成人小说亚洲一区二区三区,亚洲国产精品一区二区三区,国产精品成人精品久久久,久久综合一区二区三区,精品无码av一区二区,国产一级a毛一级a看免费视频,欧洲uv免费在线区一二区,亚洲国产欧美中日韩成人综合视频,国产熟女一区二区三区五月婷小说,亚洲一区波多野结衣在线

立即打開
谷歌的黑客別動隊

谷歌的黑客別動隊

Robert Hackett 2017年08月29日

這是一個抵擋全球日趨嚴重的數(shù)字威脅的衛(wèi)士,不留情面,充滿爭議。谷歌的零工程團隊在保障它的用戶安全上網(wǎng)。這有什么問題嗎?

《財富》(中文版)——今年2月一個周五的下午,大師級的安全研究員塔維斯·奧曼迪正在位于山景城谷歌公司總部里的辦公桌旁執(zhí)行一些日常的“模糊測試”。這是一種普通的軟件代碼測試技術(shù),即以隨機數(shù)據(jù)轟擊軟件,讓缺陷暴露出來。奧曼迪留著棕色的平頭,臉上現(xiàn)出不安的微笑。他突然發(fā)現(xiàn),數(shù)據(jù)集里有些東西不對勁。他覺得奇怪。這不是普通的被污染的數(shù)據(jù)。他看到的,不是預期的結(jié)果,而是一些異?,F(xiàn)象,大塊大塊的內(nèi)存被奇怪地占據(jù)。因此,他進行了更深的挖掘。

在收集到了足夠的信息后,奧曼迪叫他的安全研究員同伴過來,讓他們站成一圈,分享了他的發(fā)現(xiàn)。谷歌的這支團隊名叫“零工程”。該團隊很快意識到他們發(fā)現(xiàn)了什么:大范圍的數(shù)據(jù)泄露,來自于舊金山一家名叫Cloudflare的公司。在多數(shù)時間里,這家公司的內(nèi)容發(fā)送網(wǎng)絡(luò)在毫無差錯地處理著全球?qū)⒔种坏幕ヂ?lián)網(wǎng)流量。但是,奧曼迪發(fā)現(xiàn),該公司的服務(wù)器在向全網(wǎng)散發(fā)個人的私密數(shù)據(jù)。這些信息已經(jīng)被泄漏了長達數(shù)月。

奧曼迪不認識Cloudflare公司的人,他在猶豫,周末馬上到來,要不要給Cloudflare的在線支持人員打這么一個陌生電話。于是,他想出了第二佳的做法:登錄推特,向他的數(shù)萬名粉絲發(fā)出請求:

Cloudflare的安全部門的人,能不能緊急聯(lián)系我一下?

時間是美國太平洋時間下午的5點11分。

奧曼迪懶得通過“@名字”的方式來提醒某公司的推特賬號,他沒有必要這么做。他在信息安全專業(yè)人員中間名望很高。在他發(fā)送推文后不到15分鐘,需要知道這條信息的所有人(當然還有很多不需要知道的人)就都看到了。

在當?shù)貢r間凌晨1點26分,倫敦。約翰·格雷厄姆-卡明被床邊的電話鈴聲吵醒。Cloudflare的首席技術(shù)官揉了揉眼睛,努力去抓響個不停的電話。沒有接到來電。打電話的,是他的一位同事—這是少數(shù)格雷厄姆-卡明允許在半夜給他打電話的人之一。他發(fā)了一條短信,問發(fā)生了什么事情。

同事立刻給他回了短信:非常嚴重的安全問題。格雷厄姆-卡明坐了起來,驚慌地回復:我馬上就上網(wǎng)。

首席技術(shù)官起床,下樓到地下室,抓起一個“急救包”,這是他為出現(xiàn)這類情況而準備的,里面有充電器、耳機和幾塊電池。他啟動了自己的筆記本電腦,快速進入與Cloudflare加利福尼亞總部同事共有的谷歌環(huán)聊群。

