《財富》(中文版)——今年2月一個周五的下午,大師級的安全研究員塔維斯·奧曼迪正在位于山景城谷歌公司總部里的辦公桌旁執行一些日常的“模糊測試”。這是一種普通的軟件代碼測試技術,即以隨機數據轟擊軟件,讓缺陷暴露出來。奧曼迪留著棕色的平頭,臉上現出不安的微笑。他突然發現,數據集里有些東西不對勁。他覺得奇怪。這不是普通的被污染的數據。他看到的,不是預期的結果,而是一些異常現象,大塊大塊的內存被奇怪地占據。因此,他進行了更深的挖掘。
在收集到了足夠的信息后,奧曼迪叫他的安全研究員同伴過來,讓他們站成一圈,分享了他的發現。谷歌的這支團隊名叫“零工程”。該團隊很快意識到他們發現了什么:大范圍的數據泄露,來自于舊金山一家名叫Cloudflare的公司。在多數時間里,這家公司的內容發送網絡在毫無差錯地處理著全球將近十分之一的互聯網流量。但是,奧曼迪發現,該公司的服務器在向全網散發個人的私密數據。這些信息已經被泄漏了長達數月。
奧曼迪不認識Cloudflare公司的人,他在猶豫,周末馬上到來,要不要給Cloudflare的在線支持人員打這么一個陌生電話。于是,他想出了第二佳的做法:登錄推特,向他的數萬名粉絲發出請求:
Cloudflare的安全部門的人,能不能緊急聯系我一下?
時間是美國太平洋時間下午的5點11分。
奧曼迪懶得通過“@名字”的方式來提醒某公司的推特賬號,他沒有必要這么做。他在信息安全專業人員中間名望很高。在他發送推文后不到15分鐘,需要知道這條信息的所有人(當然還有很多不需要知道的人)就都看到了。
在當地時間凌晨1點26分,倫敦。約翰·格雷厄姆-卡明被床邊的電話鈴聲吵醒。Cloudflare的首席技術官揉了揉眼睛,努力去抓響個不停的電話。沒有接到來電。打電話的,是他的一位同事—這是少數格雷厄姆-卡明允許在半夜給他打電話的人之一。他發了一條短信,問發生了什么事情。
同事立刻給他回了短信:非常嚴重的安全問題。格雷厄姆-卡明坐了起來,驚慌地回復:我馬上就上網。
首席技術官起床,下樓到地下室,抓起一個“急救包”,這是他為出現這類情況而準備的,里面有充電器、耳機和幾塊電池。他啟動了自己的筆記本電腦,快速進入與Cloudflare加利福尼亞總部同事共有的谷歌環聊群。
安全團隊向他簡要匯報了形勢。谷歌的零工程團隊在Cloudflare的基礎架構里發現了一個漏洞,一個嚴重的漏洞。運行著包括美國聯邦調查局、納斯達克、Reddit在內的超過600萬家網站的服務器出現了數據泄漏,任何人都能夠進入Cloudflare支持的網站,在一定的環境下獲取Cloudflare網絡中另一家網站的用戶私密信息,包括認證口令牌、信息記錄程序、私人短信等。Uber、1Password、OKCupid、Fitbit等公司的網站都在其中。
這些私密信息已經可以一覽無余。更加糟糕的是,它們還會在搜索引擎和其他網絡爬蟲軟件的緩存中保存數月。堵住漏洞并不能夠徹底解決問題。
格雷厄姆-卡明說:“我將這比作石油泄漏。油輪身上的漏洞容易處理,但是你還有很多海床要清理。”
因此,Cloudflare的工程師不得不行動起來。安全主管馬克·羅杰斯領導了這次善后行動。羅杰斯在業余時間擔任了美國有線廣播網的電視劇《黑客軍團》的顧問。不到一個小時,安全團隊拿出了初步的緩解措施,通過更新程序,堵住了全球各地的漏洞。數小時后,技術人員成功地停止了導致錯誤的功能。在奧曼迪發出那條推文后將近7小時,Cloudflare的工程師成功地讓谷歌、微軟、雅虎等幾大搜索引擎清除了網頁緩存。
