不拘一格選人才
當George Hotz(神奇小子GeoHot:破解已經玩膩了,我要讓汽車工業變得更智慧http://mp。weixin。qq。com/s/XDANelnfLrKds1jzlAafiw)於2007年8月成功解鎖了iPhone手機,使得當時的iPhone可以不再侷限於AT&T網路,同時也可以支援其他GSM網路的時候,包括AT&T和蘋果在內的幾乎所有企業都在有意無意的忽視Hotz的存在,而只是專注於修復他所發現的裝置、系統漏洞。
之後,Hotz在部落格中表示自己花費了整整5周的時間,巧妙地運用了一些簡單的硬體改動和較為複雜的軟體方法得到了PS3系統全部記憶體的讀寫許可權和處理器的高階控制權限。換句話說,他已經完全破解了PS3系統。對此,索尼公司的做法則是對其提出正式起訴,並最終在Hotz承諾不再破解任何一款索尼產品的前提下達成了和解。
然而,今年早些時候,在Hotz成功找到谷歌Chrome作業系統中漏洞的時候,谷歌非但沒有對其提起訴訟,反而給予了他15萬美元的獎勵。兩個月後,Hotz還收到了一封來自谷歌安全工程師Chris Evans的Offer郵件——邀請他加入谷歌旗下的網際網路安全精英團隊——“Project Zero”,該團隊的主要職責就是找到存在於網際網路各個角落之中的安全漏洞。
超級駭客團隊
不久前,谷歌已經正式對外介紹了自己網際網路安全專案“Project Zero”的主要情況。據悉,該團隊主要由谷歌內部頂尖安全工程師組成,而他們的唯一使命就是發現、跟蹤和修補這些全球性的軟體安全漏洞。同時,“Project Zero”所處理的安全漏洞通常都屬於“零日漏洞”級別,網路駭客或者政府有組織的駭客團隊可以利用這些漏洞展開網路監聽等活動。
谷歌表示,“Project Zero”團隊並不僅限於在谷歌自有的產品中尋找系統安全漏洞,他們還可以在任何軟體產品上尋找漏洞。在發現了漏洞後,該團隊會對其進行曝光,並透過這種方式來鼓勵相關公司與谷歌聯手合作應對駭客行為。
Project Zero負責人、曾負責過谷歌Chrome安全團隊的Chris Evans說道,“人們理應在無需擔憂安全漏洞或者隱私洩露的情況下享用網際網路,而我們團隊則會關注於找出那些高價值的安全漏洞,並將其徹底消除。”
據悉,“Project Zero”目前已經從谷歌內部抽調了一些精英人員,並組建起了自己的駭客“夢之隊”。比如,曾在2013年發現存在於Adobe Flash及微軟Office中大量漏洞的紐西蘭人Ben Hawkes、英國知名“零日漏洞查殺專家”Tavis Ormandy、曾經發現了蘋果iOS、OSX和Safari瀏覽器多個漏洞的神秘瑞士駭客Brit Ian Beer以及上文提到的成功破解谷歌Chrome作業系統的George Hotz都是這一團隊的成員。
【“Project Zero”成員——Ben Hawkes】
根據Evans透露,目前該團隊的招聘工作仍在繼續,並計劃召集到10名以上的全職網際網路安全研究人員。他們大多數都可以不在谷歌總部辦公室辦公,並使用專業的漏洞查詢工具對目標軟體進行掃描,從而發現有可能包含有漏洞的系統、軟體設計。
建立的初心
瞭解了“Project Zero”的工作性質後,你一定好奇,這樣一個團隊的建立初衷究竟是為了什麼呢?對此,Evans解釋道,“Project Zero”基本上是利他的。谷歌為團隊成員提供極大的自由,讓他們可以幾乎不受限制地研究安全難題,也許這也是谷歌招聘的籌碼,讓最頂尖的人才願意加入谷歌,之後他們可能會轉而進行其他專案。
