《財富》（中文版）——今年2月一個周五的下午，大師級的安全研究員塔維斯·奧曼迪正在位于山景城谷歌公司總部里的辦公桌旁執(zhí)行一些日常的“模糊測試”。這是一種普通的軟件代碼測試技術(shù)，即以隨機數(shù)據(jù)轟擊軟件，讓缺陷暴露出來。奧曼迪留著棕色的平頭，臉上現(xiàn)出不安的微笑。他突然發(fā)現(xiàn)，數(shù)據(jù)集里有些東西不對勁。他覺得奇怪。這不是普通的被污染的數(shù)據(jù)。他看到的，不是預(yù)期的結(jié)果，而是一些異常現(xiàn)象，大塊大塊的內(nèi)存被奇怪地占據(jù)。因此，他進行了更深的挖掘。

在收集到了足夠的信息后，奧曼迪叫他的安全研究員同伴過來，讓他們站成一圈，分享了他的發(fā)現(xiàn)。谷歌的這支團隊名叫“零工程”。該團隊很快意識到他們發(fā)現(xiàn)了什么：大范圍的數(shù)據(jù)泄露，來自于舊金山一家名叫Cloudflare的公司。在多數(shù)時間里，這家公司的內(nèi)容發(fā)送網(wǎng)絡(luò)在毫無差錯地處理著全球?qū)⒔种坏幕ヂ?lián)網(wǎng)流量。但是，奧曼迪發(fā)現(xiàn)，該公司的服務(wù)器在向全網(wǎng)散發(fā)個人的私密數(shù)據(jù)。這些信息已經(jīng)被泄漏了長達數(shù)月。

奧曼迪不認識Cloudflare公司的人，他在猶豫，周末馬上到來，要不要給Cloudflare的在線支持人員打這么一個陌生電話。于是，他想出了第二佳的做法：登錄推特，向他的數(shù)萬名粉絲發(fā)出請求：

Cloudflare的安全部門的人，能不能緊急聯(lián)系我一下？

時間是美國太平洋時間下午的5點11分。

奧曼迪懶得通過“@名字”的方式來提醒某公司的推特賬號，他沒有必要這么做。他在信息安全專業(yè)人員中間名望很高。在他發(fā)送推文后不到15分鐘，需要知道這條信息的所有人（當然還有很多不需要知道的人）就都看到了。

在當?shù)貢r間凌晨1點26分，倫敦。約翰·格雷厄姆-卡明被床邊的電話鈴聲吵醒。Cloudflare的首席技術(shù)官揉了揉眼睛，努力去抓響個不停的電話。沒有接到來電。打電話的，是他的一位同事—這是少數(shù)格雷厄姆-卡明允許在半夜給他打電話的人之一。他發(fā)了一條短信，問發(fā)生了什么事情。

同事立刻給他回了短信：非常嚴重的安全問題。格雷厄姆-卡明坐了起來，驚慌地回復(fù)：我馬上就上網(wǎng)。

首席技術(shù)官起床，下樓到地下室，抓起一個“急救包”，這是他為出現(xiàn)這類情況而準備的，里面有充電器、耳機和幾塊電池。他啟動了自己的筆記本電腦，快速進入與Cloudflare加利福尼亞總部同事共有的谷歌環(huán)聊群。

安全團隊向他簡要匯報了形勢。谷歌的零工程團隊在Cloudflare的基礎(chǔ)架構(gòu)里發(fā)現(xiàn)了一個漏洞，一個嚴重的漏洞。運行著包括美國聯(lián)邦調(diào)查局、納斯達克、Reddit在內(nèi)的超過600萬家網(wǎng)站的服務(wù)器出現(xiàn)了數(shù)據(jù)泄漏，任何人都能夠進入Cloudflare支持的網(wǎng)站，在一定的環(huán)境下獲取Cloudflare網(wǎng)絡(luò)中另一家網(wǎng)站的用戶私密信息，包括認證口令牌、信息記錄程序、私人短信等。Uber、1Password、OKCupid、Fitbit等公司的網(wǎng)站都在其中。

