理念

據前谷歌安全研究人員摩根-馬奎斯-鮑伊爾(Morgan Marquis Boire)透露,“Project Zero”團隊背后理念的成型還要追溯到2010年他與埃文斯的一次深夜會談。在當時的凌晨4點左右,兩人正在探討谷歌之外軟體所存在的缺陷以及這些缺陷會對谷歌用戶造成的影響。

“對于許多在撰寫安全軟體時需要用到第三方的代碼的人們來說,這樣的情況令人感到十分沮喪,因為黑客始終可以攻擊你最薄弱的位置。這就好像你穿著一身和服在騎摩托車一樣,即便戴著頭盔恐怕也無法保證安全。”鮑伊爾說道。

因此,谷歌便希望通過“Project Zero”團隊成員的智慧找到存在于其他公司產品之中的漏洞。在找到漏洞后,該團隊首先會對該軟體開發商發出警告,然后給對方60-90天的時間來修補漏洞,之后谷歌便會在“Project Zero”的官方博客上公布這一漏洞。谷歌表示,為了避免這些漏洞被黑客利用,谷歌通常會向軟體開發商施壓,并催促其盡量在7天時間內對漏洞進行修復。

“花費太長時間,或者對出現的漏洞無所作為是令人無法接受的行為。”埃文斯說道。

當然,“Project Zero”團隊能否完全消除互聯網的安全隱患目前我們還不得而知。但團隊成員之一的本-霍克斯表示,“Project Zero”團隊其實并不需要親自處理每一個零日漏洞,而是會根據漏洞的影響范圍來有選擇的進行介入。這主要是因為如今黑客所利用的安全漏洞通常都不是獨立存在的,而是需要配合其他一系列漏洞才能成功攻克計算機的自身防線。所以,“Project Zero”通常只需要封堵其中一個漏洞便可以使黑客的整個入侵計劃失效。

“我們將在這一領域留下自己的印記,而現在也恰恰是徹底封堵零日漏洞的最好時機。”埃文斯最后說道。(湯姆)

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/105623.html

標籤:Spark

上一篇:提問:未找到帳戶激活密鑰

下一篇:遂寧市委常委趙京東調研紅谷灘區·高通中國·影創聯合創新中心

標籤雲
其他(123570) Java(13369) Python(12729) C(7542) 區塊鏈(7372) JavaScript(7056) 基礎類(6313) AI(6244) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4120) MySQL(4012) Linux(3394) C語言(3288) C++語言(3117) Java相關(2746) 疑難問題(2699) 單片機工控(2479) Web開發(1951) 網絡通信(1793) 數據庫相關(1767) VB基礎類(1755) PHP(1727) 開發(1646) 系統維護與使用區(1617) .NETCore(1586) 基礎和管理(1579) JavaEE(1566) C++(1527) 專題技術討論區(1515) Windows客戶端使用(1484) HtmlCss(1466) ASP.NET(1428) Unity3D(1354) VCL組件開發及應用(1353) HTML(CSS)(1220) 其他技術討論專區(1200) WindowsServer(1192) .NET技术(1165) 交換及路由技術(1149) 語言基礎算法系統設計(1133) WindowsSDKAPI(1124) 界面(1088) JavaSE(1075) Qt(1074) VBA(1048) 新手樂園(1016) 其他開發語言(947) Go(907) HTML5(901) 新技術前沿(898) 硬件設計(872) 區塊鏈技術(860) 網絡編程(857) 非技術版(846) 一般軟件使用(839) 網絡協議與配置(835) Eclipse(790) Spark(750) 下載資源懸賞專區(743)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • Scala將案例類串列轉換為另一個案例類串列

    case class student1(name :String, marks :Long) case class student2(studentName:String, marks:Long) val mylist:List[student1] = List( student1("a",100) , student...

    uj5u.com 2021-10-16 16:17:44 more
  • 具有不同泛型型別的Scala3擴展多載

    我正在從 Scala 2.13 遷移到 Scala 3,并且正在嘗試重寫小型實用程式函式。在 2.13 中,可以撰寫一個更通用的隱式和另一個更具體的,但在 Scala 3 中似乎不再可能。 type Outcom...

    uj5u.com 2021-10-16 16:16:46 more
  • CatsScala中的序列和遍歷以映射型別

    我有一個型別的值,List[EitherT[IO, String, Int]]我想對其進行序列處理以將其映射到EitherT[IO,String, List[Int]]我閱讀并找到了序列方法,但它給了我一個錯誤,說它需要 [G]...

    uj5u.com 2021-10-16 16:14:44 more
  • 為什么集合上的`contains`不需要正確的型別?

    這是怎么編譯的:scala> val x: Vector[Int] = Vector(1,2,3)val x: Vector[Int] = Vector(1, 2, 3)scala> x.contains("hello")val res4: Boolean = falsescala> x.contains(...

    uj5u.com 2021-10-16 16:14:15 more
  • 在Scala中將兩個不同的RDD與不同的鍵組合在一起

    我有兩個文本檔案已經由 sparkcontext 創建為 rdd。其中一個(rdd1)保存相關詞:apple,applescar,carscomputer,computers另一個(rdd2)保存專案數:(apple,12)(apples, 50)(car,5)(ca...

    uj5u.com 2021-10-16 16:13:46 more
  • 將錯誤從catch塊記錄到Cosmosdb-spark

    目標:- 使用“get”api 呼叫從 S3 存盤桶中檢索物件,將檢索到的物件寫入 azure 資料湖,并在出現 404s(未找到物件)等錯誤時將錯誤訊息寫入 Cosmos DB“my_dataframe”由一列 (s3O...

    uj5u.com 2021-10-16 16:13:14 more
  • 如何處理用于理解和錯誤恢復的錯誤場景

    目前我的錯誤處理沒有按照我的意愿作業,這就是我想要做的:UserApi.insert 失敗,回傳錯誤,不要繼續WorkApi.insert 失敗,呼叫 UserApi.delete 后回傳錯誤WorkApi.assign 失敗,呼叫...

    uj5u.com 2021-10-16 16:12:45 more
  • 如何發送多條訊息作為我的來源

    我只是在嘗試這個當前有一個 TextMessage 作為源的示例流: // print each incoming strict text message val printSink: Sink[Message, Future[Done]] = Sink.forea...

    uj5u.com 2021-10-16 16:12:12 more
  • 如何在寫入時強制資料集匹配其架構?

    經過一些轉換后,我想使用 insertInto 將 spark 資料集保存到鑲木地板表中。ds.write.mode(SaveMode.Overwrite).insertInto(tablename) 但是操作失敗,給我這個錯誤:[TABLENAME]...

    uj5u.com 2021-10-16 16:11:31 more
  • 用于理解的模式匹配分配如何轉化為一元操作?

    我熟悉的概念,即Scala的for內涵是對一元的操作只是語法糖(map,withFilter,foreach和flatMap)和脫糖中描述這個流行的答案。通過這種邏輯,我驚訝地發現,當使用模式匹配作為推導式的...

    uj5u.com 2021-10-16 16:10:58 more