谷歌表示,他們希望透過這一專案把網際網路變得更加安全,並可以透過提供更加自由的工作條件來吸引許多頂級安全人才加入公司。因為谷歌始終堅信,一個更加安全、愉悅的網際網路使用環境會促使更多使用者放心的點選廣告,並從而使谷歌受益。
他說到,“只要我們能夠增強使用者對於網際網路的信心,那麼谷歌也將透過非直接的方式獲益。”
與此同時,“Project Zero”也和谷歌近年來的發展策略相當吻合。在“斯諾登事件”曝光後,谷歌已經加強了自己的反偵查策略,因為斯諾登曾披露稱美國國家安全域性在暗中監視谷歌使用者資訊,之後谷歌便對相關連結進行了加密。近期,谷歌還透過在Chrome瀏覽器中內建外掛的方式為使用者的電子郵件進行了加密,並且公佈了一份有關哪些電郵服務商同意或者不同意使用這一加密做法的名單。
美國公民自由聯盟首席技術專家Chris Soghoian表示,谷歌大力建設自己的“Project Zero”團隊是情理之中的舉措,因為谷歌安全團隊對於政府監控行為一直非常不滿,他們自然希望能夠對此有所迴應。
而且,同其他許多企業一樣,谷歌多年來也一直在獎勵那些發現程式碼漏洞的白帽駭客。但是,其在查詢自身軟體漏洞方面的工作似乎一直都存在缺陷,因為諸如Chrome瀏覽器這些產品經常需要依賴於Adoble Flash這些第三方程式碼執行。今年3月,Evans甚至還編寫了一份在過去四年時間內由駭客所發現的18個Flash漏洞的表單。
一路走來——“Project Zero”的緣起
雖然,Google公司是於2014年才正式組建的Project Zero,但是該團隊的起源卻可以追溯到2009年。提到資訊保安問題,很多公司通常要到面臨緊急情況的時候才能意識到其嚴重性。而對於當時的Google而言,其遭遇的緊急事件正是“極光行動”(Operation Aurora)。
2009年,一個與中國政府有關的網路間諜組織入侵了Google和其他一些科技巨頭的伺服器,竊取了他們的智慧財產權,並試圖監視其使用者。此舉激怒了Google的高管,使得Google最終退出了中國——這個世界上最大的市場。
該事件讓Google的聯合創始人Sergey Brin感到十分不安。計算機取證公司和調查人員認定,Google遭受的攻擊並不是自己的軟體錯誤,而是由微軟IE6中的一個未修復漏洞造成的。此事令Brin不禁自問,為什麼Google的安全性要依賴於其他公司的產品?
在接下來的幾個月裡,Google開始不斷對外施壓,要求競爭對手解決他們軟體程式碼中的漏洞。Google與其同行之間的這場沒有硝煙的戰鬥很快就成為傳奇故事。漏洞獵手Tavis Ormandy正是憑藉自身出神入化的漏洞修復手段,成為其中的核心人物,聞名於同行之間。
在“極光行動”出現後不久,Ormandy就披露了他幾個月前在微軟Windows作業系統中發現的一個漏洞,攻擊者可以利用該漏洞入侵個人電腦並使其癱瘓。在等待微軟回覆的七個月後,他決定靠自己來解決問題。
2010年1月,Ormandy在一封“全面披露”的郵件中釋出了該漏洞的詳細情況和可能遭受的攻擊。他的想法是:如果微軟不及時解決這個問題,使用者至少也應該對該問題有所瞭解,好讓他們能夠有自行探索應對方法的依據。幾個月後,他對所發現的Oracle的Java軟體漏洞,以及另一個更嚴重的Windows漏洞採取了相同的辦法——對於後者,Ormandy僅在向微軟彙報了五天後就採取了行動。
有人譴責Ormandy的這一行為,稱其對使用者安全造成了危害。兩位Verizon的資訊保安專家在一篇部落格文章中稱,採取這種“全面披露”方式的研究人員都是“自戀的漏洞皮條客”。
對此評價,Ormandy並未理會。2013年,他再次選擇在Windows釋出修復之前將漏洞公開。他認為,如果沒有一個研究人員用這種公開披露的方式對其進行施壓,他們根本就沒有緊迫感,不可能會及時對這些問題進行修復,如此一來,所有人都將處於危險之中。