這些私密信息已經(jīng)可以一覽無余。更加糟糕的是，它們還會在搜索引擎和其他網(wǎng)絡(luò)爬蟲軟件的緩存中保存數(shù)月。堵住漏洞并不能夠徹底解決問題。

格雷厄姆-卡明說：“我將這比作石油泄漏。油輪身上的漏洞容易處理，但是你還有很多海床要清理。”

因此，Cloudflare的工程師不得不行動起來。安全主管馬克·羅杰斯領(lǐng)導(dǎo)了這次善后行動。羅杰斯在業(yè)余時間擔任了美國有線廣播網(wǎng)的電視劇《黑客軍團》的顧問。不到一個小時，安全團隊拿出了初步的緩解措施，通過更新程序，堵住了全球各地的漏洞。數(shù)小時后，技術(shù)人員成功地停止了導(dǎo)致錯誤的功能。在奧曼迪發(fā)出那條推文后將近7小時，Cloudflare的工程師成功地讓谷歌、微軟、雅虎等幾大搜索引擎清除了網(wǎng)頁緩存。

漫長的周末才剛剛開始。Cloudflare的工程師在余下的大部分時間里評估被泄露的數(shù)據(jù)量和類型，以及擴散情況。

Cloudflare以在安全問題上透明而著稱，谷歌的零工程團隊起初對Cloudflare安全團隊的快速反應(yīng)印象深刻。但是，在協(xié)商如何公開披露被泄露的數(shù)據(jù)時，兩支團隊發(fā)生了爭吵。雙方暫定，最早于2月21日星期二那天發(fā)表聲明。到在那天快要過去的時候，Cloudflare表示，它需要更多的時間做清理。時間從星期二改到星期三，又從星期三改到星期四。到了此時，谷歌不再動搖：雙方必須在星期四下午公布數(shù)據(jù)外泄細節(jié)，無論Cloudflare是否完成評估，是否確定外泄數(shù)據(jù)已經(jīng)從網(wǎng)頁緩存中刪除。奧曼迪稱這次事件為“云出血”。

兩家公司在2月23日做了披露。隨之而來的，是互聯(lián)網(wǎng)上出現(xiàn)了持續(xù)一周的恐慌。

不用加入谷歌的零工程團隊，你也能夠知道，世界各地的網(wǎng)絡(luò)安全危機越來越嚴重。每家公司都成了科技公司，黑客事件越來越普遍，公司銀行賬戶的資金流失，個人信息被偷窺，選舉遭人干涉。一些頭條新聞令人震驚：超過10億個雅虎賬戶存在入侵風險；數(shù)千萬美元通過環(huán)球同業(yè)銀行金融電訊協(xié)會金融網(wǎng)絡(luò)被盜走；無數(shù)來自于民主黨全國委員會的私人郵件在2016年美國總統(tǒng)大選期間被曝光。

據(jù)身份盜竊資源中心稱，美國公司和政府機構(gòu)在2016年報告的數(shù)據(jù)外泄事件比2015年多出了40%，這還是一個保守的估計。與此同時，由IBM公司資助、研究集團Ponemon研究所進行的一項研究顯示，現(xiàn)在每次外泄給組織制造的平均費用達到了360萬美元。

不管是程序員的失誤，還是為某國效力的黑客造成的，數(shù)據(jù)外泄如今成為了新常態(tài)。企業(yè)高管已經(jīng)達成共識，一旦編代碼出現(xiàn)問題，較為經(jīng)濟的做法是將它扼殺在萌芽狀態(tài)，不要讓它在未來變得更加嚴重或是制造混亂。

