立即打开
谷歌的黑客别动队

谷歌的黑客别动队

Robert Hackett 2017年08月29日

这是一个抵挡全球日趋严重的数字威胁的卫士,不留情面,充满争议。谷歌的零工程团队在保障它的用户安全上网。这有什么问题吗?

《财富》(中文版)——今年2月一个周五的下午,大师级的安全研究员塔维斯·奥曼迪正在位于山景城谷歌公司总部里的办公桌旁执行一些日常的“模糊测试”。这是一种普通的软件代码测试技术,即以随机数据轰击软件,让缺陷暴露出来。奥曼迪留着棕色的平头,脸上现出不安的微笑。他突然发现,数据集里有些东西不对劲。他觉得奇怪。这不是普通的被污染的数据。他看到的,不是预期的结果,而是一些异常现象,大块大块的内存被奇怪地占据。因此,他进行了更深的挖掘。

在收集到了足够的信息后,奥曼迪叫他的安全研究员同伴过来,让他们站成一圈,分享了他的发现。谷歌的这支团队名叫“零工程”。该团队很快意识到他们发现了什么:大范围的数据泄露,来自于旧金山一家名叫Cloudflare的公司。在多数时间里,这家公司的内容发送网络在毫无差错地处理着全球将近十分之一的互联网流量。但是,奥曼迪发现,该公司的服务器在向全网散发个人的私密数据。这些信息已经被泄漏了长达数月。

奥曼迪不认识Cloudflare公司的人,他在犹豫,周末马上到来,要不要给Cloudflare的在线支持人员打这么一个陌生电话。于是,他想出了第二佳的做法:登录推特,向他的数万名粉丝发出请求:

Cloudflare的安全部门的人,能不能紧急联系我一下?

时间是美国太平洋时间下午的5点11分。

奥曼迪懒得通过“@名字”的方式来提醒某公司的推特账号,他没有必要这么做。他在信息安全专业人员中间名望很高。在他发送推文后不到15分钟,需要知道这条信息的所有人(当然还有很多不需要知道的人)就都看到了。

在当地时间凌晨1点26分,伦敦。约翰·格雷厄姆-卡明被床边的电话铃声吵醒。Cloudflare的首席技术官揉了揉眼睛,努力去抓响个不停的电话。没有接到来电。打电话的,是他的一位同事—这是少数格雷厄姆-卡明允许在半夜给他打电话的人之一。他发了一条短信,问发生了什么事情。

同事立刻给他回了短信:非常严重的安全问题。格雷厄姆-卡明坐了起来,惊慌地回复:我马上就上网。

首席技术官起床,下楼到地下室,抓起一个“急救包”,这是他为出现这类情况而准备的,里面有充电器、耳机和几块电池。他启动了自己的笔记本电脑,快速进入与Cloudflare加利福尼亚总部同事共有的谷歌环聊群。

安全团队向他简要汇报了形势。谷歌的零工程团队在Cloudflare的基础架构里发现了一个漏洞,一个严重的漏洞。运行着包括美国联邦调查局、纳斯达克、Reddit在内的超过600万家网站的服务器出现了数据泄漏,任何人都能够进入Cloudflare支持的网站,在一定的环境下获取Cloudflare网络中另一家网站的用户私密信息,包括认证口令牌、信息记录程序、私人短信等。Uber、1Password、OKCupid、Fitbit等公司的网站都在其中。

这些私密信息已经可以一览无余。更加糟糕的是,它们还会在搜索引擎和其他网络爬虫软件的缓存中保存数月。堵住漏洞并不能够彻底解决问题。

格雷厄姆-卡明说:“我将这比作石油泄漏。油轮身上的漏洞容易处理,但是你还有很多海床要清理。”

因此,Cloudflare的工程师不得不行动起来。安全主管马克·罗杰斯领导了这次善后行动。罗杰斯在业余时间担任了美国有线广播网的电视剧《黑客军团》的顾问。不到一个小时,安全团队拿出了初步的缓解措施,通过更新程序,堵住了全球各地的漏洞。数小时后,技术人员成功地停止了导致错误的功能。在奥曼迪发出那条推文后将近7小时,Cloudflare的工程师成功地让谷歌、微软、雅虎等几大搜索引擎清除了网页缓存。