安全團隊向他簡要匯報了形勢。谷歌的零工程團隊在Cloudflare的基礎(chǔ)架構(gòu)里發(fā)現(xiàn)了一個漏洞,一個嚴重的漏洞。運行著包括美國聯(lián)邦調(diào)查局、納斯達克、Reddit在內(nèi)的超過600萬家網(wǎng)站的服務(wù)器出現(xiàn)了數(shù)據(jù)泄漏,任何人都能夠進入Cloudflare支持的網(wǎng)站,在一定的環(huán)境下獲取Cloudflare網(wǎng)絡(luò)中另一家網(wǎng)站的用戶私密信息,包括認證口令牌、信息記錄程序、私人短信等。Uber、1Password、OKCupid、Fitbit等公司的網(wǎng)站都在其中。

這些私密信息已經(jīng)可以一覽無余。更加糟糕的是,它們還會在搜索引擎和其他網(wǎng)絡(luò)爬蟲軟件的緩存中保存數(shù)月。堵住漏洞并不能夠徹底解決問題。

格雷厄姆-卡明說:“我將這比作石油泄漏。油輪身上的漏洞容易處理,但是你還有很多海床要清理?!?/p>

因此,Cloudflare的工程師不得不行動起來。安全主管馬克·羅杰斯領(lǐng)導了這次善后行動。羅杰斯在業(yè)余時間擔任了美國有線廣播網(wǎng)的電視劇《黑客軍團》的顧問。不到一個小時,安全團隊拿出了初步的緩解措施,通過更新程序,堵住了全球各地的漏洞。數(shù)小時后,技術(shù)人員成功地停止了導致錯誤的功能。在奧曼迪發(fā)出那條推文后將近7小時,Cloudflare的工程師成功地讓谷歌、微軟、雅虎等幾大搜索引擎清除了網(wǎng)頁緩存。

漫長的周末才剛剛開始。Cloudflare的工程師在余下的大部分時間里評估被泄露的數(shù)據(jù)量和類型,以及擴散情況。

Cloudflare以在安全問題上透明而著稱,谷歌的零工程團隊起初對Cloudflare安全團隊的快速反應印象深刻。但是,在協(xié)商如何公開披露被泄露的數(shù)據(jù)時,兩支團隊發(fā)生了爭吵。雙方暫定,最早于2月21日星期二那天發(fā)表聲明。到在那天快要過去的時候,Cloudflare表示,它需要更多的時間做清理。時間從星期二改到星期三,又從星期三改到星期四。到了此時,谷歌不再動搖:雙方必須在星期四下午公布數(shù)據(jù)外泄細節(jié),無論Cloudflare是否完成評估,是否確定外泄數(shù)據(jù)已經(jīng)從網(wǎng)頁緩存中刪除。奧曼迪稱這次事件為“云出血”。

兩家公司在2月23日做了披露。隨之而來的,是互聯(lián)網(wǎng)上出現(xiàn)了持續(xù)一周的恐慌。

不用加入谷歌的零工程團隊,你也能夠知道,世界各地的網(wǎng)絡(luò)安全危機越來越嚴重。每家公司都成了科技公司,黑客事件越來越普遍,公司銀行賬戶的資金流失,個人信息被偷窺,選舉遭人干涉。一些頭條新聞令人震驚:超過10億個雅虎賬戶存在入侵風險;數(shù)千萬美元通過環(huán)球同業(yè)銀行金融電訊協(xié)會金融網(wǎng)絡(luò)被盜走;無數(shù)來自于民主黨全國委員會的私人郵件在2016年美國總統(tǒng)大選期間被曝光。

據(jù)身份盜竊資源中心稱,美國公司和政府機構(gòu)在2016年報告的數(shù)據(jù)外泄事件比2015年多出了40%,這還是一個保守的估計。與此同時,由IBM公司資助、研究集團Ponemon研究所進行的一項研究顯示,現(xiàn)在每次外泄給組織制造的平均費用達到了360萬美元。

不管是程序員的失誤,還是為某國效力的黑客造成的,數(shù)據(jù)外泄如今成為了新常態(tài)。企業(yè)高管已經(jīng)達成共識,一旦編代碼出現(xiàn)問題,較為經(jīng)濟的做法是將它扼殺在萌芽狀態(tài),不要讓它在未來變得更加嚴重或是制造混亂。