但事情沒有那么簡單。太多的企業(yè)要么不重視安全問題，要么把它看作是開發(fā)和按時交付產(chǎn)品的障礙。CA Technologies在今年早些時候收購的應(yīng)用安全企業(yè)Veracode稱，它調(diào)查了500位IT經(jīng)理，83%的人承認，在發(fā)布代碼之前沒有進行漏洞檢測或解決安全問題。與此同時，安全行業(yè)面臨著人才短缺問題。思科估計，全球安全職位缺口達100萬。賽門鐵克公司預(yù)計，到2019年，缺口將達150萬。一些人估計，到2021年，缺口將達350萬。

即便一家企業(yè)有維持一支安全團隊的資金、計劃和名聲，也不能夠杜絕發(fā)送有缺陷的代碼。最好的質(zhì)量保證流程和靈活的開發(fā)實踐也不可能捕捉到每一個漏洞。

所以，包括微軟、蘋果在內(nèi)的眾多企業(yè)擁有內(nèi)部安全研究團隊，自查本公司的軟件。但很少有團隊重視其他公司的軟件。這讓谷歌變得與眾不同。奧曼迪等10多位王牌電腦破解者組成了谷歌的零工程團隊，他們的管轄沒有邊界，任何東西只要觸網(wǎng)，都在他們的關(guān)注范圍之內(nèi)。給網(wǎng)絡(luò)空間配備警察，不僅對個人有好處，對于企業(yè)來說也是好事。

谷歌于2014年正式組建了零工程團隊，但是這個團隊的起源還要再向前追溯5年。大多數(shù)公司開始正視安全問題，通常是在遭遇一起緊急事件之后。對于谷歌，那個事件就是極光行動。

2009年，某網(wǎng)絡(luò)間諜組織入侵了谷歌等科技巨頭，突破了它們的服務(wù)器，竊取知識產(chǎn)權(quán)，并試圖監(jiān)視它們的用戶。這次劫掠惹怒了谷歌的高管。

這一事件尤其驚動了谷歌的聯(lián)合創(chuàng)始人謝爾蓋·布林。計算機取證機構(gòu)和調(diào)查人員認定，公司被黑，不是因為谷歌自己的軟件出了任何問題，而是因為微軟的Internet Explorer 6瀏覽器的一個未修補漏洞造成的。他不明白，為什么谷歌的安全要依賴于其他公司的產(chǎn)品？

隨后幾個月，谷歌越來越強烈地要求競爭對手修復(fù)其軟件代碼中的漏洞。谷歌和同行業(yè)公司的爭斗很快成為了坊間談資。處于其中幾場爭斗中心的，不是別人，正是漏洞獵手塔維斯·奧曼迪。他因為以強硬方式修復(fù)漏洞而出名。（奧曼迪拒絕為本文發(fā)表評論。）

例如，在極光行動公開后不久，奧曼迪披露了他幾個月前在微軟的Windows操作系統(tǒng)中發(fā)現(xiàn)的一個漏洞，攻擊者可以利用它操縱他人的電腦。奧曼迪等了7個月，仍未看到微軟發(fā)布補丁，于是他決定親自出馬。2010年1月，奧曼迪在一個“全面披露”的郵件列表中發(fā)布了這個漏洞的詳細信息，安全研究人員通過這個列表告知同行軟件的新弱點和攻擊方法。他的想法是：如果微軟不打算按時解決問題，外人至少可以了解情況，他們可以制定自己的解決方案。幾個月后，他對影響到甲骨文公司的Java軟件的一個漏洞以及另一個Windows的重大缺陷做了同樣的事情。他在向微軟報告這個缺陷5天后就采取了行動。

有些人對這樣的做法不滿意，他們譴責了奧曼迪的行動，聲稱這給他人的安全造成了危害。（蘋果、微軟和甲骨文不愿就此事發(fā)表評論。）在一篇公司博文中，威瑞森的兩位安全專家批評選擇全面披露的研究員“自戀，強行給軟件弱點拉皮條”。奧曼迪不理會這些炮轟。2013年，他再次在微軟修復(fù)一個Windows漏洞之前就將之公開。他的理由是，研究人員不威脅公開，公司就幾乎沒有按時修復(fù)缺陷的壓力，它們會一直讓缺陷存在下去，讓所有人面臨風險。

