欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

揭秘 | Google精英黑客团队Project Zero:守护全世界的安全

来源:本站整理 作者:佚名 时间:2017-06-27 TAG: 我要投稿

在这个万物联网的时代,信息安全是不可避免的问题,然而我们似乎对它还没有足够的重视。幸好Google走在了时代的前线,设立一个不仅关注自家安全问题,更关注整个业界安全的团队Project Zero。
它像一个孤胆英雄,对抗着全球数字威胁,它有点急躁,也备受争议。团队成员用自己的方式维护互联网安全。

一个星期五下午,在加州山景城的Google总部,安全研究大神Tavis Ormandy正在他的工位上执行一些常规的“模糊测试”。这是一种常见的代码测试技术,可以通过随机数据使软件中的缺陷暴露出来。随后他在数据集中发现了一些问题,但奇怪的是,这并非典型的破损数据。测试结果没有得到预期的输出,反而出现奇怪的配置异常——大量的内存散落。所以他继续深挖。
在收集足够的信息后,Ormandy召集同事分享了发现的一切。这个名为Project Zero的Google团队很快发现问题的实质:大量数据正从从旧金山的Cloudflare公司泄漏出去。大多数情况下,Cloudflare的内容分发网络大概可以处理世界互联网流量的十分之一,并且没有时延。但Ormandy发现,该公司的服务器其实在网络上泄露了人们的私人数据。这些信息已经泄漏了好几个月。
Ormandy在Cloudflare没有认识的人,他犹豫着要不要在一个三天小长假的前一晚给Cloudflare的技术支持团队打电话。最后他采取了另一个解决方案,通过自己的Twitter账号求助。
“有谁是在Cloudflare安全部门工作的,能马上联系我吗?”
发布的时候,是太平洋时间的下午五点。
Ormandy没有@Cloudflare公司。他不需要。因为他在信息安全专业人士聚集的热门社区中声名载道,在他按下“发送”键的15分钟内,世界上每一个需要知道和很多不需要知道的人都能看见他的这条留言。
伦敦当地时间凌晨1:26,John Graham-Cumming的手机将他吵醒。这位Cloudflare CTO揉了揉眼睛,拿起了手机。他没接到电话。来电的是仅有的几个被列在白名单里,能在午夜给他打电话的人。他马上发短信问发生了什么情况。
他的同事立即回应,“出了严重的安全问题。”
他惊坐了起来并回复,“我马上上线。”
这位CTO从床上弹起,冲到楼下,拿出了他为这样种场合准备的装备——充电器,耳机,额外的电池。 他启动了电脑,并迅速加入了和Cloudflare加州总部的同事一起进行的会议。
安全小组向他介绍了局势情况。Google的Project Zero团队在他们的基础设施中发现了一个bug , 一个严重的bug。他们的帮助运行超过600万个客户网站的服务器,存在数据泄漏。这些客户包括FBI,纳斯达克和Reddit。任何人都可以访问Cloudflare支持的站点,并在某些情况下获取该网络上另一站点用户的私密tokens、缓存和私人消息。这些用户包括Uber、1Password、OKCupid和Fitbit。

Ormandy和Graham-Cumming
信息暴露在众目睽睽之下。更糟糕的是,搜索引擎和其他网络爬虫工具已经将泄漏的数据缓存了长达数月。 封锁泄漏源头也不能完全解决问题。
“这就像一次漏油事件”,Graham-Cumming说,“处理一个油罐的漏洞很容易,但难的是有很多被污染的海床需要清理。”
所以Cloudflare的工程师有的忙活了。兼职担任美国网络黑客戏剧《机器人先生》的Cloudflare安全顾问的Marc Rogers领导了分流工作。在不到一个小时的时间内,团队推出了一个初始的更新程序,从而将全球漏洞堵住。几个小时后,技术人员成功地恢复了导致错误的功能。Ormandy发布那条推文将近七个小时之后,Cloudflare的工程师们设法要求主要的搜索引擎——Google、微软、雅虎,清除了历史网页。
这是一个小长假的开始。Cloudflare工程师花了剩余的时间来评估有多少数据和什么类型的数据被泄露了,以及这件事情会造成多大的影响。
Cloudflare的快速响应令Google的Project Zero团队印象深刻。但随着两个团队之间关于公布泄露内容日期的谈判开展,他们的关系开始变僵。双方本来暂时同意在2月21日周二公布,但Cloudflare并未履行诺言,并声称需要更多的时间进行清理。于是公布的日期从周二变成了周三,又变到了周四。Google忍无可忍:无论Cloudflare是否完成了评估,是否确保清除了网络缓存中的泄漏数据,周四下午都将公布泄露情况。
双方同意在在2月23日公布。一周的互联网恐慌也随之而来。

即使不是Google的Project Zero的成员,也知道信息安全危机在全球范围愈演愈烈。每个公司都变成了为科技公司,黑客越来越普遍。这些黑客在企业银行账户上偷盗,窥探个人信息,干预选举。新闻头条也令人发指:超过10亿的雅虎帐户受损。黑客从SWIFT金融网络窃取了数百万美元。2016年美国总统大选之前,民主党全国委员会的无数私人电子邮件遭到曝光。
据美国身份盗窃资源中心统计,美国公司和政府机构在2016年发生了比2015年多了40%的信息泄露,这还只是保守估计。与此同时,据研究组织Ponemon所进行的一项研究显示,目前数据泄露的平均成本升到了360万美元。
无论是程序员导致的错误,还是某一国家的黑客作怪,数据泄露都是新的常态。因此,高管们的想法是,将代码问题扼杀在萌芽之前会更加经济,以防止问题像滚雪球一样越滚越大。
但事情并这不是那么简单。很多公司并不把信息安全放在首位,也不把它当成产品交付前的指标。根据CA Technologies今年初收购的应用软件安全公司Veracode的调研,参与调研的500位IT经理中,有83%承认曾在测试bug和解决安全问题之前就发布了代码。同时,信息安全行业也面临人才短缺。思科公司预计全球有100万个空缺的信息安全岗位。赛门铁克预计,到2019年空缺将增加到150万个。还有人预计,到2021年,这一数字将增至350万。
即使是一家有钱、有志还有声望来支持信息安全的公司,也无法避免有缺陷的代码产生的影响。最好的质量监控程序和敏捷开发的方式,也无法法捕捉到每一个错误。
许多公司,包括微软和苹果都有内部安全研究团队调查自家的软件。但很少有团队还有余力研究其他公司的软件。这就是Google如此不同寻常的原因。对于Ormandy和Project Zero的十几个人来说,他们的管辖权是没有界限的,触及互联网的任何地方他们都能触碰。监察全网空间不仅对人类有好处,对企业也是有好处的。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载