但事情沒有那么簡單。太多的企業(yè)要么不重視安全問題,要么把它看作是開發(fā)和按時交付產(chǎn)品的障礙。CA Technologies在今年早些時候收購的應用安全企業(yè)Veracode稱,它調(diào)查了500位IT經(jīng)理,83%的人承認,在發(fā)布代碼之前沒有進行漏洞檢測或解決安全問題。與此同時,安全行業(yè)面臨著人才短缺問題。思科估計,全球安全職位缺口達100萬。賽門鐵克公司預計,到2019年,缺口將達150萬。一些人估計,到2021年,缺口將達350萬。

即便一家企業(yè)有維持一支安全團隊的資金、計劃和名聲,也不能夠杜絕發(fā)送有缺陷的代碼。最好的質(zhì)量保證流程和靈活的開發(fā)實踐也不可能捕捉到每一個漏洞。

所以,包括微軟、蘋果在內(nèi)的眾多企業(yè)擁有內(nèi)部安全研究團隊,自查本公司的軟件。但很少有團隊重視其他公司的軟件。這讓谷歌變得與眾不同。奧曼迪等10多位王牌電腦破解者組成了谷歌的零工程團隊,他們的管轄沒有邊界,任何東西只要觸網(wǎng),都在他們的關(guān)注范圍之內(nèi)。給網(wǎng)絡(luò)空間配備警察,不僅對個人有好處,對于企業(yè)來說也是好事。

谷歌于2014年正式組建了零工程團隊,但是這個團隊的起源還要再向前追溯5年。大多數(shù)公司開始正視安全問題,通常是在遭遇一起緊急事件之后。對于谷歌,那個事件就是極光行動。

2009年,某網(wǎng)絡(luò)間諜組織入侵了谷歌等科技巨頭,突破了它們的服務(wù)器,竊取知識產(chǎn)權(quán),并試圖監(jiān)視它們的用戶。這次劫掠惹怒了谷歌的高管。

這一事件尤其驚動了谷歌的聯(lián)合創(chuàng)始人謝爾蓋·布林。計算機取證機構(gòu)和調(diào)查人員認定,公司被黑,不是因為谷歌自己的軟件出了任何問題,而是因為微軟的Internet Explorer 6瀏覽器的一個未修補漏洞造成的。他不明白,為什么谷歌的安全要依賴于其他公司的產(chǎn)品?

隨后幾個月,谷歌越來越強烈地要求競爭對手修復其軟件代碼中的漏洞。谷歌和同行業(yè)公司的爭斗很快成為了坊間談資。處于其中幾場爭斗中心的,不是別人,正是漏洞獵手塔維斯·奧曼迪。他因為以強硬方式修復漏洞而出名。(奧曼迪拒絕為本文發(fā)表評論。)

例如,在極光行動公開后不久,奧曼迪披露了他幾個月前在微軟的Windows操作系統(tǒng)中發(fā)現(xiàn)的一個漏洞,攻擊者可以利用它操縱他人的電腦。奧曼迪等了7個月,仍未看到微軟發(fā)布補丁,于是他決定親自出馬。2010年1月,奧曼迪在一個“全面披露”的郵件列表中發(fā)布了這個漏洞的詳細信息,安全研究人員通過這個列表告知同行軟件的新弱點和攻擊方法。他的想法是:如果微軟不打算按時解決問題,外人至少可以了解情況,他們可以制定自己的解決方案。幾個月后,他對影響到甲骨文公司的Java軟件的一個漏洞以及另一個Windows的重大缺陷做了同樣的事情。他在向微軟報告這個缺陷5天后就采取了行動。

有些人對這樣的做法不滿意,他們譴責了奧曼迪的行動,聲稱這給他人的安全造成了危害。(蘋果、微軟和甲骨文不愿就此事發(fā)表評論。)在一篇公司博文中,威瑞森的兩位安全專家批評選擇全面披露的研究員“自戀,強行給軟件弱點拉皮條”。奧曼迪不理會這些炮轟。2013年,他再次在微軟修復一個Windows漏洞之前就將之公開。他的理由是,研究人員不威脅公開,公司就幾乎沒有按時修復缺陷的壓力,它們會一直讓缺陷存在下去,讓所有人面臨風險。