2014年，谷歌悄然開始正式組建零工程團隊。[團隊的名稱暗指“零日”弱點，專業(yè)安全人員用這個術(shù)語來描述從前不知道的、公司沒有時間（也就是“零日”）準備應(yīng)對的安全漏洞。]公司制定了一套協(xié)議，讓前Chrome瀏覽器的安全主管克里斯·埃文斯（Chris Evans，和扮演美國隊長的同名演員沒有關(guān)系）負總責。埃文斯隨后招募了谷歌員工和其他人員加入團隊。

埃文斯簽下了伊恩·比爾，他是英國人，在瑞士從事安全研究員工作，對尋找蘋果的代碼錯誤表現(xiàn)出強烈的興趣；他引入了奧曼迪，來自于英國的大塊頭，因為與微軟的高調(diào)沖突而成名；他還招募了新西蘭人本·霍克斯，人們都知道其曾經(jīng)解決Adobe Flash和微軟Office辦公軟件的漏洞；他還請來了少年老成的喬治·霍茨做實習生。霍茨在當年早些時候的一次黑客競賽中攻破了谷歌的Chrome瀏覽器，獲得了15萬美元獎金。（《財富》雜志多次請求零工程團隊的成員就本文接受采訪，均遭拒絕。）

零工程團隊成立的第一個跡象出現(xiàn)在2014年4月，蘋果在一封短信中，指出谷歌的一位研究人員發(fā)現(xiàn)了一個漏洞。有這個漏洞，黑客可以控制運行蘋果Safari網(wǎng)頁瀏覽器的軟件。短信對“谷歌零工程的伊恩·比爾”表示感謝。

在推特上，信息安全界對這個秘密團隊大感驚奇。位于紐約的網(wǎng)絡(luò)安全顧問公司Trail of Bits的聯(lián)合創(chuàng)始人及首席執(zhí)行官丹·吉多在2014年4月24日發(fā)推文問道：“谷歌零工程是什么？”時任美國公民自由聯(lián)盟的首席技術(shù)員克里斯·索格伊安強調(diào)：“最新蘋果安全日志感謝了神秘的‘谷歌零工程’的員工。”

更多的功績很快出現(xiàn)。5月，蘋果將OS X操作系統(tǒng)幾個漏洞的發(fā)現(xiàn)歸功于比爾。在一個月后，微軟修復(fù)了一個有可能破壞其惡意軟件保護能力的漏洞，特別指出“谷歌零工程的塔維斯·奧曼迪”在一份報告中提供了幫助。

到那時，該團隊已經(jīng)在研究安全問題的人當中引起了不小的反響。埃文斯終于在公司網(wǎng)站的一篇博文中正式確認了團隊的存在。他寫道：“我們在使用網(wǎng)絡(luò)時，不應(yīng)該擔心犯罪分子或一國支持的攻擊者利用軟件漏洞，感染電腦，盜取機密或是監(jiān)視你的通信。”他提出，網(wǎng)絡(luò)間諜活動“必須停止”。

一年前，埃文斯離開了團隊，加盟特斯拉公司，目前在漏洞懸賞新創(chuàng)企業(yè)HackerOne擔任顧問。（零工程當前的主管是霍克斯）如今，說到團隊的起源，埃文斯更加謹慎。他說：“多年午餐時間的對話，對攻擊演化的多年觀察，為零工程的成立奠定了基礎(chǔ)。我們想設(shè)立幾個崗位，專門關(guān)注頂級的防御研究，將世界最佳人才吸引到這一公開研究領(lǐng)域。”

谷歌面臨的挑戰(zhàn)比看上去更大。私人資金吸引了世界上很多最出色的黑客，他們在密室里研究，政府和其他機構(gòu)通過中介，高價購買他們的成果。埃文斯說，如果這類研究不能被公諸于世，人類就要受苦。

