欢迎进入亚博网页版登陆人力资源服务股份有限公司官方网站!
新闻动态
聚集人力资源实时动态,发布亚博网页版登陆最新新闻,欢迎您的关注!
公司动态
亚博网页版登陆|揭秘|Google精英黑客团队ProjectZero:守护全世界的安全
发布时间:2021-04-07 00:32
  |  
阅读量:
字号:
A+ A- A
本文摘要:团队打来了电话。最后,他采取了另一个解决办法,通过自己的推特账户寻求帮助。 有人在Cloudflare安全部门工作,你能马上联系我吗?发表的时候是太平洋时间的下午5点。Ormandy没有@Cloudflare公司。他不必要。 因为他在信息安全专家挤满的人气社区有着名的道路,所以在他按下送到键的15分钟内,世界上必须告诉的人和不必告诉的人很多,都能看到他的facebook。伦敦当地时间凌晨1点26分,JohnGraham-Cumming的手机唤醒了他。

亚博网页版登陆

团队打来了电话。最后,他采取了另一个解决办法,通过自己的推特账户寻求帮助。

有人在Cloudflare安全部门工作,你能马上联系我吗?发表的时候是太平洋时间的下午5点。Ormandy没有@Cloudflare公司。他不必要。

因为他在信息安全专家挤满的人气社区有着名的道路,所以在他按下送到键的15分钟内,世界上必须告诉的人和不必告诉的人很多,都能看到他的facebook。伦敦当地时间凌晨1点26分,JohnGraham-Cumming的手机唤醒了他。这位CloudflareCTO烫伤了眼睛,拿着手机。

他没有接到电话。只有几个人打电话给白名单,半夜才能打电话给他。他立即发短信询问再次发生了什么。他的同事立即对此说:有相当严重的安全问题。

他愤怒地跪下恢复了。这位CTO从床上摇晃,冲到楼下,拿走了他打算在这种情况下的装备充电器、耳机和额外的电池。

他启动了电脑,并立即重新加入了与Cloudflare加利福尼亚总部同事一起开展的会议。安全团队向他解释了情况。谷歌的ProjectZero团队在他们的基础设施中发现了错误,发现了相当严重的错误。

他们的协助运营多达600万个客户网站的服务器,没有数据泄露。这些客户还包括FBI、纳斯达克和Reddit。

任何人都可以采访Cloudflare反对的网站,并在某些情况下提供网络上另一个网站用户的窥视tokens、内存和个人信息。这些用户还包括Uber、1Password、OKCupid和Fitbit。Ormandy和Graham-Cumming的信息暴露在眼睛下。

更糟糕的是,搜索引擎和其他网络爬虫工具已经将泄漏的数据存储了大约几个月。封锁泄漏源也几乎解决不了问题。这就像漏油事件,Graham-Cumming说:处理油箱的漏洞很简单,但很多被污染的海床都必须清扫。Cloudflare的工程师忙于工作。

全职兼职美国网络黑客剧《机器人先生》Cloudflare安全性顾问的Marcrogers引领分流工作。在将近一个小时内,团队推出了初始改版程序,阻止了世界性的脆弱性。几个小时后,技术人员顺利完全恢复了错误的功能。Ormandy发布该推文近7小时后,Cloudflare的工程师们试图拒绝主要搜索引擎谷歌、微软公司、雅虎,整理了历史网页。

这是一个小长假的开始。Cloudflare工程师评估了多少数据和哪种类型的数据泄露,以及这件事没有什么影响。

Cloudflare的慢呼吁给谷歌的Project留下了深刻的印象。但是,随着两个团队之间关于泄露内容的日期的谈判积极开展,他们的关系开始僵化。

双方本来继续同意在2月21日星期二发表,但Cloudflare没有履行约定,主张需要更好的时间进行清扫。因此,发表日期从星期二变成星期三,变成了星期四。谷歌无法忍受:Cloudflare是否完成评价,是否保证清除网络内存中的泄漏数据,星期四下午发表泄漏状况。

双方同意2月23日发布。一周的网络混乱也随之而来。第二,即使不是谷歌的Project,Zero的成员也告诉我们信息安全危机在世界范围内越来越激烈。每个公司都成为科技公司,黑客更广。

这些黑客在企业银行账户上偷窃,窥视个人信息,介入议会选举。新闻标题也指出,达到10亿的雅虎账户被破坏。黑客从SWIFT金融网络偷走了数百万美元。2016年美国总统选举前,民主党全国委员会无数个人电子邮件曝光。