2014年,谷歌悄然開始正式組建零工程團隊。[團隊的名稱暗指“零日”弱點,專業(yè)安全人員用這個術(shù)語來描述從前不知道的、公司沒有時間(也就是“零日”)準備應對的安全漏洞。]公司制定了一套協(xié)議,讓前Chrome瀏覽器的安全主管克里斯·埃文斯(Chris Evans,和扮演美國隊長的同名演員沒有關(guān)系)負總責。埃文斯隨后招募了谷歌員工和其他人員加入團隊。

埃文斯簽下了伊恩·比爾,他是英國人,在瑞士從事安全研究員工作,對尋找蘋果的代碼錯誤表現(xiàn)出強烈的興趣;他引入了奧曼迪,來自于英國的大塊頭,因為與微軟的高調(diào)沖突而成名;他還招募了新西蘭人本·霍克斯,人們都知道其曾經(jīng)解決Adobe Flash和微軟Office辦公軟件的漏洞;他還請來了少年老成的喬治·霍茨做實習生。霍茨在當年早些時候的一次黑客競賽中攻破了谷歌的Chrome瀏覽器,獲得了15萬美元獎金。(《財富》雜志多次請求零工程團隊的成員就本文接受采訪,均遭拒絕。)

零工程團隊成立的第一個跡象出現(xiàn)在2014年4月,蘋果在一封短信中,指出谷歌的一位研究人員發(fā)現(xiàn)了一個漏洞。有這個漏洞,黑客可以控制運行蘋果Safari網(wǎng)頁瀏覽器的軟件。短信對“谷歌零工程的伊恩·比爾”表示感謝。

在推特上,信息安全界對這個秘密團隊大感驚奇。位于紐約的網(wǎng)絡(luò)安全顧問公司Trail of Bits的聯(lián)合創(chuàng)始人及首席執(zhí)行官丹·吉多在2014年4月24日發(fā)推文問道:“谷歌零工程是什么?”時任美國公民自由聯(lián)盟的首席技術(shù)員克里斯·索格伊安強調(diào):“最新蘋果安全日志感謝了神秘的‘谷歌零工程’的員工。”

更多的功績很快出現(xiàn)。5月,蘋果將OS X操作系統(tǒng)幾個漏洞的發(fā)現(xiàn)歸功于比爾。在一個月后,微軟修復了一個有可能破壞其惡意軟件保護能力的漏洞,特別指出“谷歌零工程的塔維斯·奧曼迪”在一份報告中提供了幫助。

到那時,該團隊已經(jīng)在研究安全問題的人當中引起了不小的反響。埃文斯終于在公司網(wǎng)站的一篇博文中正式確認了團隊的存在。他寫道:“我們在使用網(wǎng)絡(luò)時,不應該擔心犯罪分子或一國支持的攻擊者利用軟件漏洞,感染電腦,盜取機密或是監(jiān)視你的通信?!彼岢?,網(wǎng)絡(luò)間諜活動“必須停止”。

一年前,埃文斯離開了團隊,加盟特斯拉公司,目前在漏洞懸賞新創(chuàng)企業(yè)HackerOne擔任顧問。(零工程當前的主管是霍克斯)如今,說到團隊的起源,埃文斯更加謹慎。他說:“多年午餐時間的對話,對攻擊演化的多年觀察,為零工程的成立奠定了基礎(chǔ)。我們想設(shè)立幾個崗位,專門關(guān)注頂級的防御研究,將世界最佳人才吸引到這一公開研究領(lǐng)域。”

谷歌面臨的挑戰(zhàn)比看上去更大。私人資金吸引了世界上很多最出色的黑客,他們在密室里研究,政府和其他機構(gòu)通過中介,高價購買他們的成果。埃文斯說,如果這類研究不能被公諸于世,人類就要受苦。

自從谷歌零工程正式成立三年后,這支精英黑客小分隊已經(jīng)號稱是全球最有成效的計算機漏洞終結(jié)者。盡管普通的消費者不太可能認識他們當中的任何人,比如詹姆斯·福肖、納塔莉·西爾瓦諾維奇、蓋爾·貝尼亞米尼,但世界欠他們一個感激,是他們保護了我們用來享受數(shù)字生活的設(shè)備和服務(wù)。他們改進了其他公司的很多產(chǎn)品,包括發(fā)現(xiàn)和幫助修復了1,000多個操作系統(tǒng)、反病毒軟件、口令管理器、開源代碼庫等軟件的安全漏洞。到目前為止,零工程團隊發(fā)布了超過70篇博文,部分文章是現(xiàn)在網(wǎng)上能夠找到的最好的安全研究公開報告。

