谷歌的黑客梦之队

谷歌广纳黑客奇才,组建了黑客“梦之队”Project Zero,然而它的使命却不只是提高谷歌产品的安全性,它还会帮助其他公司寻找最易被黑客利用的零日漏洞

2007年,17岁的乔治·霍茨成为世界上第一个破解iPhone的AT&T锁的人,当时,各家公司都没有理会他,只是忙着修补他披露出来的漏洞。之后,他又对Playstation 3进行了逆向工程开发,索尼起诉了霍茨,最终他答应永远不再攻击索尼的产品。

今 年早些时候,当霍茨再次破解了谷歌Chrome的操作系统防护时,谷歌却给了他150,000美元,让他帮助修补他所发现的漏洞。2个月后,谷歌 的安全工程师克里斯·埃文斯通过电子邮件向他发出了邀请,询问他是否愿意加入谷歌旗下的一支全职黑客精英部队,这个团队专门查找互联网上所有流行软件的安 全漏洞。

现在,谷歌正式对外公布了这支名为Project Zero的团队,他们唯一的使命就是跟踪、修补软件中的潜在漏洞。安全行业将这些发现后即刻被恶意利用的漏洞称为“零日漏洞”,犯罪分子、国家资助的黑客 和情报机构都会利用这些漏洞。Project Zero的黑客不仅会寻找谷歌产品中的漏洞,他们还可以自由地攻击其他软件,以迫使其他的公司更好地保护谷歌用户。

Project Zero已经在谷歌内部招募了一些成员,组建黑客“梦之队”:齐兰德·本·霍克斯因在2013年发现了Adobe Flash、微软Office应用等的多个漏洞而名声大噪;英国研究员塔维斯·奥曼迪是业内著名的高产“漏洞猎人”之一;上文提到的美国黑客神童乔治·霍 茨也将成为该团队的实习生。

为什么谷歌要支付高昂的薪水去修补其他公司代码中的漏洞呢?埃文斯说Project Zero“基本上是利他的”。谷歌为团队成员提供了极大的自由,让他们可以几乎不受限制地钻研安全难题,也许这也是谷歌招聘的筹码,让最顶尖的人才愿意加 入谷歌,之后他们可能会转而进行其他的项目。谷歌表示,一个更安全的互联网环境会使得用户愿意点击更多的广告。“如果我们能从整体上提高用户对互联网的信 心,那么这对谷歌也是有利的。”埃文斯说。

和其他许多公司一样,多年来谷歌也一直在悬赏寻找漏洞,但是只寻找谷歌软件中的漏洞是不够的,谷歌的许多程序,如谷歌的Chrome浏览器往往会依赖第三方代码,如Adobe的Flash,以及Windows、Mac、Linux操作系统中的一些基础元素。

据 前谷歌安全研究员摩根·马奎斯-鲍伊尔所说,Project Zero概念的诞生可以追溯到2010年的某天深夜,他和埃文斯在苏黎世一家酒吧里的谈话。大约凌晨4点的时候,话题转到了谷歌之外的软件安全问题对谷歌 用户的威胁。“对于利用第三方代码编写安全产品的人来说,这是一个非常无奈的问题。”马奎斯-鲍伊尔说,“攻击者会从最弱的地方下手。骑摩托车戴头盔的确 有助于安全,但如果你穿着和服骑摩托车的话,头盔是无法保护你的。”

因此谷歌的野心是用谷歌的头脑完善其他公司的产品。当Project Zero的黑客发现一个漏洞后,他们就会对有责任修复这个漏洞的公司发出提示,并给它60到90天的时间发布补丁,之后就会在Project Zero的博客上公布这个漏洞。谷歌表示,对于那些正遭到黑客频繁攻击的漏洞,谷歌会加快行动的速度,向软件开发者施压,要求其在7天内修复漏洞或找到变 通的方案。

在 软件数量如此庞大的今天,谷歌的Project Zero是否能根除漏洞还是一个悬而未决的问题。不过,团队成员本·霍克斯表示,该团队不必找到所有的零日漏洞,只要在这些漏洞出现在新的代码中之前,修 补这些漏洞即可。并且Project Zero会战略性地选择目标,以最大化“漏洞碰撞”的效果,也就是说谷歌团队发现的某个漏洞,恰巧也是间谍正在秘密利用的漏洞。

现代的黑客往往会将一系列可以攻击的漏洞结合起来,攻破计算机的防线,如果能修复这些漏洞中的一个,那么整个攻击就会失败。也就是说Project Zero只要发现并修补操作系统中的一小部分漏洞,就能阻断黑客的攻击。

“在这个问题上,我们会取得很大的进展。”埃文斯说,“现在是一个很好的时机,相信我们可以阻止零日攻击。”

谷歌的黑客梦之队

时间: 2024-10-28 23:22:22

谷歌的黑客梦之队的相关文章

Dream team: Stacking for combining classifiers梦之队:组合分类器

 sklearn实战-乳腺癌细胞数据挖掘 https://study.163.com/course/introduction.htm?courseId=1005269003&utm_campaign=commission&utm_source=cp-400000000398149&utm_medium=share 将训练好的所有基模型对整个训练集进行预测,第j个基模型对第i个训练样本的预测值将作为新的训练集中第i个样本的第j个特征值,最后基于新的训练集进行训练.同理,预测的过程也要