漫长的周末才刚刚开始。Cloudflare的工程师在余下的大部分时间里评估被泄露的数据量和类型,以及扩散情况。

Cloudflare以在安全问题上透明而著称,谷歌的零工程团队起初对Cloudflare安全团队的快速反应印象深刻。但是,在协商如何公开披露被泄露的数据时,两支团队发生了争吵。双方暂定,最早于2月21日星期二那天发表声明。到在那天快要过去的时候,Cloudflare表示,它需要更多的时间做清理。时间从星期二改到星期三,又从星期三改到星期四。到了此时,谷歌不再动摇:双方必须在星期四下午公布数据外泄细节,无论Cloudflare是否完成评估,是否确定外泄数据已经从网页缓存中删除。奥曼迪称这次事件为“云出血”。

两家公司在2月23日做了披露。随之而来的,是互联网上出现了持续一周的恐慌。

不用加入谷歌的零工程团队,你也能够知道,世界各地的网络安全危机越来越严重。每家公司都成了科技公司,黑客事件越来越普遍,公司银行账户的资金流失,个人信息被偷窥,选举遭人干涉。一些头条新闻令人震惊:超过10亿个雅虎账户存在入侵风险;数千万美元通过环球同业银行金融电讯协会金融网络被盗走;无数来自于民主党全国委员会的私人邮件在2016年美国总统大选期间被曝光。

据身份盗窃资源中心称,美国公司和政府机构在2016年报告的数据外泄事件比2015年多出了40%,这还是一个保守的估计。与此同时,由IBM公司资助、研究集团Ponemon研究所进行的一项研究显示,现在每次外泄给组织制造的平均费用达到了360万美元。

不管是程序员的失误,还是为某国效力的黑客造成的,数据外泄如今成为了新常态。企业高管已经达成共识,一旦编代码出现问题,较为经济的做法是将它扼杀在萌芽状态,不要让它在未来变得更加严重或是制造混乱。

但事情没有那么简单。太多的企业要么不重视安全问题,要么把它看作是开发和按时交付产品的障碍。CA Technologies在今年早些时候收购的应用安全企业Veracode称,它调查了500位IT经理,83%的人承认,在发布代码之前没有进行漏洞检测或解决安全问题。与此同时,安全行业面临着人才短缺问题。思科估计,全球安全职位缺口达100万。赛门铁克公司预计,到2019年,缺口将达150万。一些人估计,到2021年,缺口将达350万。

即便一家企业有维持一支安全团队的资金、计划和名声,也不能够杜绝发送有缺陷的代码。最好的质量保证流程和灵活的开发实践也不可能捕捉到每一个漏洞。

所以,包括微软、苹果在内的众多企业拥有内部安全研究团队,自查本公司的软件。但很少有团队重视其他公司的软件。这让谷歌变得与众不同。奥曼迪等10多位王牌电脑破解者组成了谷歌的零工程团队,他们的管辖没有边界,任何东西只要触网,都在他们的关注范围之内。给网络空间配备警察,不仅对个人有好处,对于企业来说也是好事。

谷歌于2014年正式组建了零工程团队,但是这个团队的起源还要再向前追溯5年。大多数公司开始正视安全问题,通常是在遭遇一起紧急事件之后。对于谷歌,那个事件就是极光行动。

2009年,某网络间谍组织入侵了谷歌等科技巨头,突破了它们的服务器,窃取知识产权,并试图监视它们的用户。这次劫掠惹怒了谷歌的高管。

这一事件尤其惊动了谷歌的联合创始人谢尔盖·布林。计算机取证机构和调查人员认定,公司被黑,不是因为谷歌自己的软件出了任何问题,而是因为微软的Internet Explorer 6浏览器的一个未修补漏洞造成的。他不明白,为什么谷歌的安全要依赖于其他公司的产品?

随后几个月,谷歌越来越强烈地要求竞争对手修复其软件代码中的漏洞。谷歌和同行业公司的争斗很快成为了坊间谈资。处于其中几场争斗中心的,不是别人,正是漏洞猎手塔维斯·奥曼迪。他因为以强硬方式修复漏洞而出名。(奥曼迪拒绝为本文发表评论。)

例如,在极光行动公开后不久,奥曼迪披露了他几个月前在微软的Windows操作系统中发现的一个漏洞,攻击者可以利用它操纵他人的电脑。奥曼迪等了7个月,仍未看到微软发布补丁,于是他决定亲自出马。2010年1月,奥曼迪在一个“全面披露”的邮件列表中发布了这个漏洞的详细信息,安全研究人员通过这个列表告知同行软件的新弱点和攻击方法。他的想法是:如果微软不打算按时解决问题,外人至少可以了解情况,他们可以制定自己的解决方案。几个月后,他对影响到甲骨文公司的Java软件的一个漏洞以及另一个Windows的重大缺陷做了同样的事情。他在向微软报告这个缺陷5天后就采取了行动。