團隊的工作令谷歌的主業(yè)在線廣告間接獲益。保護互聯(lián)網(wǎng)用戶免受威脅,也就保護了公司為用戶做廣告提供服務(wù)的能力。零工程團隊努力把軟件供應商放在火上烤,迫使它們修復導致谷歌產(chǎn)品崩潰的漏洞。

網(wǎng)絡(luò)安全企業(yè)家迪諾·戴·佐維說:“它的名字有些奇怪,但它像一條牧羊犬。牧羊犬不是狼,它心地善良,但還是會把羊驅(qū)趕成隊伍,把它們帶回羊圈?!弊艟S曾經(jīng)是著名的蘋果黑客和Square公司的前移動安全主管。

今年4月,零工程團隊的三名成員前往邁阿密,出席“侵入”安全會議。這一會議只關(guān)注黑客攻擊。

在一個靠曬太陽和賽車繁榮的城市,這三位看上去有些不協(xié)調(diào)。他們是霍克斯、奧曼迪和托瑪斯·杜林(。杜林是德國的安全研究員,零工程團隊成員,人們更熟悉他的黑客名字“哈爾瓦·弗拉克”。他們聚集在豪華酒店楓丹白露的草坪上,在沙沙作響的棕櫚樹下品嘗著莫吉托雞尾酒。這些谷歌員工與幾位其他與會者坐在桌子旁,聊起了時事、最喜歡的科幻故事。他們說,對黑客歷史的記錄做得不夠,這實在是一件很遺憾的事情。

其間,奧曼迪觸碰到了摩根·馬奎斯-布瓦爾放在桌子上的一副范思哲墨鏡。馬奎斯-布瓦爾是前谷歌員工,知名的惡意軟件研究人員,目前擔任eBay創(chuàng)始人彼埃爾·奧米迪亞爾的媒體風投企業(yè)First Look Media的安全主管。佛羅里達的太陽已經(jīng)下山,但奧曼迪把墨鏡放在臉上扮怪相,顯得有點傻。

“侵入”會議的組織者戴夫·艾特爾抽出手機,對他拍照。奧曼迪以雙手擺出重金屬樂迷的“金屬禮”手勢??纯此S斯·奧曼迪的尊容:在線上,他是一位喜歡爭吵和批評的人,眼里容不得傻瓜;在線下,卻是一位喜歡到處耍寶的、和藹可親的極客。艾特爾曾經(jīng)在美國國家安全局當過黑客,現(xiàn)在經(jīng)營一家進攻型黑客技術(shù)商店Immunity。

艾特爾說:“對你的吐槽很多。你其實可以不這樣的。”他指的是奧曼迪在催促供應商修復漏洞時必須經(jīng)歷的令人不爽的吵鬧。面帶頑皮的微笑,艾特爾開玩笑地勸說奧曼迪轉(zhuǎn)到黑客技術(shù)的“陰暗面”,即找到漏洞并出售牟利,而不是報告給受影響的公司,使這些漏洞失效。

奧曼迪沒有理睬艾特爾的提議,笑了笑,然后把墨鏡放回到桌子上。他也許制造了麻煩,但他的目標是純潔的。(奧曼迪允許筆者待在他身邊,但拒絕發(fā)表評論。)

盡管有著清白的聲譽,但當高尚思想和復雜的現(xiàn)實世界相抵觸時,零工程團隊也不得不靈活對待。團隊最初奉行嚴格的90天披露期限,如果漏洞“已被積極利用”,則為7天。但是有幾次,團隊搶在有關(guān)公司計劃發(fā)布更新的日子(比如微軟和它每月定期的“補丁日”)之前做了披露,招致了很多反感。(后來,如果相關(guān)公司有現(xiàn)成的補丁,團隊就會在90天期滿后再延長14天。)

