Google宣佈Project Zero計畫,並公開招兵買馬,要成立一個專門獵捕網路及軟體漏洞的團隊。
Google研究中心人員Chris Evans解釋這個小組成立的動機指出,過去一些有心的Googlers會使用自己的閒暇時間研究網路安全,像Heaetbleed臭蟲也是這樣被發現的。過去Googlers們業餘研究的成功,讓他們想要成立一個真正的強大團隊,也就是Project Zero。這個團隊將網羅最優秀的資安人才,百分百專注於改進網際網路的安全。
他進一步表示,使用者應該能安心上網,不用害怕罪犯或國家支持的駭客入侵軟體漏洞,感染電腦,竊取機密或監視使用者的通訊。然而一些高明的攻擊利用零時差漏洞鎖定人權運動人士或從事產業間諜行為。這些行為必須遏止,因此Google認為,要解決這個問題,還有許多待努力的地方。Evans指出,這個團隊的宗旨即是大幅降低精準攻擊的受害者人數。
Wired 報導,Google已找到的Project Zero成員包括曾發現Adobe及Microsoft Office中多個臭蟲的紐西蘭高手Ben Hawkes及英國的高手Tavis Ormandy、以及成功駭進Google Chrome OS的George Hotz等,但Google仍持續為Project Zero向安全人員招手。
這個小組的抓蟲任務並不限於Google自家產品,而是任何使用者眾多的軟體。研究人員除了找出並通報漏洞、了解攻擊者使用的技巧、目標及動機外,也會進行災難控制、攻擊,及程式分析的新研究。此外,Google也會把發現到的漏洞或瑕疵登錄到外部資料庫,不過只有軟體原廠會獲得通報,而不透露給第三方。Google安全人員會蒐集與攻擊相關的任何討論、過去攻擊紀錄,及造成的災情紀錄等,並將漏洞報告寄給廠商,並協助他們在合理時間內完成修補。軟體一旦漏洞資訊公開,Project Zero的小組成員也將觀察廠商修補漏洞的效率。
四月間造成全球網站恐慌的HeartBleed即為一種零時差漏洞,而當時找出這項漏洞的之一Neel Mehta也是Google安全研究人員。此外,二月間iOS 7及Mac OS出現重大SSL漏洞,也是由Google加密專家Adam Langely率先發現。(編譯/林妍溱)
熱門新聞
2024-04-17
2024-04-17
2024-04-15
2024-04-15
2024-04-15
2024-04-15