自從谷歌零工程正式成立三年后，這支精英黑客小分隊已經(jīng)號稱是全球最有成效的計算機漏洞終結(jié)者。盡管普通的消費者不太可能認識他們當中的任何人，比如詹姆斯·福肖、納塔莉·西爾瓦諾維奇、蓋爾·貝尼亞米尼，但世界欠他們一個感激，是他們保護了我們用來享受數(shù)字生活的設(shè)備和服務(wù)。他們改進了其他公司的很多產(chǎn)品，包括發(fā)現(xiàn)和幫助修復(fù)了1,000多個操作系統(tǒng)、反病毒軟件、口令管理器、開源代碼庫等軟件的安全漏洞。到目前為止，零工程團隊發(fā)布了超過70篇博文，部分文章是現(xiàn)在網(wǎng)上能夠找到的最好的安全研究公開報告。

團隊的工作令谷歌的主業(yè)在線廣告間接獲益。保護互聯(lián)網(wǎng)用戶免受威脅，也就保護了公司為用戶做廣告提供服務(wù)的能力。零工程團隊努力把軟件供應(yīng)商放在火上烤，迫使它們修復(fù)導(dǎo)致谷歌產(chǎn)品崩潰的漏洞。

網(wǎng)絡(luò)安全企業(yè)家迪諾·戴·佐維說：“它的名字有些奇怪，但它像一條牧羊犬。牧羊犬不是狼，它心地善良，但還是會把羊驅(qū)趕成隊伍，把它們帶回羊圈。”佐維曾經(jīng)是著名的蘋果黑客和Square公司的前移動安全主管。

今年4月，零工程團隊的三名成員前往邁阿密，出席“侵入”安全會議。這一會議只關(guān)注黑客攻擊。

在一個靠曬太陽和賽車繁榮的城市，這三位看上去有些不協(xié)調(diào)。他們是霍克斯、奧曼迪和托瑪斯·杜林（。杜林是德國的安全研究員，零工程團隊成員，人們更熟悉他的黑客名字“哈爾瓦·弗拉克”。他們聚集在豪華酒店楓丹白露的草坪上，在沙沙作響的棕櫚樹下品嘗著莫吉托雞尾酒。這些谷歌員工與幾位其他與會者坐在桌子旁，聊起了時事、最喜歡的科幻故事。他們說，對黑客歷史的記錄做得不夠，這實在是一件很遺憾的事情。

其間，奧曼迪觸碰到了摩根·馬奎斯-布瓦爾放在桌子上的一副范思哲墨鏡。馬奎斯-布瓦爾是前谷歌員工，知名的惡意軟件研究人員，目前擔任eBay創(chuàng)始人彼埃爾·奧米迪亞爾的媒體風投企業(yè)First Look Media的安全主管。佛羅里達的太陽已經(jīng)下山，但奧曼迪把墨鏡放在臉上扮怪相，顯得有點傻。

“侵入”會議的組織者戴夫·艾特爾抽出手機，對他拍照。奧曼迪以雙手擺出重金屬樂迷的“金屬禮”手勢。看看塔維斯·奧曼迪的尊容：在線上，他是一位喜歡爭吵和批評的人，眼里容不得傻瓜；在線下，卻是一位喜歡到處耍寶的、和藹可親的極客。艾特爾曾經(jīng)在美國國家安全局當過黑客，現(xiàn)在經(jīng)營一家進攻型黑客技術(shù)商店Immunity。

艾特爾說：“對你的吐槽很多。你其實可以不這樣的。”他指的是奧曼迪在催促供應(yīng)商修復(fù)漏洞時必須經(jīng)歷的令人不爽的吵鬧。面帶頑皮的微笑，艾特爾開玩笑地勸說奧曼迪轉(zhuǎn)到黑客技術(shù)的“陰暗面”，即找到漏洞并出售牟利，而不是報告給受影響的公司，使這些漏洞失效。