漫長的周末才剛剛開始。Cloudflare的工程師在余下的大部分時間里評估被泄露的數據量和類型,以及擴散情況。
Cloudflare以在安全問題上透明而著稱,谷歌的零工程團隊起初對Cloudflare安全團隊的快速反應印象深刻。但是,在協商如何公開披露被泄露的數據時,兩支團隊發生了爭吵。雙方暫定,最早于2月21日星期二那天發表聲明。到在那天快要過去的時候,Cloudflare表示,它需要更多的時間做清理。時間從星期二改到星期三,又從星期三改到星期四。到了此時,谷歌不再動搖:雙方必須在星期四下午公布數據外泄細節,無論Cloudflare是否完成評估,是否確定外泄數據已經從網頁緩存中刪除。奧曼迪稱這次事件為“云出血”。
兩家公司在2月23日做了披露。隨之而來的,是互聯網上出現了持續一周的恐慌。
不用加入谷歌的零工程團隊,你也能夠知道,世界各地的網絡安全危機越來越嚴重。每家公司都成了科技公司,黑客事件越來越普遍,公司銀行賬戶的資金流失,個人信息被偷窺,選舉遭人干涉。一些頭條新聞令人震驚:超過10億個雅虎賬戶存在入侵風險;數千萬美元通過環球同業銀行金融電訊協會金融網絡被盜走;無數來自于民主黨全國委員會的私人郵件在2016年美國總統大選期間被曝光。
據身份盜竊資源中心稱,美國公司和政府機構在2016年報告的數據外泄事件比2015年多出了40%,這還是一個保守的估計。與此同時,由IBM公司資助、研究集團Ponemon研究所進行的一項研究顯示,現在每次外泄給組織制造的平均費用達到了360萬美元。
不管是程序員的失誤,還是為某國效力的黑客造成的,數據外泄如今成為了新常態。企業高管已經達成共識,一旦編代碼出現問題,較為經濟的做法是將它扼殺在萌芽狀態,不要讓它在未來變得更加嚴重或是制造混亂。
但事情沒有那么簡單。太多的企業要么不重視安全問題,要么把它看作是開發和按時交付產品的障礙。CA Technologies在今年早些時候收購的應用安全企業Veracode稱,它調查了500位IT經理,83%的人承認,在發布代碼之前沒有進行漏洞檢測或解決安全問題。與此同時,安全行業面臨著人才短缺問題。思科估計,全球安全職位缺口達100萬。賽門鐵克公司預計,到2019年,缺口將達150萬。一些人估計,到2021年,缺口將達350萬。
即便一家企業有維持一支安全團隊的資金、計劃和名聲,也不能夠杜絕發送有缺陷的代碼。最好的質量保證流程和靈活的開發實踐也不可能捕捉到每一個漏洞。
所以,包括微軟、蘋果在內的眾多企業擁有內部安全研究團隊,自查本公司的軟件。但很少有團隊重視其他公司的軟件。這讓谷歌變得與眾不同。奧曼迪等10多位王牌電腦破解者組成了谷歌的零工程團隊,他們的管轄沒有邊界,任何東西只要觸網,都在他們的關注范圍之內。給網絡空間配備警察,不僅對個人有好處,對于企業來說也是好事。
谷歌于2014年正式組建了零工程團隊,但是這個團隊的起源還要再向前追溯5年。大多數公司開始正視安全問題,通常是在遭遇一起緊急事件之后。對于谷歌,那個事件就是極光行動。
2009年,某網絡間諜組織入侵了谷歌等科技巨頭,突破了它們的服務器,竊取知識產權,并試圖監視它們的用戶。這次劫掠惹怒了谷歌的高管。
這一事件尤其驚動了谷歌的聯合創始人謝爾蓋·布林。計算機取證機構和調查人員認定,公司被黑,不是因為谷歌自己的軟件出了任何問題,而是因為微軟的Internet Explorer 6瀏覽器的一個未修補漏洞造成的。他不明白,為什么谷歌的安全要依賴于其他公司的產品?