Final互评------《I do》---- 二次元梦之队

一.基于NABCD评论作品,及改进建议 1.根据(不限于)NABCD评论作品的选题; N(Need,需求):该产品是一款休闲类的解密游戏,背景是编程知识.作为一款休闲游戏,有着基本的娱乐功能,可以给用户带来乐趣.作为一款解密游戏,能够引起用户的兴趣. A(Approach,做法):这是一款基于Android开发的手机游戏,画风优秀,安装方便.该游戏将C语言的编程知识作为谜题,循序渐进的提高关卡难度,能够让用户学习到C语言编程知识. B(Benefit,好处):该产品作为休闲解密游戏,让用户在玩的

梦之队冲刺准备

团队序号:三 团队名称:梦之队 团队项目码云地址:https://gitee.com/yxywudi/rabbit软件仓库 博客撰写人:崔凯(队长) 撰写人学号:2017035107186 撰写人团队职务:项目经理 项目原型:https://org.modao.cc/app/474a4616941ef5dd89842aa60bb1ac35 甘特图: 第一阶段任务完成情况: 我们计划在4月16日到6月20日上市本产品. 第一阶段我们计划实现一些代码美化UI设计图,优化界面,争取把界面的画质做到最好

2004.08.04,Wed - 梦之队不败神话的终结k7e

Yann LeCun其人,Facebook AI研究院(FAIR)负责人,深度学习三架马车之一,卷积神经网络(CNN)之父,享受得了万人敬仰,也在无人问津的寒冬挣扎过. 他于1960年出生在巴黎,1987-1989年博士后期间拜在大神Geoffrey Hinton门下,1988年被Larry Jackel招入贝尔实验室,1989年提出在计算机视觉中使用卷积神经网络,其后此项技术被用于在自动取款机上读取支票,影响至今.1998年又提出基于梯度的学习. 或许是天性,又或许是经历过神经网络和深度学习备

【转载】真实一个初中生黑客梦的道路

作者:介磊来源:知乎 学生黑客学习建议到学生sec :http://www.xssec.net/forum.php 亲身经历,现身说法 我自小生活在北方的一个小县城的一个小农村里.我第一次接触电脑是小学六年级. 那时候大概是03年,是非典闹得最凶的一段时间.我哥在外地上学,然后他们学校因为非典放假了,所以就回来带着我去了网吧,我看他玩CS,红警之类的游戏,从此就一发不可收拾,对电脑产生了浓厚的兴趣. 后来我的母亲以耽误学习为由,极力禁止我去网吧,其实重点在于禁止我玩游戏.我就用她办公室的电脑来玩

菜鸟Python学习笔记第二天:关于Python黑客。

2016年1月5日 星期四 天气:还好 一直不知道自己为什么要去学Python,其实Python能做到的Java都可以做到,Python有的有点Java也有,而且Java还是必修课,可是就是不愿意去学Java,后来看到了<Linux黑客的python编程之道>然后发现了一些自己感兴趣的事,每个IT男都有一个黑客梦,我也不例外,所以继续开始Python写习. 因为要准备高数考试,所有以很多东西不能去仔细学习. 就深深的记住了几句话: 第一句:调试器就是黑客的眼睛.刚开始不懂什么是调试器:但是从眼

转:谷歌搜索悄然转型争移动主导权

长期以来,谷歌的旗舰产品已经成为我们生活中习以为常的部分.但是谷歌没有懈怠,其搜索服务正悄然转型.谷歌搜索17年来一直都在变 “天空为什么是蓝的?”孩子们经常问会这个问题,但是很少有父母能够立刻给出答案.以前,人们可能在百科全书或去图书馆寻找答案.近年来,父母则可以冲向电脑,在谷歌搜索中输入这个问题,然后打开各种链接,阅读各种解释,最终给孩子答案. 但是到2015年,即使看似很迅速的电脑查询也很少有人去做了.因为与移动设备相比,在电脑上输入搜索问题答案更为复杂.你不仅要在众多链接中选择最相关的链

读书笔记 - 《重新定义公司:谷歌是如何运营的》

这本书从文化.战略.人才.决策.沟通.创新六个方面论述了谷歌的成功之道,里面的很多事情非常有道理,值得一读,可以作为未来办企业的参考,这里就不再转述了,看书即可.书中提到了退出中国中国市场的事情,但是语焉不详,只是用这件事情做正面例证解释如何做决策,不知道原文如此,还是中文版有所删节.根据书中的描述,加上部分外部信息,我大致拼凑了时间的原貌.谷歌遭受的黑客攻击不是零星的偶然行为,而是有组织的攻击,目标包含了部分政治活跃分子的邮箱邮件等信息,甚至其中还有谷歌中国的部分员工参与.那么结论呢,当然是矛

黑客能利用安卓系统进行刺杀人命吗

本人经过简单鉴定并预约,是可以的,安卓系统可以发出次声波,次声波是隐形杀人工具,可以使人致癌,与人体器官发生共振,然而黑客只要在游戏中植入该代码或者进行wifi钓鱼之后就可以利用远程控制发出杀人指令,所以单位时间内能实现杀人最多的不是原子弹,不是化学武器,而只需要谷歌植入黑客代码,获取黑客利用僵尸网络批量屠城.而且将是最难破解的杀人之谜.如果与美发生战争,美国完全可以利用定位进行区域内灭种屠杀.如果你对我的猜想有不同意见,可以留言. 如果转发,请说明出处. 黑客能利用安卓系统进行刺杀人命吗