奧曼迪沒有理睬艾特爾的提議，笑了笑，然后把墨鏡放回到桌子上。他也許制造了麻煩，但他的目標是純潔的。（奧曼迪允許筆者待在他身邊，但拒絕發(fā)表評論。）

盡管有著清白的聲譽，但當高尚思想和復(fù)雜的現(xiàn)實世界相抵觸時，零工程團隊也不得不靈活對待。團隊最初奉行嚴格的90天披露期限，如果漏洞“已被積極利用”，則為7天。但是有幾次，團隊搶在有關(guān)公司計劃發(fā)布更新的日子（比如微軟和它每月定期的“補丁日”）之前做了披露，招致了很多反感。（后來，如果相關(guān)公司有現(xiàn)成的補丁，團隊就會在90天期滿后再延長14天。）

凱蒂·穆蘇里表示，零工程的披露政策在科技行業(yè)里最為明確。她認為這是一件好事情。很多公司沒有報告漏洞的方針，或是沒有規(guī)定研究人員公開披露的方式和時機。有些組織要求的修復(fù)軟件的時間甚至更短。來自于卡內(nèi)基梅隆大學的機構(gòu)Cert CC對外宣布的期限是45天，只有零工程團隊的一半，但對個案，卻有更大的通融余地。穆蘇里曾經(jīng)幫助制定微軟的披露政策，現(xiàn)在經(jīng)營著自己的漏洞懸賞機構(gòu)Luta Security。

企業(yè)若對漏洞反應(yīng)遲緩，零工程團隊會提出批評，如果采取行動修復(fù)漏洞，它同樣很快予以表揚。今年早些時候，奧曼迪發(fā)推文說，他和同事納塔莉·西爾瓦諾維奇“發(fā)現(xiàn)了近來最厲害的Windows遠程代碼執(zhí)行”，這意味著，有辦法遠程接管基于Windows的系統(tǒng)。他說：“情況太糟糕。”兩人與微軟合作修補漏洞。奧曼迪隨后又發(fā)推文說：“@msftsecurity快速采取行動保護用戶，現(xiàn)在還讓我吃驚，怎么稱贊都不為過。棒極了。”顯然，亡羊補牢永遠為時不晚。

零工程團隊發(fā)現(xiàn)漏洞不留情面，也許會讓科技公司感到厭煩，但是它們應(yīng)該感到欣慰，一些研究人員忍不住想把研究結(jié)果出售牟利，而零工程團隊卻能夠自覺抑制這樣的沖動。在黑客技術(shù)職業(yè)化以來的這些年，零工程披露的漏洞已經(jīng)有了市場。政府、情報機構(gòu)、犯罪分子都愿意出高價買下這些漏洞。另一方面，軟件公司越來越多地采取漏洞懸賞計劃，為研究人員花費的時間、精力和利用的專業(yè)知識埋單。但是，公司的獎勵永遠比不上黑市能夠提供的報酬。

IBM高管、知名安全大師布魯斯·施奈爾說：“不管谷歌能夠拿出多少獎金，外國政府都會支付更高的報酬。”

在楓丹白露酒店，杜林告訴我，他對黑客技能變得如此搶手感到驚訝。曾經(jīng)在昏暗地下室里搞的業(yè)余愛好如今卻是政府大樓里堂堂正正的職業(yè)。

他說：“黑客就跟嘻哈、霹靂舞、滑板或者涂鴉一樣，是20世紀90年代的亞文化。后來軍方覺得有用，就成了現(xiàn)在這樣了。”

據(jù)Cloudflare的聯(lián)合創(chuàng)始人及首席執(zhí)行官馬修·普林斯透露，谷歌的頂級漏洞獵手發(fā)現(xiàn)的數(shù)據(jù)外泄一開始讓公司一個月沒有增長。（但他說，這是一時的挫折，Cloudflare在此過程中保持透明度，讓它吸引到了新的業(yè)務(wù)。）