凱蒂·穆蘇里表示,零工程的披露政策在科技行業(yè)里最為明確。她認為這是一件好事情。很多公司沒有報告漏洞的方針,或是沒有規(guī)定研究人員公開披露的方式和時機。有些組織要求的修復軟件的時間甚至更短。來自于卡內(nèi)基梅隆大學的機構(gòu)Cert CC對外宣布的期限是45天,只有零工程團隊的一半,但對個案,卻有更大的通融余地。穆蘇里曾經(jīng)幫助制定微軟的披露政策,現(xiàn)在經(jīng)營著自己的漏洞懸賞機構(gòu)Luta Security。

企業(yè)若對漏洞反應遲緩,零工程團隊會提出批評,如果采取行動修復漏洞,它同樣很快予以表揚。今年早些時候,奧曼迪發(fā)推文說,他和同事納塔莉·西爾瓦諾維奇“發(fā)現(xiàn)了近來最厲害的Windows遠程代碼執(zhí)行”,這意味著,有辦法遠程接管基于Windows的系統(tǒng)。他說:“情況太糟糕?!眱扇伺c微軟合作修補漏洞。奧曼迪隨后又發(fā)推文說:“@msftsecurity快速采取行動保護用戶,現(xiàn)在還讓我吃驚,怎么稱贊都不為過。棒極了?!憋@然,亡羊補牢永遠為時不晚。

零工程團隊發(fā)現(xiàn)漏洞不留情面,也許會讓科技公司感到厭煩,但是它們應該感到欣慰,一些研究人員忍不住想把研究結(jié)果出售牟利,而零工程團隊卻能夠自覺抑制這樣的沖動。在黑客技術(shù)職業(yè)化以來的這些年,零工程披露的漏洞已經(jīng)有了市場。政府、情報機構(gòu)、犯罪分子都愿意出高價買下這些漏洞。另一方面,軟件公司越來越多地采取漏洞懸賞計劃,為研究人員花費的時間、精力和利用的專業(yè)知識埋單。但是,公司的獎勵永遠比不上黑市能夠提供的報酬。

IBM高管、知名安全大師布魯斯·施奈爾說:“不管谷歌能夠拿出多少獎金,外國政府都會支付更高的報酬?!?/p>

在楓丹白露酒店,杜林告訴我,他對黑客技能變得如此搶手感到驚訝。曾經(jīng)在昏暗地下室里搞的業(yè)余愛好如今卻是政府大樓里堂堂正正的職業(yè)。

他說:“黑客就跟嘻哈、霹靂舞、滑板或者涂鴉一樣,是20世紀90年代的亞文化。后來軍方覺得有用,就成了現(xiàn)在這樣了?!?/p>

據(jù)Cloudflare的聯(lián)合創(chuàng)始人及首席執(zhí)行官馬修·普林斯透露,谷歌的頂級漏洞獵手發(fā)現(xiàn)的數(shù)據(jù)外泄一開始讓公司一個月沒有增長。(但他說,這是一時的挫折,Cloudflare在此過程中保持透明度,讓它吸引到了新的業(yè)務(wù)。)

這次經(jīng)歷或許讓普林斯感到痛苦,但他并沒有表露出來。他知道,如果公司被真正懷有惡意的黑客盯上了,會是什么樣子。幾年前,一個名叫“UGNazi”的黑客組織入侵了普林斯個人的Gmail賬戶,用它控制了他的公司郵箱,然后劫走了Cloudflare的基礎(chǔ)架構(gòu)。這些惡棍本來可以造成巨大傷害,但他們只是將一個普通的黑客網(wǎng)站4chan.org重新指向了他們個人的推特檔案,為的是做廣告。

普林斯仍然在后悔,沒有能夠在和谷歌共同發(fā)布初期調(diào)查結(jié)果之前,將這次云出血的完整信息通知客戶。他希望,他的公司能夠在用戶讀到有關(guān)數(shù)據(jù)外泄的新聞報道之前就通知他們。即便如此,普林斯認為,零工程團隊確定的披露時機是正確的。據(jù)他所說,沒有用戶發(fā)現(xiàn)任何與此次信息泄露相關(guān)的重大損失。也沒有像他們一開始擔心的那樣,有密碼、信用卡卡號或醫(yī)療記錄被曝光。

普林斯說,為防止類似事件再次發(fā)生,Cloudflare實施了新的措施。公司開始檢查所有代碼,并聘請外部測試人員復查。它還制定了更為復雜的系統(tǒng),用以識別常見的軟件崩潰。軟件崩潰常常表明存在著漏洞。

