北京時間7月18日消息,據(jù)國外媒體報道,雖然谷歌Project Zero打著維護所有互聯(lián)網(wǎng)用戶安全、避免其受到網(wǎng)絡(luò)犯罪的威脅的旗號,還是遭到了一些人的蔑視。
“零日漏洞”是目前互聯(lián)網(wǎng)普遍存在的一項威脅。公司將未修補的安全漏洞出售給政府、法律機關(guān)和私人實體企業(yè),旨在幫助他們自我防護,但是這些漏洞檢測代碼(exploit code)在起到防護作用的同時也會對用戶進行攻擊。這些公司稱自己是在幫助這個世界找出安全漏洞,并負責(zé)將它們出售給可信任的對象。
也許是這樣。但是很多人都討厭“零日漏洞”銷售商。因為他們往往不會告訴供應(yīng)商他們發(fā)現(xiàn)的漏洞,大多數(shù)使用受感染的軟件的人仍處于危險之中。受益的只是那些銷售商和他們的客戶。
鑒于谷歌Project Zero能夠搶先發(fā)現(xiàn)漏洞,它的出現(xiàn)很有可能擾亂這一市場。但是只要想到層出不窮的網(wǎng)絡(luò)漏洞,谷歌的修復(fù)力也并沒有那么強大。這也是為何漏洞檢測銷售商VUPEN的CEO兼首席黑客查歐基-貝克拉(Chaouki Bekrar)表示Project Zero不過是谷歌的又一場營銷活動而已。
谷歌沒能弄明白的一點在于消滅一些“零日漏洞”確實能夠讓谷歌的研發(fā)人員和股東感覺良好,但是這并不能消滅“零日漏洞”代碼檢測市場。貝克拉在郵件中表示:“相反,谷歌的行為將會使這一市場更加有利可圖。正規(guī)市場和黑市的‘零日漏洞’要價會增加。之前,合法的‘零日漏洞’銷售商就曾表示他們的漏洞檢測代碼曾售價50萬美元。
安全公司Errata Security的羅伯特-格雷厄姆(Robert Graham)指出谷歌已經(jīng)開始在每種軟件里尋找“零日漏洞”。他表示:“我認為除了谷歌給項目安了一個好聽的名字外,其他沒有什么變化。”
他表示:“谷歌這樣做最大的好處就是,通過團隊之間的緊密聯(lián)系,他們能夠相互學(xué)習(xí),從而比單獨工作時取得更大的成就。通過了解其他產(chǎn)品的生產(chǎn)情報,谷歌能夠提升自己的產(chǎn)品。”
如果貝克拉和格雷厄姆是正確的話,同時Project Zero不會影響“零日漏洞”市場,漏洞的價格會上升,那么漏洞經(jīng)銷商們也很有可能獲利。這種情況簡直是有悖常理。