誕生背景
“零日漏洞”是網際網路普遍存在的一項威脅。由於此類安全漏洞通常都尚未被公開,因而用戶並不能在第一時間獲得有效的系統補丁和安全保護。也正鑒於此,黑客常利用這類漏洞對人權主義人士、企業以及政府部門等發起網路攻擊。也因為缺乏對有關信息的了解,這樣的攻擊往往很難被發現和孤立。因此,谷歌推出了Project Zero計畫。
成立目的
谷歌表示:“我們的目的是為了大幅減少有針對性的網路攻擊。我們會聘請最好的、有想法且具備實踐能力的安全研究人員來改善整個網際網路的安全,並為之付出其100%的時間與精力。”
“Project Zero”團隊其實並不需要親自處理每一個零日漏洞,而是會根據漏洞的影響範圍來有選擇的進行介入。這主要是因為如今黑客所利用的安全漏洞通常都不是獨立存在的,而是需要配合其他一系列漏洞才能成功攻克計算機的自身防線。所以,“Project Zero”通常只需要封堵其中一個漏洞便可以使黑客的整個入侵計畫失效。
“Project Zero”團隊並不僅限於在谷歌自有的產品中尋找系統安全漏洞,因為他們也會在任何軟體產品上尋找漏洞。在發現了某個漏洞後,該團隊會對其進行曝光,並通過這種方式來鼓勵相關公司與谷歌聯手對付黑客。 谷歌方面認為,“只要我們能夠增強用戶對於網際網路的信心,那么谷歌也將通過非直接的方式獲益。”
團隊成員
訊息指出,“Project Zero”已經從谷歌內部抽調了一些精英人員而組建起了自己的黑客“夢之隊”。比如,曾在2013年發現存在於AdobeFlash及微軟Office中大量漏洞的紐西蘭人本·霍克斯(Ben Hawkes)、英國知名“零日漏洞查殺”專家塔維斯·奧曼迪(Tavis Ormandy)、成功破解谷歌Chrome作業系統的喬治·霍茲以及曾經發現了蘋果iOS、OSX和Safari瀏覽器多個漏洞的神秘瑞士黑客布雷特·伊恩·貝爾(Brit Ian Beer)都是這一團隊的成員。
這一團隊的招聘工作仍然在繼續,並計畫召集到10名以上的全職網際網路安全研究人員。他們大多數都可以不在谷歌總部辦公室辦公,並使用專業的漏洞查找工具對目標軟體進行掃描,從而發現有可能包含有漏洞的系統、軟體設計。
合作夥伴
2014年12月2日,中國著名安全研究團隊Keen Team的官方微博透露:“昨天正式成為#Google Project Zero#亞洲第一個正式合作夥伴。” 這意味著,中國安全研究團隊的實力獲得世界最高水平安全社區的認可,曾連續三次奪得世界頂級安全賽事冠軍的Keen Team將與來自全球各地的頂級黑客,一同發現並尋找一切有可能引發重大安全危機的漏洞,其目標是儘可能消滅這些安全隱患,保護網路空間的安全。
相關評論
安全公司Errata Security的羅伯特·格雷厄姆(Robert Graham)認為:“谷歌這樣做最大的好處就是,通過團隊之間的緊密聯繫,他們能夠相互學習,從而比單獨工作時取得更大的成就。通過了解其他產品的生產情報,谷歌能夠提升自己的產品。”