說到這次數(shù)據(jù)外泄的發(fā)現(xiàn)與后果,普林斯表示:“這14天讓我的頭發(fā)更加花白,壽命也要減少一年。但是謝天謝地,是奧曼迪和他的團隊而不是某些瘋狂的黑客發(fā)現(xiàn)了這個漏洞。”

當然,普林斯永遠無法排除某些人或組織拿到了泄露數(shù)據(jù)的副本的可能性。零工程團隊也是這個想法。對團隊的每一位成員來說,這個世界有著數(shù)不清的、目的不那么高尚的研究人員在秘密工作。魔鬼就在那里,無論你是否了解。(財富中文網(wǎng))

譯者:穆淑

谷歌的零工程團隊一夜成名

塔維斯·奧曼迪谷歌研究人員谷歌的零工程黑客團隊成員,在互聯(lián)網(wǎng)上搜索問題軟件。

約翰·格雷厄姆-卡明Cloudflare公司首席技術(shù)官舊金山一家公司的高管,該公司管理的網(wǎng)絡(luò)支持著相當多公司的網(wǎng)上運營。

Luta Security公司首席執(zhí)行官凱蒂·穆蘇里解釋軟件漏洞經(jīng)濟

漏洞有兩種市場:攻擊和防御。前者包括民族國家、有組織犯罪團伙和其他攻擊者。后者包括漏洞懸賞計劃和銷售安全產(chǎn)品的公司。攻擊市場支付的價格更高,上不封頂。他們不只購買弱點或攻擊機會,還要購買在不被發(fā)現(xiàn)的情況下利用弱點的能力。他們購買的是讓一切靜悄悄地發(fā)生。防御市場給不了這么多錢,不能像軟件開發(fā)商那樣,給頂級開發(fā)人員支付100萬美元年薪。盡管大公司的代碼質(zhì)量在不斷改善,可代碼也變得越來越復雜,這意味著會出現(xiàn)更多的漏洞。對于某個特定的漏洞,安全研究人員會做些什么,取決于他們的財務(wù)需求、他們對某款軟件或供應商的看法和他們面臨的人身風險。黑帽黑客與白帽黑客,不一定分得那么清楚。(財富中文網(wǎng))

—采訪:Robert Hackett

谷歌的零工程團隊安全:

術(shù)語表

漏洞

計算機代碼的意外錯誤。

能夠?qū)е掳踩珕栴}的漏洞被稱為“弱點”。

零日弱點

人和電腦沒有時間(零日)

修復的弱點。

利用

黑客制作的、利用一個已知弱點的計算機程序。

掃碼打開財富Plus App
亚洲日本中文字幕天天更新| 一本一本久久a久久综合精品| 欧美精品午夜久久久伊人| 国产成人猛男69精品视频| 国产精品亚洲а∨无码播放不卡| 国产精品乱码在线观看| 国产亚洲综合久久| 亚洲无日韩码精品第一页| 色综合久久中文字幕无码| 国产性生交xxxxx免费| 日本精品视频一区二区三区在线观看| 国产日韩欧美大片| 亚洲国产精品丝袜国产自在线福利视频| 国产A级毛片体验区| 亚洲国产在线精品国自产拍| 国产AV一区二区三区无码野战| 午夜免费无码福利视频麻豆| 妺妺窝人体色www在线观看| 国产+高潮+白浆+无码| 爽毛片一区二区三区四无码三飞| 苍井空无码视频在线观看| 毛片免费全部无码播放| 色视频一区二区三区网网网网 | 国产v亚洲v天堂无码| 国精无码欧精品亚洲一区| 日韩人妻无码专区综合网| 国产香蕉一区二区三区在线视频| 日韩电影一区二区亚洲精品| 无码成人动漫一区二区三区| 多人性激烈的欧美三级视频| 97久久超碰亚洲视觉盛宴| 男人搡女人搡到高潮视频| 国产老妇伦国产熟女老妇视频| 精品无码免费专区午夜| 一级视频亚洲视频在线观看| 国内少妇人妻偷人精品免费视| 青草久久久国产线免观| 久久久久亚洲AV无码专区电影| 亚洲妓女综合网9页| 亚洲AV日韩AV永久无码免下载| 亚洲国产成人无码av在线影院|