2014,Google悄悄地建立了“Project Zero”(該名字暗指“零日漏洞”,這一術語是資訊保安專家用來描述完全沒有時間解決的未知安全漏洞)。公司制定了一套協議,並讓Chrome前任安全總監Chris Evans擔任負責人。之後,Evans開始招募Google員工和其他人加入團隊。
【Chris Evans——負責為Project Zero招募人才】
他招募了當時在瑞士的英裔安全研究員Ian Beer,他對挖掘蘋果程式碼錯誤有著強烈的興趣;Ormandy也是一名英國人,他因與微軟的公開衝突而聞名;Ben Hawkes,一名因發現Adobe Flash和微軟Office漏洞而聞名的紐西蘭人。另外,Evans還招募了George Hotz做實習生,他應該是團隊中最年輕的一位,不過他的本領可不小:他曾在一個駭客競賽中成功入侵了Chrome瀏覽器,贏得了15萬美元獎金。
2014年4月,“Project Zero”完成了成立以來的首次“亮相”:蘋果在一份簡報中讚揚了一名Google研究人員,因為他發現了一個會讓駭客控制Safari瀏覽器的漏洞。蘋果公司在文中向“Google Project Zero團隊的Ian Beer”表示了感謝。
在Twitter的資訊保安社群中,人們開始討論這是怎樣一個神秘組織。2014年4月24日,紐約網路安全顧問Trail of Bits CEO兼聯合創始人Dan Guido在推文中問道:“Project Zero是什麼?”美國民權同盟的CTO Chris Soghoian也提到:“Apple安全更新日誌中竟對一位神秘的Google Project Zero員工表達了感謝。”
【Dan和Chris 的推文內容】
很快地,Project Zero收到了更多的讚譽。5月份,蘋果感謝Beer發現了其OS X系統中的幾個漏洞。一個月後,微軟對一個可能擊潰其惡意軟體保護程式的漏洞打了補丁,並在報告中感謝了Project Zero的Tavis Ormandy。
當時,在所有關注安全問題的人群中,該團隊是繞不開的話題。Evans最終決定在公司部落格中公開宣佈了該團隊的存在。他表示:“我們應該能夠自由地使用網路,而不用擔心犯罪分子或國家支援的間諜組織利用軟體漏洞感染裝置,竊取機密資料或是監控通訊。”他還援引了最近一些針對企業和人權活動人士的間諜活動,認為“這些行為必須停止”。
Evans在一年後離開了該團隊並加入了特斯拉,現在是HackerOne的顧問。Project Zero目前的領導是Hawkes。
即使到今天,Evans在描述該團隊的起源時仍然十分謹慎,他說:“Project Zero是在經歷多年的深度討論,和對攻擊演變的觀察基礎上最終確立的。我們希望創造出專注於頂級資訊保安進攻研究的工作,吸引世界上最優秀的人才進入該研究貢獻力量。”
最高效的網路漏洞終結者團隊
這個挑戰比看上去還要困難。金錢吸引著世界上很多最好的駭客開展秘密工作,而政府和其他團隊也願意透過經紀人為他們的調查結果支付高昂的報酬。Evans認為,如果這種研究工作無法公佈,那人們將長久生活在危機四伏的網路世界中。
在Zero Project正式成立的三年中,這個精英駭客小組已經成為地球上最高效的網路漏洞終結者之一。也許普通的消費者並不知曉這些人的名字——James Forshaw、Natalie Silvanovich、Gal Beniamini。但正是這群人在對我們的智慧裝置和數字生活中可能出現的漏洞進行嚴防死守,我想全世界都欠他們的一句“感謝”!