据美国身份盗窃资源中心统计,美国公司和政府机关于2016年比2015年再次泄露了40%以上的信息,这只是过激的估算。与此同时,研究组织Ponemon开展的研究表明,目前数据泄露的平均成本上升到360万美元。无论是程序员的错误,还是某个国家的黑客都不相信,数据泄露是新的常态。因此,经营干部们的想法是,在发生代码问题之前,为了避免问题像雪人一样越来越大,代码问题不会更经济。

但事情并不是那么简单。许多公司不把信息安全放在第一位,也不把它作为产品交付前的指标。根据CATechnologies今年年初收购的应用安全性公司Veracode的调查,参加调查的500名IT经理中,83%否认在测试错误和解决问题安全性问题之前发表了代码。

同时,信息安全行业也面临人才短缺。思科公司预计世界上有100万个不足的信息安全岗位。赛门铁克预计到2019年缺口将减至150万个。预计到2021年,这个数字将减少到350万。

即使是富人、志向和声望反对信息安全的公司,也无法防止有缺陷的代码的影响。最差的质量监视程序和灵活的研究开发方法也抓不到错误。许多公司还包括微软公司和苹果在内部安全研究团队调查自己的软件。但是,很少有团队研究其他公司的软件。

这就是谷歌如此罕见的原因。对于Ormandy和ProjectZero的十几个人来说,他们的管辖权是无限的,可以看到互联网的任何地方。审计整个网络空间不仅对人类有益,对企业也有益。三谷歌于2014年月重组ProjectZero,团队起源可追溯到2009年。

面对信息安全问题,许多公司经常意识到面对紧急情况时的严重性。对谷歌来说,那一刻是极光行动。

2009年,与天朝相关的网络间谍集团反击谷歌和其他技术巨头,破坏服务器,盗取科学知识,监视用户。这次反击激怒了谷歌的上层管理者,谷歌最后解散了中国。

这次事件引领谷歌创始人Sergeybrin,特别是后遗症。计算机检测公司和检测人员确认,谷歌的反击不是自己的软件错误,而是通过微软公司IE6的漏洞进行侵略。他想告诉我为什么谷歌的安全性依赖于其他公司的产品。在接下来的几个月里,谷歌开始更大程度地拒绝竞争对手解决问题。

谷歌和同行之间的战斗很快就成了传说故事。Bug猎人TavisOrmandy以其自身进化的解决问题手段,处于这些争端的中心。极光行动公开发表后,Ormandy泄露了几个月前找到的微软公司Windows的漏洞,黑客攻击电脑,有可能中断。

等了七个月的微软,他要求自己解决问题。2010年1月,Ormandy在给信息安全研究同行的全面透露短信中发布了漏洞情况和可能遭遇的反击。

他指出,如果微软公司不及时解决问题,至少要告诉这个问题,制定自己的解决办法。几个月后,他对影响Oracle的Java软件的错误和更大的Windows漏洞采取了完全相同的方法。

后者向微软公司报告5天后。有人指责Ormandy的不道德,声称伤害了安全性。在一篇博客文章中,两位Verizon的信息安全专家自由选择了这些全面透露路线的研究者是神经质脆弱的皮条客。

Ormandy不在乎。2013年,他再次自由选择在Windows发表修理之前发表漏洞。他指出,如果没有学者站出来给他们施加压力,他们就没有紧迫感,不会无限期地处理这些问题,使每个人都处于危险之中。

2014年,谷歌秘密月确认了ProjectZero的团队(这个名字好像有0Day的漏洞,这个术语是信息安全专家几乎没有时间解决问题,不知道安全漏洞)。公司制定了让Chrome前任安全性总监Chris在Evans主持人工作的协议。Evans随后召集谷歌员工和其他人加入团队。

他在瑞士招募了英国系安全研究员IanBeer,他对找到苹果代码的错误有着类似的兴趣,Ormandy因与微软公司的公开发表冲突而闻名于英国大男子的Benthawkes,找到了Adobe的Flash和微软公司Office的bug而闻名于新西兰人的少年Georgehotz成为实习生ProjectZero首次发表的是2014年4月,苹果在最后的文字中称赞谷歌研究者。因为找到了不能让黑客操纵苹果Safari浏览器的软件漏洞。本文感谢谷歌、Project、Zero团队的Ian、Beer。在Twitter上,安全社区对这个秘密集团深感奇怪。

