美国知名科技媒体《连线》长期撰稿人安迪-格林伯格(Andy Greenberg)日前撰文对谷歌内部的秘密安全团队“Project Zero”进行了详细披露。格林伯格表示,这支团队的成员几乎都是全球顶级的互联网黑客,而这一团队的建立宗旨就是打击全球黑客,并让用户可以更加惬意的享受互联网生活,同时可以放心的点击广告。
以下是文章梗概:
当乔治-霍兹(George Hotz)在2007年8月成功解锁iPhone,使得当时的iPhone可以不仅仅局限于AT&T网络,同时也支持其他GSM网络的时候,包括AT&T和苹果在内的几乎所有企业都在有意无意的忽视霍兹的存在,而只是专注于修复他所发现的设备、系统漏统。
之后,霍兹在博客中表示自己花费了整整5周时间,巧妙运用了一些简单的硬件改动和较复杂的软件方法得到了PS3系统全部内存的读写权限和处理器的高级控制权限。换句话说,他已经完全破解了PS3系统。对此,索尼公司的做法则是将其正式起诉至法庭,并最终在霍兹承诺不再破解任何一款索尼产品的前提下达成和解。
今年早些时候,当霍兹成功找到谷歌Chrome操作系统中漏洞的时候,谷歌非但没有对他提起诉讼,反而给予了前者15万美元的奖励。两个月后,霍茨收到了一封来自谷歌安全工程师克里斯-埃文斯(Chris Evans)的Offer邮件,后者邀请他加入谷歌旗下的互联网安全精英团队,该团队的主要职责就是找到存在于互联网各个角落之中的安全漏洞。
超级黑客团队
日前,谷歌首次正式对外介绍了自己互联网安全项目“Project Zero”的主要情况。据悉,该团队主要由谷歌内部顶尖安全工程师组成,而他们的唯一使命就是发现、跟踪和修补这些全球性的软件安全漏洞。同时,“Project Zero”所处理的安全漏洞通常都属于“零日漏洞”范畴,网络黑客或者政府有组织的黑客团队可以利用这些漏洞展开网络监听等操作。
谷歌表示,“Project Zero”团队并不仅限于在谷歌自有的产品中寻找系统安全漏洞,因为他们也会在任何软件产品上寻找漏洞。在发现了某个漏洞后,该团队会对其进行曝光,并通过这种方式来鼓励相关公司与谷歌联手对付黑客。
“人们理应在无需担忧安全漏洞或者隐私泄露的情况下享用互联网,而我们团队则会关注于找出那些高价值的安全漏洞,并将其彻底消除。” Project Zero负责人、曾负责过谷歌Chrome安全团队的埃文斯说道。
消息指出,“Project Zero”目前已经从谷歌内部抽调了一些精英人员而组建起了自己的黑客“梦之队”。比如,曾在2013年发现存在于Adobe Flash及微软Office中大量漏洞的新西兰人本-霍克斯(Ben Hawkes)、英国知名“零日漏洞查杀”专家塔维斯-奥曼迪(Tavis Ormandy)、成功破解谷歌Chrome操作系统的乔治-霍兹以及曾经发现了苹果iOS、OSX和Safari浏览器多个漏洞的神秘瑞士黑客布雷特-伊恩-贝尔(Brit Ian Beer)都是这一团队的成员。
据埃文斯透露,目前这一团队的招聘工作仍然在继续,并计划召集到10名以上的全职互联网安全研究人员。他们大多数都可以不在谷歌总部办公室办公,并使用专业的漏洞查找工具对目标软件进行扫描,从而发现有可能包含有漏洞的系统、软件设计。
动机何在
那么,谷歌“Project Zero”团队的建设目的究竟是为了什么呢?对此,埃文斯表示,谷歌希望通过这一项目把互联网变得更加安全,并可以通过提供更加自由的工作条件来吸引许多顶级安全人才加入公司。因为谷歌始终坚信,一个更加安全、愉悦的互联网使用环境会促使更多用户放心的点击广告,并从而使谷歌受益。
“只要我们能够增强用户对于互联网的信心,那么谷歌也将通过非直接的方式获益。”埃文斯说道。
与此同时,Project Zero也同谷歌近年来的发展策略相当吻合。在“斯诺登事件”曝光后,谷歌已经加强了自己的反侦查策略,因为斯诺登曾披露称美国国家安全局在暗中监视谷歌用户信息,之后谷歌便对相关链接进行了加密。近期,谷歌还通过在Chrome浏览器中内置插件的方式为用户的电子邮件进行了加密,并且公布了一份有关哪些电邮服务商同意或者不同意使用这一加密做法的名单。
美国公民自由联盟首席技术专家克里斯-索霍安(Chris Soghoian)表示,谷歌大力建设自己的“Project Zero”团队是情理之中的举措,因为谷歌安全团队对于政府监控行为一直非常不满,他们自然希望能够对此有所回应。
而且,同其他许多企业一样,谷歌多年来也一直在奖励那些发现代码漏洞的善意黑客。然而,查找自身软件漏洞的工作似乎一直都并不完善,因为诸如Chrome浏览器这些产品经常需要依赖于Adoble Flash这些第三方代码运行。今年3月,埃文斯甚至还编写了一份在过去四年时间内由黑客所发现的18个Flash漏洞的表单。
封堵理念
据前谷歌安全研究人员摩根-马奎斯-鲍伊尔(Morgan Marquis Boire)透露,“Project Zero”团队背后理念的成型还要追溯到2010年他与埃文斯的一次深夜会谈。在当时的凌晨4点左右,两人正在探讨谷歌之外软件所存在的缺陷以及这些缺陷会对谷歌用户造成的影响。
“对于许多在编写安全软件时需要用到第三方的代码的人们来说,这样的情况令人感到十分沮丧,因为黑客始终可以攻击你最薄弱的位置。这就好像你穿着一身和服在骑摩托车一样,即便戴着头盔恐怕也无法保证安全。”鲍伊尔说道。