該團隊還負責對其他公司的產品進行改進,包括找到並幫助修復作業系統、防毒軟體、密碼管理器、開原始碼庫和其他軟體中的1000多個安全漏洞。迄今為止,Project Zero已經發布了70多篇有關其工作的博文,其中一些文章堪稱目前網上最好的公共安全調研資源。
該團隊的工作間接惠及了Google的主要業務:線上廣告。保護網際網路使用者免受威脅,就意味著保護公司為使用者提供廣告服務的能力。Project Zero所做的工作向供應商施加了很大壓力,也迫使他們修復那些可能導致Google產品崩潰的漏洞。
網路安全企業家、著名蘋果駭客以及前Square移動安全部負責人Dino Dai Zovi表示:“這麼說可能不太恰當,但Project Zero就像一隻牧羊犬一樣。牧羊犬不是狼,它更為仁慈,但同樣能夠將羊群趕回羊圈中。”
4月,Project Zero的三名成員前往邁阿密參加了Infiltrate安全會議,這次會議的焦點主要集中在駭客攻擊領域。
Hawkes、Ormandy和德國安全研究員Thomas Dullien(Zero團隊的成員, “Halvar Flake”的綽號更為人所知)以及其他與會者一起聚集在Fontainebleau酒店的草坪上,在棕櫚樹下一邊暢飲著雞尾酒,一邊暢談彼此最熱衷的科幻小說,以及如何保護駭客歷史。
期間,Ormandy擦拭了一下Morgan Marquis-Boire(前Google員工、著名的惡意軟體研究員,目前在eBay創始人Pierre Omidyar建立的另一家媒體公司First Look Media中擔任安全部負責人)落在桌上的一副範思哲墨鏡,然後戴上了它。由於當時陽光已經沒有那麼刺眼了,此舉讓Ormandy看上去有點滑稽。
看到這一幕後,Dave Aitel(此次會議的組織者,一名前NSA駭客,目前運營著一家攻擊性駭客商店Immunity)突然拿起手機拍了一張照片。Ormandy此時正把雙手擺出了一個重金屬音樂迷式的“號角”造型。“這就是Tavis Ormandy:上線的時候是一個精明、愛與人較勁的批評家;離線之後卻是一個親切友好的極客,還喜歡捉弄別人。”
說到Ormandy在敦促廠商修復他們程式碼過程中可能遇到的不愉快時,Aitel說道:“人們當然不會給你好臉色看。不過你要知道,你不是非得面臨這些的。”接著,Aitel又玩笑似的,試圖說服Ormandy加入駭客研究員的“黑暗面”——即發現漏洞後高價出售,而不是報告給受影響的公司。
【各類裝置的漏洞獎金金額】
聽了Aitel的提議後,Ormandy只是聳聳肩,笑了笑,然後把杯子放回到桌子上。他也許是個麻煩精,但他的目標是純粹的。
儘管外界看起來Project Zero名聲極盛,但由於它崇高的理想與複雜的現實世界相互牴觸,所以該團隊不得不採取更為靈活的方式處理工作。他們最初嚴格恪守90天的披露截止期限,但是有幾次Project Zero在被發現漏洞的公司定好釋出補丁的日子之前就進行了披露,比如Microsoft和它著名的“週二補丁”,引發了眾多公司的強烈反對。那之後,這個團隊把披露期限延長了14天。
Katie Moussouris(曾參與制定微軟資訊披露政策,目前運營著自己的漏洞賞金諮詢公司Luta Security)表示,Project Zero擁有業內最明確的披露政策,這是一件好事。許多公司沒有如何報告漏洞的指導規範,也缺乏指導研究者如何及何時公佈漏洞的明文政策。
【Luta Security公司CEO Katie Moussouris】
雖然,Project Zero團隊會對那些反應緩慢的公司不留情面地進行批評,但是對迅速採取行動來修復漏洞的公司也會不吝讚揚。今年早些時候,Ormandy在推特上說,他和同事Natalie Silvanovich在Windows系統中發現了迄今最為嚴重的遠端程式碼執行漏洞,這意味著攻擊者可以遠端控制所有基於Windows的系統。之後,他們兩人與微軟合作共同修補了該漏洞,Ormandy在隨後的推文中表示:“這次Microsoft安全團隊的反應速度非常及時,值得稱讚!”顯然,只要你想改善自己,永遠都不會太遲。
【Ormandy讚揚Microsoft安全團隊高效的推文】
科技公司可能會對Project Zero這種處理問題的大膽做法感到畏懼,但他們應該感到安慰,因為有這樣的駭客願意公然抵制透過不合法的網路活動而牟利的行為。在駭客逐漸專業化的這幾年裡,市場正因Project Zero公佈的這些漏洞而得到迅速發展。政府、情報機構、犯罪分子都想透過高價來獲取這些漏洞。好在越來越多的軟體公司願意發起了漏洞獎勵計劃來解決自身的安全問題,為研究人員的時間、精力和專長技能買單,但賞金金額可能永遠都比不上暗市能給出的價格。