什么是ProjectZero?纽约网络安全顾问Trail,BitsCEO和领导创始人Dan,Guido在引文中问道。美国公民自由联盟CTO,Chris,Soghoian也很奇怪,Apple安全更新日志中感谢神秘谷歌Project的员工。

Dan和Chris的推文ProjectZero逐渐感谢。5月,苹果感谢Beer在OSX系统中发现了一些错误。一个月后,微软公司补丁了错误,感谢ProjectZero的TavisOrmandy。

那时,在关注安全问题的人群中,这个团队是不可或缺的话题。Evans最后要求在公司博客中月份宣布他们不存在。

人们不必担心犯罪和国家赞助商的人利用软件脆弱性病毒感染电脑,偷窃秘密或监视通信状况。他引进了对企业和人权的间谍活动的例子,指出这些是不良的拷问,指出这应该被阻止。

Evans一年后离队重新加入特斯拉,拉,现在兼任漏洞奖金公司HackerOne的顾问。Hawkes现在是ProjectZero的佼佼者。现在,Evans更加慎重地说明了这个团队的起源。

ProjectZero源于多年深刻的午餐时间对话,仔细观察了多年的反击进展。我们期待着专注于顶级信息安全反击研究的工作,世界上最优秀的人才转移到公共研究领域。

这可能是一个相对困难的挑战。私有资金拥有更多世界上最差的黑客,诱使他们秘密工作,政府和其他团队通过经纪人为他们的调查结果支付高额报酬。如果研究不能发表,就不会有人为此而苦恼。

Evans如此指出。自从ZeroProject月球队以来,这个精英黑客队已经成为地球上最有效的计算机漏洞的终结者之一。普通消费者不告诉他们JamesForshaw、NatalieSilvanovich、Galbeniamini。但是,世界没有感谢他们。

因为他们为确保我们的数字设备和服务安全做出了很多贡献。团队还对其他公司产品的一系列改进负责管理,包括寻找和协助修复操作系统、病毒防治软件、密码管理器、源代码库和其他软件千余个安全漏洞。ProjectZero目前已经发布了70多篇关于其工作的博客文章,其中一些文章是目前网上最差的公共安全研究资源。

该团队的工作间接不利于谷歌的主要业务:在线广告。维护互联网用户不受威胁,意味着维护公司为这些用户获得广告的能力。ProjectZero的希望在使供应商陷入困境的同时,也被迫修理谷歌产品崩溃的错误。

网络安全企业家、着名苹果黑客、Square移动安全部门的负责人DinoDaizovi说:这是一个睡觉的名字,但就像牧羊犬。牧羊犬不是狼,仁慈,但也追羊,回到羊圈。4月,ProjectZero的3名成员去迈阿密参加了Infiltrate安全性会议,这次会议几乎关注黑客领域的反击末端。在阳光、沙滩、跑车的城市,黑客队看起来有点不合格。

Hawkes、Ormandy和德国安全研究员Thomas,Dullien(Zero团队的成员,以绰号HalvartFlake为名,在Fontainebleau酒店的草坪上,在棕榈树下喝鸡尾酒。和他们在一起的是谷歌的其他参加者。

这些谷歌员工谈论工作、受欢迎的科幻小说以及如何维持黑客历史。关于Ormandy被迫修理厂家的代码,Dave对Aitel说:人们会给你好脸色。但是,说不必处理这些问题。

Aitel是前NSA黑客,他经营攻击性黑客店Immunity。Aitel甚至像笑话一样,试图说服Ormandy重新加入黑客研究员的黑暗面。也就是说,找到漏洞出售,不是报告给不受影响的公司。

各种设备的脆弱性奖金金额当时Ormandy只是耸耸肩笑。他可能是个真正不难的人,但他的目标是纯粹的。

尽管外部看起来像Project,Zero的前线明确了,但由于其理想与现实世界的复杂性相冲突,团队看起来更加灵活。他们最初规定的是严格的90天公开累计日期,但被大力利用的漏洞只有7天。但是,在多次公司发表改版次发表脆弱性事件后,微软公司习惯于每周二发表补丁,团队受到很多谴责。

因此,90天的期限减少了14天的扩张期,制造商准备了补丁,但还没有公布。KatieMousouris称ProjectZero享有业界最具体的公开政策。她协助微软公司制定了明确的政策,现在经营着自己的漏洞奖金咨询公司Lutasecurity。她指出这是件好事。