隨后幾個月,谷歌越來越強烈地要求競爭對手修復其軟件代碼中的漏洞。谷歌和同行業公司的爭斗很快成為了坊間談資。處于其中幾場爭斗中心的,不是別人,正是漏洞獵手塔維斯·奧曼迪。他因為以強硬方式修復漏洞而出名。(奧曼迪拒絕為本文發表評論。)
例如,在極光行動公開后不久,奧曼迪披露了他幾個月前在微軟的Windows操作系統中發現的一個漏洞,攻擊者可以利用它操縱他人的電腦。奧曼迪等了7個月,仍未看到微軟發布補丁,于是他決定親自出馬。2010年1月,奧曼迪在一個“全面披露”的郵件列表中發布了這個漏洞的詳細信息,安全研究人員通過這個列表告知同行軟件的新弱點和攻擊方法。他的想法是:如果微軟不打算按時解決問題,外人至少可以了解情況,他們可以制定自己的解決方案。幾個月后,他對影響到甲骨文公司的Java軟件的一個漏洞以及另一個Windows的重大缺陷做了同樣的事情。他在向微軟報告這個缺陷5天后就采取了行動。
有些人對這樣的做法不滿意,他們譴責了奧曼迪的行動,聲稱這給他人的安全造成了危害。(蘋果、微軟和甲骨文不愿就此事發表評論。)在一篇公司博文中,威瑞森的兩位安全專家批評選擇全面披露的研究員“自戀,強行給軟件弱點拉皮條”。奧曼迪不理會這些炮轟。2013年,他再次在微軟修復一個Windows漏洞之前就將之公開。他的理由是,研究人員不威脅公開,公司就幾乎沒有按時修復缺陷的壓力,它們會一直讓缺陷存在下去,讓所有人面臨風險。
2014年,谷歌悄然開始正式組建零工程團隊。[團隊的名稱暗指“零日”弱點,專業安全人員用這個術語來描述從前不知道的、公司沒有時間(也就是“零日”)準備應對的安全漏洞。]公司制定了一套協議,讓前Chrome瀏覽器的安全主管克里斯·埃文斯(Chris Evans,和扮演美國隊長的同名演員沒有關系)負總責。埃文斯隨后招募了谷歌員工和其他人員加入團隊。
埃文斯簽下了伊恩·比爾,他是英國人,在瑞士從事安全研究員工作,對尋找蘋果的代碼錯誤表現出強烈的興趣;他引入了奧曼迪,來自于英國的大塊頭,因為與微軟的高調沖突而成名;他還招募了新西蘭人本·霍克斯,人們都知道其曾經解決Adobe Flash和微軟Office辦公軟件的漏洞;他還請來了少年老成的喬治·霍茨做實習生。霍茨在當年早些時候的一次黑客競賽中攻破了谷歌的Chrome瀏覽器,獲得了15萬美元獎金。(《財富》雜志多次請求零工程團隊的成員就本文接受采訪,均遭拒絕。)
零工程團隊成立的第一個跡象出現在2014年4月,蘋果在一封短信中,指出谷歌的一位研究人員發現了一個漏洞。有這個漏洞,黑客可以控制運行蘋果Safari網頁瀏覽器的軟件。短信對“谷歌零工程的伊恩·比爾”表示感謝。
在推特上,信息安全界對這個秘密團隊大感驚奇。位于紐約的網絡安全顧問公司Trail of Bits的聯合創始人及首席執行官丹·吉多在2014年4月24日發推文問道:“谷歌零工程是什么?”時任美國公民自由聯盟的首席技術員克里斯·索格伊安強調:“最新蘋果安全日志感謝了神秘的‘谷歌零工程’的員工。”