知名安全專家兼IBM高管Bruce Schneier表示:“無論Google為發現漏洞的人提供多少獎勵,一些政府都能夠支付比之更高的報酬。”
當時在Fontainebleau開會的時候,Dullien也表示,對如今駭客技術如此大的需求量感到驚訝。曾經這只是在黑暗地下室的愛好,現在卻變成了政府大廳裡是一個職業。他說:“在90年代,它還只是一種亞文化,就像嘻哈、霹靂舞、滑板或塗鴉一樣,但是現在卻被軍方發現了它的用武之地。”
“孤膽英雄”的作戰實錄
今年2月份的一個週五下午,在加州山景城的Google總部,留著褐色平頭的安全研究大牛Tavis Ormandy正在他的辦公桌前進行著一些常規的程式碼測試工作,希望能夠透過隨機資料使軟體中的缺陷暴露出來。整個過程進行的十分順利,直到他在資料集中發現了一些問題。這太奇怪了,他自忖著。他發現的這個問題並非典型的破損資料,而且相應的資料配置也和預期輸出的相差甚遠——資料集中存在大量的記憶體散落。於是,他進一步對該資料集進行了深挖。
在收集足夠的資訊後,Ormandy將這件事分享給了其他研究同事。這個名為“Project Zero”的Google團隊很快意識到了問題的實質:一家位於舊金山的Cloudflare公司正在發生大規模的資料洩漏。大多數情況下,Cloudflare的內容分發網路可以處理全球十分之一的網際網路流量,且鮮少出現故障。但Ormandy發現,該公司的伺服器其實在網路中洩露了大量使用者的私人資料,且這種資訊洩漏情況已經持續了好幾個月時間。
Ormandy並不認識Cloudflare公司的人員,也不想貿然在三天小長假的前一晚給Cloudflare的技術支援團隊電話告警。最後,他想到了一個好辦法——將這個訊息釋出在自己的Twitter上,至少自己大量的粉絲群能夠看到、轉發這條訊息。
Ormandy在美國時間下午5:11釋出了這樣一條推文:“請Cloudflare安全部門的工作人員儘快聯絡我,十萬火急!”
Ormandy沒有@Cloudflare公司的官方Twitter——他也不需要。因為他在資訊保安專業人士聚集的熱門社群中擁有很高的名望,所以,在他按下“傳送”鍵的15分鐘內,所有需要知道(當然還包括很多不需要知道)此事的人都能看見他的這條推文。
在當地時間凌晨1:26,Cloudflare公司首席技術官John Graham-Cumming的手機將他從睡夢中吵醒。他揉了揉眼睛,拿起了手機,看到螢幕上顯示有一個未接電話,致電者是少數幾個能夠在午夜給他打電話的人之一。他馬上發簡訊問發生了什麼情況。
他的同事立即迴應稱:“公司出了非常嚴重的安全問題。”
他驚坐起來並回複道:“我馬上上線檢視。”
這位CTO從床上彈起,衝到樓下,拿出了專門應對這種情況的突發事件裝備袋——裡面裝有充電器、耳機、備用電池等。他啟動了膝上型電腦,並迅速和遠在加州Cloudflare總部的同事一起加入到Google Hangout(影片聊天應用)中。
安全團隊簡單向Graham-Cumming介紹了事態發展情況:Google的Project Zero團隊在他們的基礎設施中發現了一個漏洞—— 屬於高危級別的漏洞。
Cloudflare的伺服器能夠保障超過600萬個使用者網站的正常運營,這些客戶包括FBI、Nasdaq(納斯達克)以及Reddit等知名網站等。而現在,該伺服器存在高危漏洞,也就意味著,任何人都能夠訪問Cloudflare支援的站點,並在某些情況下獲取該網路上另一站點使用者(例如Uber、1Password、OKCupid和Fitbit等)的使用者名稱密碼、快取以及私人訊息等詳細資訊。
【Ormandy和Graham-Cumming】
對於稍微懂點行的人來說,這些隱私資訊可以說是唾手可得。更糟糕的是,搜尋引擎和其他網路爬蟲工具已經將這些洩漏的資料快取了長達數月的時間。所以,簡單地修復漏洞並不能徹底解決該問題。
Graham-Cumming說道,“這次事件就像石油洩漏,想要堵住洩漏石油的洞口很容易,但難的是還有大片被汙染的海床需要清理。”
很快,兼職擔任美國網路駭客戲劇《機器人先生》的Cloudflare安全顧問的Marc Rogers領導了分流工作。不到一個小時,他們就推出了一個用以修復全球範圍內漏洞的升級程式包。幾個小時後,這群技術人員又成功恢復了導致該漏洞的功能。