很多公司没有如何报告漏洞的指南,也缺乏指导研究者如何及时发表漏洞的政策。有些组织给公司打算修理软件的时间比谷歌少。卡内基梅隆大学的团体CertCC,给予的期限只有45天,但他们不会根据情况进行调整。

ProjectZero团队不会立即赞扬修复错误的公司,也不会严厉批评慢的公司。今年年初,Ormandy在推特上说,他和同事NatalieSilvanovich在内存中找到了最差的Windows远程代码,意味着可以远程控制基于Windows的系统。

他说这个漏洞非常危险。他们俩与微软公司合作修复了这个错误,在附后的引文中赞扬了微软公司的安全部门。

科学技术公司可能害怕Project、Zero的大胆,但他们必须深深地恳求。因为这些黑客不希望杯葛,所以有些研究人员推动研究结果销售的动机。黑客逐渐专业化的近年来,Project、Zero发表的这些错误已经在市场上兴起。

各国政府、情报机构、罪犯都想享受这些漏洞,不想支付高价。幸运的是,软件公司开始了更多的脆弱性奖励计划,使天平不会向故意的一方弯曲。这些报酬补偿了研究者的时间、精力和专业。

但是,奖金金额有一天可能比不上暗市能得到的价格。IBM着名安全主人兼干部BruceSchneier回答说:谷歌为脆弱性的报酬是什么,政府也有更好的报酬。Dullien也对黑客技能的市场需求感到惊讶,多次只是在黑暗的地下室的兴趣,现在成为政府大厅的职业。

这是90年代的亚文化,就像嘻哈、霹雳舞、滑板或涂鸦一样,但是现在的状况,军队觉得很有用。五据Cloudflare,CEO兼任领导创始人MatthewPrince,谷歌顶级安全研究员发现的漏洞,最初他的公司完全失去了一个月的收入。

但是,如果这个经验真的很差的话,他可能会说出来。他自然会告诉你,确实被故意黑客识破是什么感觉。几年前,被命名为UGNazi的黑客组织进入了Prince的个人Gmail账户,控制了企业的邮件账户,强迫Cloudflare的基础结构。这些黑客可能会造成重大损失,但他们只是将4chan.org(黑客社区)的地址新定向到个人推特页面进行宣传。

Prince感到内疚,在谷歌和Cloudflare发表可行性调查结果之前,向客户报告了公司的所有问题。他期待公司在客户读者报道新闻之前,警告客户漏洞。即使如此,他回忆起Project和Zero团队什么时候泄露漏洞是正确的。

据他所知,漏洞发表后,没有找到与之相关的重大损失,密码、信用卡号码和健康记录没有泄露。Prince回答说,Cloudflare已经制定了新的控制措施,以免再次发生这样的事件。

公司开始审查所有代码,采用外部测试人员做某种程度的事情。它还创建了一个更简单的系统,用于识别罕见的软件崩溃,这通常指出没有漏洞。

对于漏洞及其结果,他说幸运的是Tavis和他的团队发现了漏洞,不是可怕的黑客。当然,他也有一天无法避免别人或组织,有可能泄露数据复印件。这也是ProjectZero的观点,对每个团队成员来说,个人工作的其他研究人员数不胜数,他们的目标不高尚。

这就是你所告诉和不告诉的恶魔。关注脆弱性市场的小科学知识:反击和防御有两个脆弱性市场。前者还包括民族国家,一些组织犯罪集团和其他黑客攻击者。

后者还包括漏洞奖励项目和销售安全产品的公司。反击市场价格高,没有下限。

他们不仅销售漏洞,也不销售利用漏洞但检测到的能力。买家非常高调。防御市场的缴纳能力不强,基本上制造商为寻找漏洞的顶级开发者补偿数百万美元。

虽然各大公司的代码质量有所提高,但复杂性仍在大幅度降低,这也意味着更好的错误。安全研究人员对特定漏洞可能采取的行动往往不同于他们的财务市场需求,他们对软件或制造商的主观货币和个人风险偏好。这里不仅仅是非常简单的黑白。

版权文章允许禁止发布。下一篇文章发表了注意事项。


本文关键词:亚博,网页,版,登陆,揭秘,Google,精英,黑客,团队,亚博网页版登陆

本文来源:亚博网页版登陆-www.stampinartfully.com