更多的功績很快出現。5月,蘋果將OS X操作系統幾個漏洞的發現歸功于比爾。在一個月后,微軟修復了一個有可能破壞其惡意軟件保護能力的漏洞,特別指出“谷歌零工程的塔維斯·奧曼迪”在一份報告中提供了幫助。
到那時,該團隊已經在研究安全問題的人當中引起了不小的反響。埃文斯終于在公司網站的一篇博文中正式確認了團隊的存在。他寫道:“我們在使用網絡時,不應該擔心犯罪分子或一國支持的攻擊者利用軟件漏洞,感染電腦,盜取機密或是監視你的通信。”他提出,網絡間諜活動“必須停止”。
一年前,埃文斯離開了團隊,加盟特斯拉公司,目前在漏洞懸賞新創企業HackerOne擔任顧問。(零工程當前的主管是霍克斯)如今,說到團隊的起源,埃文斯更加謹慎。他說:“多年午餐時間的對話,對攻擊演化的多年觀察,為零工程的成立奠定了基礎。我們想設立幾個崗位,專門關注頂級的防御研究,將世界最佳人才吸引到這一公開研究領域。”
谷歌面臨的挑戰比看上去更大。私人資金吸引了世界上很多最出色的黑客,他們在密室里研究,政府和其他機構通過中介,高價購買他們的成果。埃文斯說,如果這類研究不能被公諸于世,人類就要受苦。
自從谷歌零工程正式成立三年后,這支精英黑客小分隊已經號稱是全球最有成效的計算機漏洞終結者。盡管普通的消費者不太可能認識他們當中的任何人,比如詹姆斯·福肖、納塔莉·西爾瓦諾維奇、蓋爾·貝尼亞米尼,但世界欠他們一個感激,是他們保護了我們用來享受數字生活的設備和服務。他們改進了其他公司的很多產品,包括發現和幫助修復了1,000多個操作系統、反病毒軟件、口令管理器、開源代碼庫等軟件的安全漏洞。到目前為止,零工程團隊發布了超過70篇博文,部分文章是現在網上能夠找到的最好的安全研究公開報告。
團隊的工作令谷歌的主業在線廣告間接獲益。保護互聯網用戶免受威脅,也就保護了公司為用戶做廣告提供服務的能力。零工程團隊努力把軟件供應商放在火上烤,迫使它們修復導致谷歌產品崩潰的漏洞。
網絡安全企業家迪諾·戴·佐維說:“它的名字有些奇怪,但它像一條牧羊犬。牧羊犬不是狼,它心地善良,但還是會把羊驅趕成隊伍,把它們帶回羊圈。”佐維曾經是著名的蘋果黑客和Square公司的前移動安全主管。
今年4月,零工程團隊的三名成員前往邁阿密,出席“侵入”安全會議。這一會議只關注黑客攻擊。
在一個靠曬太陽和賽車繁榮的城市,這三位看上去有些不協調。他們是霍克斯、奧曼迪和托瑪斯·杜林(。杜林是德國的安全研究員,零工程團隊成員,人們更熟悉他的黑客名字“哈爾瓦·弗拉克”。他們聚集在豪華酒店楓丹白露的草坪上,在沙沙作響的棕櫚樹下品嘗著莫吉托雞尾酒。這些谷歌員工與幾位其他與會者坐在桌子旁,聊起了時事、最喜歡的科幻故事。他們說,對黑客歷史的記錄做得不夠,這實在是一件很遺憾的事情。
其間,奧曼迪觸碰到了摩根·馬奎斯-布瓦爾放在桌子上的一副范思哲墨鏡。馬奎斯-布瓦爾是前谷歌員工,知名的惡意軟件研究人員,目前擔任eBay創始人彼埃爾·奧米迪亞爾的媒體風投企業First Look Media的安全主管。佛羅里達的太陽已經下山,但奧曼迪把墨鏡放在臉上扮怪相,顯得有點傻。