有些人对这样的做法不满意,他们谴责了奥曼迪的行动,声称这给他人的安全造成了危害。(苹果、微软和甲骨文不愿就此事发表评论。)在一篇公司博文中,威瑞森的两位安全专家批评选择全面披露的研究员“自恋,强行给软件弱点拉皮条”。奥曼迪不理会这些炮轰。2013年,他再次在微软修复一个Windows漏洞之前就将之公开。他的理由是,研究人员不威胁公开,公司就几乎没有按时修复缺陷的压力,它们会一直让缺陷存在下去,让所有人面临风险。

2014年,谷歌悄然开始正式组建零工程团队。[团队的名称暗指“零日”弱点,专业安全人员用这个术语来描述从前不知道的、公司没有时间(也就是“零日”)准备应对的安全漏洞。]公司制定了一套协议,让前Chrome浏览器的安全主管克里斯·埃文斯(Chris Evans,和扮演美国队长的同名演员没有关系)负总责。埃文斯随后招募了谷歌员工和其他人员加入团队。

埃文斯签下了伊恩·比尔,他是英国人,在瑞士从事安全研究员工作,对寻找苹果的代码错误表现出强烈的兴趣;他引入了奥曼迪,来自于英国的大块头,因为与微软的高调冲突而成名;他还招募了新西兰人本·霍克斯,人们都知道其曾经解决Adobe Flash和微软Office办公软件的漏洞;他还请来了少年老成的乔治·霍茨做实习生。霍茨在当年早些时候的一次黑客竞赛中攻破了谷歌的Chrome浏览器,获得了15万美元奖金。(《财富》杂志多次请求零工程团队的成员就本文接受采访,均遭拒绝。)

零工程团队成立的第一个迹象出现在2014年4月,苹果在一封短信中,指出谷歌的一位研究人员发现了一个漏洞。有这个漏洞,黑客可以控制运行苹果Safari网页浏览器的软件。短信对“谷歌零工程的伊恩·比尔”表示感谢。

在推特上,信息安全界对这个秘密团队大感惊奇。位于纽约的网络安全顾问公司Trail of Bits的联合创始人及首席执行官丹·吉多在2014年4月24日发推文问道:“谷歌零工程是什么?”时任美国公民自由联盟的首席技术员克里斯·索格伊安强调:“最新苹果安全日志感谢了神秘的‘谷歌零工程’的员工。”

更多的功绩很快出现。5月,苹果将OS X操作系统几个漏洞的发现归功于比尔。在一个月后,微软修复了一个有可能破坏其恶意软件保护能力的漏洞,特别指出“谷歌零工程的塔维斯·奥曼迪”在一份报告中提供了帮助。

到那时,该团队已经在研究安全问题的人当中引起了不小的反响。埃文斯终于在公司网站的一篇博文中正式确认了团队的存在。他写道:“我们在使用网络时,不应该担心犯罪分子或一国支持的攻击者利用软件漏洞,感染电脑,盗取机密或是监视你的通信。”他提出,网络间谍活动“必须停止”。

一年前,埃文斯离开了团队,加盟特斯拉公司,目前在漏洞悬赏新创企业HackerOne担任顾问。(零工程当前的主管是霍克斯)如今,说到团队的起源,埃文斯更加谨慎。他说:“多年午餐时间的对话,对攻击演化的多年观察,为零工程的成立奠定了基础。我们想设立几个岗位,专门关注顶级的防御研究,将世界最佳人才吸引到这一公开研究领域。”

谷歌面临的挑战比看上去更大。私人资金吸引了世界上很多最出色的黑客,他们在密室里研究,政府和其他机构通过中介,高价购买他们的成果。埃文斯说,如果这类研究不能被公诸于世,人类就要受苦。

自从谷歌零工程正式成立三年后,这支精英黑客小分队已经号称是全球最有成效的计算机漏洞终结者。尽管普通的消费者不太可能认识他们当中的任何人,比如詹姆斯·福肖、纳塔莉·西尔瓦诺维奇、盖尔·贝尼亚米尼,但世界欠他们一个感激,是他们保护了我们用来享受数字生活的设备和服务。他们改进了其他公司的很多产品,包括发现和帮助修复了1,000多个操作系统、反病毒软件、口令管理器、开源代码库等软件的安全漏洞。到目前为止,零工程团队发布了超过70篇博文,部分文章是现在网上能够找到的最好的安全研究公开报告。