就在Ormandy釋出那條推文近七個小時後,Cloudflare的工程師們設法要求幾家主要的搜尋引擎公司——Google、Microsoft和Yahoo清除了他們網頁中的快取資料。
這個漫長的週末才剛剛開始,Cloudflare工程師們還需要在剩下的時間裡,對資料洩露量、涉及資訊以及危害程度進行評估。
據Cloudflare CEO兼聯合創始人Matthew Prince表示,Google Project Zero發現的漏洞一開始讓他的公司幾乎損失了一個月的營收。但是,挫折只是暫時的,Cloudflare在此次事件中堅持公開透明的做法也幫助公司吸引了新的業務。
Prince很遺憾沒有在Google和Cloudflare共同釋出初步調查結果之前,向客戶告知這次“雲出血(Cloudbleed)”的詳細資訊。他希望客戶能夠從公司方面,而不是新聞報道中獲知這樣的訊息。即使如此,他回想起來,還是覺得Project Zero團隊對於在何時披露漏洞是對的。據他所知,漏洞公佈後沒發現任何與此次資訊洩漏相關的重大損失。他們最初擔心的使用者密碼、信用卡號或健康記錄等資訊也均未遭到濫用。
Prince表示,Cloudflare已經制定了新的控制措施,以防止此類事件再次發生。同時,公司開始審查所有程式碼,並聘請外部測試人員進行二次審查。它還開發了一個更復雜的系統來識別常見的軟體崩潰,這就意味著,公司能夠及時發現安全漏洞。
Prince在談到這次資料洩露及善後事宜時說道:“就因為這14天,我的白頭髮比以前更多了,甚至壽命都可能要減少一歲。但是幸好是Tavis和他的團隊發現了這個漏洞,而不是那些瘋狂的駭客。”
當然,Prince永遠也無法排除某些人或組織有洩密資料副本的可能性。這也是Project Zero想要強調的觀點:Project Zero團隊的每一個成員每時每刻都在與那些在暗地裡搞小動作的“研究人員”作鬥爭。無論你能不能覺察到他們,這些惡魔就在暗地裡盯著自己的獵物,不知道何時就會發起進攻。
存在的意義
哪怕你不是Google Project Zero的成員,你也應該知道網路安全危機正在全球範圍內愈演愈烈。幾乎所有公司都變身成了科技公司,這也讓駭客活動變得越來越普遍——竊取銀行賬戶,監視內部人員,干預選舉等事件接連上演。新聞頭條也越發令人髮指:超過10億的雅虎帳戶洩漏;駭客從SWIFT金融網路竊取了數百萬美元;2016年美國總統大選之前,民主黨全國委員會私人電子郵件遭到曝光……
據美國身份盜竊資源中心(Identity Theft Resource Center)統計,美國公司和政府機構在2016年遭遇的資訊洩漏事件比2015年多了40%,這還只是保守估計。與此同時,研究組織Ponemon所開展的一項研究顯示,目前資料洩露所消耗的平均成本高達360萬美元。
無論是程式設計師導致的錯誤,還是某國駭客的攻擊行為,資料洩露已經成為一種新常態。因此,企業高管們也逐漸意識到,在問題變得更加嚴重、複雜之前,將程式碼問題扼殺在搖籃裡才是較為合算的做法。
但事情並這沒有那麼簡單。很多公司要麼不重視資訊保安問題,要麼將其視為產品開發和正常交貨的阻礙。據CA Technologies今年初收購的應用軟體安全公司Veracode稱,在參與調研的500位IT經理中,有83%承認曾在測試漏洞和解決安全問題之前就釋出了程式碼。
此外,資訊保安行業也面臨著嚴重的人才短缺現象。據思科公司預計,全球有100萬個空缺的資訊保安崗位。賽門鐵克也預計稱,到2019年,這一數字將增加到150萬個。還有一些人預計,到2021年,這一數字將增至350萬。
即使公司擁有充足的資金、主動性和聲望來尋求恰當的安全專業人士,也無法完全避免其後臺產生有缺陷的程式碼。即使是最好的質量監控程式和敏捷開發的方式,也無法準確地捕捉到每一個錯誤。
包括Microsoft和Apple在內的很多公司,都有自己的內部安全研究團隊來對自家的軟體進行安全核查,但卻少有團隊能夠關注其他公司的軟體是否存在安全問題。這也正是Google與眾不同的原因。對於Ormandy和Project Zero的其他十幾個頂尖電腦高手來說,他們的管轄權是沒有制約的——畢竟任何與網際網路有關的東西對大家來說都是公平的。監管網路空間不僅對人類有好處,對商業活動大有裨益的。
安在
(ID:AnZer_SH)
新銳|大咖|白帽|深度