“侵入”會議的組織者戴夫·艾特爾抽出手機,對他拍照。奧曼迪以雙手擺出重金屬樂迷的“金屬禮”手勢。看看塔維斯·奧曼迪的尊容:在線上,他是一位喜歡爭吵和批評的人,眼里容不得傻瓜;在線下,卻是一位喜歡到處耍寶的、和藹可親的極客。艾特爾曾經在美國國家安全局當過黑客,現在經營一家進攻型黑客技術商店Immunity。
艾特爾說:“對你的吐槽很多。你其實可以不這樣的。”他指的是奧曼迪在催促供應商修復漏洞時必須經歷的令人不爽的吵鬧。面帶頑皮的微笑,艾特爾開玩笑地勸說奧曼迪轉到黑客技術的“陰暗面”,即找到漏洞并出售牟利,而不是報告給受影響的公司,使這些漏洞失效。
奧曼迪沒有理睬艾特爾的提議,笑了笑,然后把墨鏡放回到桌子上。他也許制造了麻煩,但他的目標是純潔的。(奧曼迪允許筆者待在他身邊,但拒絕發表評論。)
盡管有著清白的聲譽,但當高尚思想和復雜的現實世界相抵觸時,零工程團隊也不得不靈活對待。團隊最初奉行嚴格的90天披露期限,如果漏洞“已被積極利用”,則為7天。但是有幾次,團隊搶在有關公司計劃發布更新的日子(比如微軟和它每月定期的“補丁日”)之前做了披露,招致了很多反感。(后來,如果相關公司有現成的補丁,團隊就會在90天期滿后再延長14天。)
凱蒂·穆蘇里表示,零工程的披露政策在科技行業里最為明確。她認為這是一件好事情。很多公司沒有報告漏洞的方針,或是沒有規定研究人員公開披露的方式和時機。有些組織要求的修復軟件的時間甚至更短。來自于卡內基梅隆大學的機構Cert CC對外宣布的期限是45天,只有零工程團隊的一半,但對個案,卻有更大的通融余地。穆蘇里曾經幫助制定微軟的披露政策,現在經營著自己的漏洞懸賞機構Luta Security。
企業若對漏洞反應遲緩,零工程團隊會提出批評,如果采取行動修復漏洞,它同樣很快予以表揚。今年早些時候,奧曼迪發推文說,他和同事納塔莉·西爾瓦諾維奇“發現了近來最厲害的Windows遠程代碼執行”,這意味著,有辦法遠程接管基于Windows的系統。他說:“情況太糟糕。”兩人與微軟合作修補漏洞。奧曼迪隨后又發推文說:“@msftsecurity快速采取行動保護用戶,現在還讓我吃驚,怎么稱贊都不為過。棒極了。”顯然,亡羊補牢永遠為時不晚。
零工程團隊發現漏洞不留情面,也許會讓科技公司感到厭煩,但是它們應該感到欣慰,一些研究人員忍不住想把研究結果出售牟利,而零工程團隊卻能夠自覺抑制這樣的沖動。在黑客技術職業化以來的這些年,零工程披露的漏洞已經有了市場。政府、情報機構、犯罪分子都愿意出高價買下這些漏洞。另一方面,軟件公司越來越多地采取漏洞懸賞計劃,為研究人員花費的時間、精力和利用的專業知識埋單。但是,公司的獎勵永遠比不上黑市能夠提供的報酬。
IBM高管、知名安全大師布魯斯·施奈爾說:“不管谷歌能夠拿出多少獎金,外國政府都會支付更高的報酬。”
在楓丹白露酒店,杜林告訴我,他對黑客技能變得如此搶手感到驚訝。曾經在昏暗地下室里搞的業余愛好如今卻是政府大樓里堂堂正正的職業。
他說:“黑客就跟嘻哈、霹靂舞、滑板或者涂鴉一樣,是20世紀90年代的亞文化。后來軍方覺得有用,就成了現在這樣了。”