团队的工作令谷歌的主业在线广告间接获益。保护互联网用户免受威胁,也就保护了公司为用户做广告提供服务的能力。零工程团队努力把软件供应商放在火上烤,迫使它们修复导致谷歌产品崩溃的漏洞。

网络安全企业家迪诺·戴·佐维说:“它的名字有些奇怪,但它像一条牧羊犬。牧羊犬不是狼,它心地善良,但还是会把羊驱赶成队伍,把它们带回羊圈。”佐维曾经是著名的苹果黑客和Square公司的前移动安全主管。

今年4月,零工程团队的三名成员前往迈阿密,出席“侵入”安全会议。这一会议只关注黑客攻击。

在一个靠晒太阳和赛车繁荣的城市,这三位看上去有些不协调。他们是霍克斯、奥曼迪和托玛斯·杜林(。杜林是德国的安全研究员,零工程团队成员,人们更熟悉他的黑客名字“哈尔瓦·弗拉克”。他们聚集在豪华酒店枫丹白露的草坪上,在沙沙作响的棕榈树下品尝着莫吉托鸡尾酒。这些谷歌员工与几位其他与会者坐在桌子旁,聊起了时事、最喜欢的科幻故事。他们说,对黑客历史的记录做得不够,这实在是一件很遗憾的事情。

其间,奥曼迪触碰到了摩根·马奎斯-布瓦尔放在桌子上的一副范思哲墨镜。马奎斯-布瓦尔是前谷歌员工,知名的恶意软件研究人员,目前担任eBay创始人彼埃尔·奥米迪亚尔的媒体风投企业First Look Media的安全主管。佛罗里达的太阳已经下山,但奥曼迪把墨镜放在脸上扮怪相,显得有点傻。

“侵入”会议的组织者戴夫·艾特尔抽出手机,对他拍照。奥曼迪以双手摆出重金属乐迷的“金属礼”手势。看看塔维斯·奥曼迪的尊容:在线上,他是一位喜欢争吵和批评的人,眼里容不得傻瓜;在线下,却是一位喜欢到处耍宝的、和蔼可亲的极客。艾特尔曾经在美国国家安全局当过黑客,现在经营一家进攻型黑客技术商店Immunity。

艾特尔说:“对你的吐槽很多。你其实可以不这样的。”他指的是奥曼迪在催促供应商修复漏洞时必须经历的令人不爽的吵闹。面带顽皮的微笑,艾特尔开玩笑地劝说奥曼迪转到黑客技术的“阴暗面”,即找到漏洞并出售牟利,而不是报告给受影响的公司,使这些漏洞失效。

奥曼迪没有理睬艾特尔的提议,笑了笑,然后把墨镜放回到桌子上。他也许制造了麻烦,但他的目标是纯洁的。(奥曼迪允许笔者待在他身边,但拒绝发表评论。)

尽管有着清白的声誉,但当高尚思想和复杂的现实世界相抵触时,零工程团队也不得不灵活对待。团队最初奉行严格的90天披露期限,如果漏洞“已被积极利用”,则为7天。但是有几次,团队抢在有关公司计划发布更新的日子(比如微软和它每月定期的“补丁日”)之前做了披露,招致了很多反感。(后来,如果相关公司有现成的补丁,团队就会在90天期满后再延长14天。)

凯蒂·穆苏里表示,零工程的披露政策在科技行业里最为明确。她认为这是一件好事情。很多公司没有报告漏洞的方针,或是没有规定研究人员公开披露的方式和时机。有些组织要求的修复软件的时间甚至更短。来自于卡内基梅隆大学的机构Cert CC对外宣布的期限是45天,只有零工程团队的一半,但对个案,却有更大的通融余地。穆苏里曾经帮助制定微软的披露政策,现在经营着自己的漏洞悬赏机构Luta Security。

企业若对漏洞反应迟缓,零工程团队会提出批评,如果采取行动修复漏洞,它同样很快予以表扬。今年早些时候,奥曼迪发推文说,他和同事纳塔莉·西尔瓦诺维奇“发现了近来最厉害的Windows远程代码执行”,这意味着,有办法远程接管基于Windows的系统。他说:“情况太糟糕。”两人与微软合作修补漏洞。奥曼迪随后又发推文说:“@msftsecurity快速采取行动保护用户,现在还让我吃惊,怎么称赞都不为过。棒极了。”显然,亡羊补牢永远为时不晚。