這次經(jīng)歷或許讓普林斯感到痛苦，但他并沒有表露出來。他知道，如果公司被真正懷有惡意的黑客盯上了，會是什么樣子。幾年前，一個名叫“UGNazi”的黑客組織入侵了普林斯個人的Gmail賬戶，用它控制了他的公司郵箱，然后劫走了Cloudflare的基礎(chǔ)架構(gòu)。這些惡棍本來可以造成巨大傷害，但他們只是將一個普通的黑客網(wǎng)站4chan.org重新指向了他們個人的推特檔案，為的是做廣告。

普林斯仍然在后悔，沒有能夠在和谷歌共同發(fā)布初期調(diào)查結(jié)果之前，將這次云出血的完整信息通知客戶。他希望，他的公司能夠在用戶讀到有關(guān)數(shù)據(jù)外泄的新聞報道之前就通知他們。即便如此，普林斯認為，零工程團隊確定的披露時機是正確的。據(jù)他所說，沒有用戶發(fā)現(xiàn)任何與此次信息泄露相關(guān)的重大損失。也沒有像他們一開始擔心的那樣，有密碼、信用卡卡號或醫(yī)療記錄被曝光。

普林斯說，為防止類似事件再次發(fā)生，Cloudflare實施了新的措施。公司開始檢查所有代碼，并聘請外部測試人員復(fù)查。它還制定了更為復(fù)雜的系統(tǒng)，用以識別常見的軟件崩潰。軟件崩潰常常表明存在著漏洞。

說到這次數(shù)據(jù)外泄的發(fā)現(xiàn)與后果，普林斯表示：“這14天讓我的頭發(fā)更加花白，壽命也要減少一年。但是謝天謝地，是奧曼迪和他的團隊而不是某些瘋狂的黑客發(fā)現(xiàn)了這個漏洞。”

當然，普林斯永遠無法排除某些人或組織拿到了泄露數(shù)據(jù)的副本的可能性。零工程團隊也是這個想法。對團隊的每一位成員來說，這個世界有著數(shù)不清的、目的不那么高尚的研究人員在秘密工作。魔鬼就在那里，無論你是否了解。（財富中文網(wǎng)）

譯者：穆淑

谷歌的零工程團隊一夜成名

塔維斯·奧曼迪谷歌研究人員谷歌的零工程黑客團隊成員，在互聯(lián)網(wǎng)上搜索問題軟件。

約翰·格雷厄姆-卡明Cloudflare公司首席技術(shù)官舊金山一家公司的高管，該公司管理的網(wǎng)絡(luò)支持著相當多公司的網(wǎng)上運營。

Luta Security公司首席執(zhí)行官凱蒂·穆蘇里解釋軟件漏洞經(jīng)濟

漏洞有兩種市場：攻擊和防御。前者包括民族國家、有組織犯罪團伙和其他攻擊者。后者包括漏洞懸賞計劃和銷售安全產(chǎn)品的公司。攻擊市場支付的價格更高，上不封頂。他們不只購買弱點或攻擊機會，還要購買在不被發(fā)現(xiàn)的情況下利用弱點的能力。他們購買的是讓一切靜悄悄地發(fā)生。防御市場給不了這么多錢，不能像軟件開發(fā)商那樣，給頂級開發(fā)人員支付100萬美元年薪。盡管大公司的代碼質(zhì)量在不斷改善，可代碼也變得越來越復(fù)雜，這意味著會出現(xiàn)更多的漏洞。對于某個特定的漏洞，安全研究人員會做些什么，取決于他們的財務(wù)需求、他們對某款軟件或供應(yīng)商的看法和他們面臨的人身風險。黑帽黑客與白帽黑客，不一定分得那么清楚。（財富中文網(wǎng)）

—采訪：Robert Hackett

谷歌的零工程團隊安全：

術(shù)語表

漏洞

計算機代碼的意外錯誤。

能夠?qū)е掳踩珕栴}的漏洞被稱為“弱點”。

零日弱點

人和電腦沒有時間（零日）

修復(fù)的弱點。

利用

黑客制作的、利用一個已知弱點的計算機程序。