據Cloudflare的聯合創始人及首席執行官馬修·普林斯透露,谷歌的頂級漏洞獵手發現的數據外泄一開始讓公司一個月沒有增長。(但他說,這是一時的挫折,Cloudflare在此過程中保持透明度,讓它吸引到了新的業務。)
這次經歷或許讓普林斯感到痛苦,但他并沒有表露出來。他知道,如果公司被真正懷有惡意的黑客盯上了,會是什么樣子。幾年前,一個名叫“UGNazi”的黑客組織入侵了普林斯個人的Gmail賬戶,用它控制了他的公司郵箱,然后劫走了Cloudflare的基礎架構。這些惡棍本來可以造成巨大傷害,但他們只是將一個普通的黑客網站4chan.org重新指向了他們個人的推特檔案,為的是做廣告。
普林斯仍然在后悔,沒有能夠在和谷歌共同發布初期調查結果之前,將這次云出血的完整信息通知客戶。他希望,他的公司能夠在用戶讀到有關數據外泄的新聞報道之前就通知他們。即便如此,普林斯認為,零工程團隊確定的披露時機是正確的。據他所說,沒有用戶發現任何與此次信息泄露相關的重大損失。也沒有像他們一開始擔心的那樣,有密碼、信用卡卡號或醫療記錄被曝光。
普林斯說,為防止類似事件再次發生,Cloudflare實施了新的措施。公司開始檢查所有代碼,并聘請外部測試人員復查。它還制定了更為復雜的系統,用以識別常見的軟件崩潰。軟件崩潰常常表明存在著漏洞。
說到這次數據外泄的發現與后果,普林斯表示:“這14天讓我的頭發更加花白,壽命也要減少一年。但是謝天謝地,是奧曼迪和他的團隊而不是某些瘋狂的黑客發現了這個漏洞。”
當然,普林斯永遠無法排除某些人或組織拿到了泄露數據的副本的可能性。零工程團隊也是這個想法。對團隊的每一位成員來說,這個世界有著數不清的、目的不那么高尚的研究人員在秘密工作。魔鬼就在那里,無論你是否了解。(財富中文網)
譯者:穆淑
谷歌的零工程團隊一夜成名
塔維斯·奧曼迪谷歌研究人員谷歌的零工程黑客團隊成員,在互聯網上搜索問題軟件。
約翰·格雷厄姆-卡明Cloudflare公司首席技術官舊金山一家公司的高管,該公司管理的網絡支持著相當多公司的網上運營。
Luta Security公司首席執行官凱蒂·穆蘇里解釋軟件漏洞經濟
漏洞有兩種市場:攻擊和防御。前者包括民族國家、有組織犯罪團伙和其他攻擊者。后者包括漏洞懸賞計劃和銷售安全產品的公司。攻擊市場支付的價格更高,上不封頂。他們不只購買弱點或攻擊機會,還要購買在不被發現的情況下利用弱點的能力。他們購買的是讓一切靜悄悄地發生。防御市場給不了這么多錢,不能像軟件開發商那樣,給頂級開發人員支付100萬美元年薪。盡管大公司的代碼質量在不斷改善,可代碼也變得越來越復雜,這意味著會出現更多的漏洞。對于某個特定的漏洞,安全研究人員會做些什么,取決于他們的財務需求、他們對某款軟件或供應商的看法和他們面臨的人身風險。黑帽黑客與白帽黑客,不一定分得那么清楚。(財富中文網)
—采訪:Robert Hackett
谷歌的零工程團隊安全:
術語表
漏洞
計算機代碼的意外錯誤。
能夠導致安全問題的漏洞被稱為“弱點”。
零日弱點
人和電腦沒有時間(零日)
修復的弱點。
利用
黑客制作的、利用一個已知弱點的計算機程序。
京公網安備 11010502049343號