因此,谷歌便希望通过“Project Zero”团队成员的智慧找到存在于其他公司产品之中的漏洞。在找到漏洞后,该团队首先会对该软件开发商发出警告,然后给对方60-90天的时间来修补漏洞,之后谷歌便会在“Project Zero”的官方博客上公布这一漏洞。谷歌表示,为了避免这些漏洞被黑客利用,谷歌通常会向软件开发商施压,并催促其尽量在7天时间内对漏洞进行修复。
“花费太长时间,或者对出现的漏洞无所作为是令人无法接受的行为。”埃文斯说道。
当然,“Project Zero”团队能否完全消除互联网的安全隐患目前我们还不得而知。但团队成员之一的本-霍克斯表示,“Project Zero”团队其实并不需要亲自处理每一个零日漏洞,而是会根据漏洞的影响范围来有选择的进行介入。这主要是因为如今黑客所利用的安全漏洞通常都不是独立存在的,而是需要配合其他一系列漏洞才能成功攻克计算机的自身防线。所以,“Project Zero”通常只需要封堵其中一个漏洞便可以使黑客的整个入侵计划失效。
“我们将在这一领域留下自己的印记,而现在也恰恰是彻底封堵零日漏洞的最好时机。”埃文斯最后说道。
求生之路2mod怎么用 求生之路2mod安装方法
求生之路2安装MOD方法如下首先下载一个MOD,例如CRYSIS3 SCAR(M16),MOD下载来通常是压缩包 需要手动解压解压完成后打开解压好的文件,复制文件后辍名为vpk格式的文件至游戏所在目录下的left4dead2/addons里面就可以了(进入游戏自动启用)注:游戏版本过低可能会导致MOD无法启用
广西南宁犀利企业营销策划策划有限公司是做什么的?听说是做广西电子商务服务外包和网络人才培训的吗?
是的 !还包括:一、企业网站开发建设:营销型网站建设、网站策划分析、网站二次开发二、企业网络营销策划外包:网络品牌建设、网络营销策划、网站推广策划、营销型网站诊断分析、网站优化(SEO) 、网络营销客服技巧、社会化媒体营销、网络营销团队建设、网络营销整合方案策划。三、SEO搜索引擎优化外包:网站标题关键字分析,优化、网络谷歌等搜索引擎,自然排名四、淘宝商城网店外包:网店商城装修,宝贝拍摄,图片处理,美工设计五、电子商务人才培训:网络营销人才培训,网店运营专才培训 (都是以实战为主)地址:广西南宁明秀西路122号城市碧园B座1220
搜索引擎分为哪几类?
搜 索 引 擎 分 类搜索引擎按其工作方式主要可分为三种,分别是全文搜索引擎(Full Text Search Engine)、目录索引类搜索引擎(Search Index/Directory)和元搜索引擎(Meta Search Engine)。 ■ 全文搜索引擎 全文搜索引擎是名副其实的搜索引擎,国外具代表性的有Google、Fast/AllTheWeb、AltaVista、Inktomi、Teoma、WiseNut等,国内著名的有网络(Baidu)。 它们都是通过从互联网上提取的各个网站的信息(以网页文字为主)而建立的数据库中,检索与用户查询条件匹配的相关记录,然后按一定的排列顺序将结果返回给用户,因此他们是真正的搜索引擎。 从搜索结果来源的角度,全文搜索引擎又可细分为两种,一种是拥有自己的检索程序(Indexer),俗称“蜘蛛”(Spider)程序或“机器人”(Robot)程序,并自建网页数据库,搜索结果直接从自身的数据库中调用,如上面提到的7家引擎;另一种则是租用其他引擎的数据库,并按自定的格式排列搜索结果,如Lycos引擎。 ■ 目录索引 目录索引虽然有搜索功能,但在严格意义上算不上是真正的搜索引擎,仅仅是按目录分类的网站链接列表而已。 用户完全可以不用进行关键词(Keywords)查询,仅靠分类目录也可找到需要的信息。 目录索引中最具代表性的莫过于大名鼎鼎的Yahoo雅虎。 其他著名的还有Open Directory Project(DMOZ)、LookSmart、About等。 国内的搜狐、新浪、网易搜索也都属于这一类。 ■ 元搜索引擎 (META Search Engine)元搜索引擎在接受用户查询请求时,同时在其他多个引擎上进行搜索,并将结果返回给用户。 著名的元搜索引擎有InfoSpace、Dogpile、Vivisimo等(元搜索引擎列表),中文元搜索引擎中具代表性的有搜星搜索引擎。 在搜索结果排列方面,有的直接按来源引擎排列搜索结果,如Dogpile,有的则按自定的规则将结果重新排列组合,如Vivisimo。 除上述三大类引擎外,还有以下几种非主流形式:1、集合式搜索引擎:如HotBot在2002年底推出的引擎。 该引擎类似META搜索引擎,但区别在于不是同时调用多个引擎进行搜索,而是由用户从提供的4个引擎当中选择,因此叫它“集合式”搜索引擎更确切些。 2、门户搜索引擎:如AOL Search、MSN Search等虽然提供搜索服务,但自身即没有分类目录也没有网页数据库,其搜索结果完全来自其他引擎。 3、免费链接列表(Free For All Links,简称FFA):这类网站一般只简单地滚动排列链接条目,少部分有简单的分类目录,不过规模比起Yahoo等目录索引来要小得多。 由于上述网站都为用户提供搜索查询服务,为方便起见,我们通常将其统称为搜索引擎。
发表评论