零工程团队发现漏洞不留情面,也许会让科技公司感到厌烦,但是它们应该感到欣慰,一些研究人员忍不住想把研究结果出售牟利,而零工程团队却能够自觉抑制这样的冲动。在黑客技术职业化以来的这些年,零工程披露的漏洞已经有了市场。政府、情报机构、犯罪分子都愿意出高价买下这些漏洞。另一方面,软件公司越来越多地采取漏洞悬赏计划,为研究人员花费的时间、精力和利用的专业知识埋单。但是,公司的奖励永远比不上黑市能够提供的报酬。

IBM高管、知名安全大师布鲁斯·施奈尔说:“不管谷歌能够拿出多少奖金,外国政府都会支付更高的报酬。”

在枫丹白露酒店,杜林告诉我,他对黑客技能变得如此抢手感到惊讶。曾经在昏暗地下室里搞的业余爱好如今却是政府大楼里堂堂正正的职业。

他说:“黑客就跟嘻哈、霹雳舞、滑板或者涂鸦一样,是20世纪90年代的亚文化。后来军方觉得有用,就成了现在这样了。”

据Cloudflare的联合创始人及首席执行官马修·普林斯透露,谷歌的顶级漏洞猎手发现的数据外泄一开始让公司一个月没有增长。(但他说,这是一时的挫折,Cloudflare在此过程中保持透明度,让它吸引到了新的业务。)

这次经历或许让普林斯感到痛苦,但他并没有表露出来。他知道,如果公司被真正怀有恶意的黑客盯上了,会是什么样子。几年前,一个名叫“UGNazi”的黑客组织入侵了普林斯个人的Gmail账户,用它控制了他的公司邮箱,然后劫走了Cloudflare的基础架构。这些恶棍本来可以造成巨大伤害,但他们只是将一个普通的黑客网站4chan.org重新指向了他们个人的推特档案,为的是做广告。

普林斯仍然在后悔,没有能够在和谷歌共同发布初期调查结果之前,将这次云出血的完整信息通知客户。他希望,他的公司能够在用户读到有关数据外泄的新闻报道之前就通知他们。即便如此,普林斯认为,零工程团队确定的披露时机是正确的。据他所说,没有用户发现任何与此次信息泄露相关的重大损失。也没有像他们一开始担心的那样,有密码、信用卡卡号或医疗记录被曝光。

普林斯说,为防止类似事件再次发生,Cloudflare实施了新的措施。公司开始检查所有代码,并聘请外部测试人员复查。它还制定了更为复杂的系统,用以识别常见的软件崩溃。软件崩溃常常表明存在着漏洞。

说到这次数据外泄的发现与后果,普林斯表示:“这14天让我的头发更加花白,寿命也要减少一年。但是谢天谢地,是奥曼迪和他的团队而不是某些疯狂的黑客发现了这个漏洞。”

当然,普林斯永远无法排除某些人或组织拿到了泄露数据的副本的可能性。零工程团队也是这个想法。对团队的每一位成员来说,这个世界有着数不清的、目的不那么高尚的研究人员在秘密工作。魔鬼就在那里,无论你是否了解。(财富中文网)

译者:穆淑

谷歌的零工程团队一夜成名

塔维斯·奥曼迪谷歌研究人员谷歌的零工程黑客团队成员,在互联网上搜索问题软件。

约翰·格雷厄姆-卡明Cloudflare公司首席技术官旧金山一家公司的高管,该公司管理的网络支持着相当多公司的网上运营。

Luta Security公司首席执行官凯蒂·穆苏里解释软件漏洞经济

漏洞有两种市场:攻击和防御。前者包括民族国家、有组织犯罪团伙和其他攻击者。后者包括漏洞悬赏计划和销售安全产品的公司。攻击市场支付的价格更高,上不封顶。他们不只购买弱点或攻击机会,还要购买在不被发现的情况下利用弱点的能力。他们购买的是让一切静悄悄地发生。防御市场给不了这么多钱,不能像软件开发商那样,给顶级开发人员支付100万美元年薪。尽管大公司的代码质量在不断改善,可代码也变得越来越复杂,这意味着会出现更多的漏洞。对于某个特定的漏洞,安全研究人员会做些什么,取决于他们的财务需求、他们对某款软件或供应商的看法和他们面临的人身风险。黑帽黑客与白帽黑客,不一定分得那么清楚。(财富中文网)

—采访:Robert Hackett

谷歌的零工程团队安全:

术语表

漏洞

计算机代码的意外错误。

能够导致安全问题的漏洞被称为“弱点”。

零日弱点

人和电脑没有时间(零日)

修复的弱点。

利用

黑客制作的、利用一个已知弱点的计算机程序。

  • 热读文章
  • 热门视频
活动
扫码打开财富Plus App