封堵理念 据 前谷歌安全研究人员摩根-马奎斯-鲍伊尔(Morgan Marquis Boire)透露,“Project Zero”团队背后理念的成型还要追溯到2010年他与埃文斯的一次深夜会谈。在当时的凌晨4点左右,两人正在探讨谷歌之外软件所存在的缺陷以及这些缺陷 会对谷歌用户造成的影响。 “对于许多在编写安全软件时需要用到第三方的代码的人们来说,这样的情况令人感到十分沮丧,因为黑客始终可以攻击你最薄弱的位置。这就好像你穿着一身和服在骑摩托车一样,即便戴着头盔恐怕也无法保证安全。”鲍伊尔说道。 因 此,谷歌便希望通过“Project Zero”团队成员的智慧找到存在于其他公司产品之中的漏洞。在找到漏洞后,该团队首先会对该软件开发商发出警告,然后给对方60-90天的时间来修补漏 洞,之后谷歌便会在“Project Zero”的官方博客上公布这一漏洞。谷歌表示,为了避免这些漏洞被黑客利用,谷歌通常会向软件开发商施压,并催促其尽量在7天时间内对漏洞进行修复。 “花费太长时间,或者对出现的漏洞无所作为是令人无法接受的行为。”埃文斯说道。 当 然,“Project Zero”团队能否完全消除互联网的安全隐患目前我们还不得而知。但团队成员之一的本-霍克斯表示,“Project Zero”团队其实并不需要亲自处理每一个零日漏洞,而是会根据漏洞的影响范围来有选择的进行介入。这主要是因为如今黑客所利用的安全漏洞通常都不是独立 存在的,而是需要配合其他一系列漏洞才能成功攻克计算机的自身防线。所以,“Project Zero”通常只需要封堵其中一个漏洞便可以使黑客的整个入侵计划失效。 “我们将在这一领域留下自己的印记,而现在也恰恰是彻底封堵零日漏洞的最好时机。”埃文斯最后说道。 |
