長期以來,IT 安全一直是個沉默且保密的問題。缺陷必須被隱藏起來。那麼,那些夠聰明、能夠找到它們、夠誠實、能夠向出版商報告它們的駭客就有禍了。
儘管喬治·霍茨的經歷有些不同,但他對這個主題了解很多。他以 GeoHot 的暱稱,第一個破解了 AT&T 的 simlocked iPhone,然後成功地PlayStation 3 駭客迄今為止不可侵犯的地位,引起了索尼的憤怒。
狩獵正在進行
在完成這項壯舉並承諾不再破解這家日本巨頭的產品後,GeoHot 在 2014 年 3 月 Google 組織的漏洞發現競賽中開始涉足 Chrome OS。
獲勝後,這位年輕的駭客首先收到了一張 15 萬美元的支票作為獎勵。兩個月後,他收到了一封來自 Google 負責 IT 安全的 Chris Evans 的電子郵件,儘管他的名片上寫著“麻煩的根源”。這封電子郵件為他提供了加入這家美國公司內精英駭客小組的機會,該小組的目標是攻擊主要網路軟體以搜尋和發現缺陷。零日(未列出,因此未更正)。
感謝這個名為「零號計畫」的團隊,它的存在應該很快就會正式公佈,揭示有線谷歌不僅打算測試其產品的安全性,還打算測試其他軟體廠商產品的安全性。
據美國網站稱,從這個意義上說,該組織的政策將非常積極主動。一旦發現,該漏洞實際上應該傳達給該公司,該公司將有 60 到 90 天的時間進行糾正,然後再在零項目部落格上正式公開。如果該漏洞已被駭客利用,那麼這些期限可能會縮短至 7 天。
一支衝擊隊
目的是鼓勵發布商盡可能確保他們向使用者提供的工具的品質。“人們應該能夠使用互聯網,而不必擔心單次訪問網站時的漏洞可能會損害他們的隱私”,克里斯·埃文斯宣稱有線。
為了證明他的觀點,只需看看 GeoHot 同事的事蹟即可。紐西蘭安全研究員 Ben Hawkes 在 Adobe Flash 和微軟辦公室套件中發現了十幾個錯誤。塔維斯·奧曼迪 (Tavis Ormandy) 是世界上最多產的裂谷獵人之一。他揭露了一些 Sophos 產品的嚴重問題並發現了一個缺陷,震驚了防毒產業Windows 上的零日漏洞,2013 年 6 月。由於谷歌正在招募人員以擴大該團隊,因此它也尚未接近關閉。
爭奪用戶?
如果為候選人提供的自由顯然是谷歌的一個很好的廣告,也是(再次)吸引谷歌內部最優秀人才的一種方式,那麼這也將是負責這個巨頭內部安全的團隊將自己的錢賺到的一種方式。事實上,該機構利用了這些未列出的缺陷來聽取使用者的意見。因此,在向漏洞獵人提供獎金之後,谷歌正在邏輯上採取下一步,並與零日漏洞作戰,希望根除它們…
另請閱讀:
零時差 Flash 漏洞威脅 Windows、Mac OS X 和 Linux...– 29/04/2014
來源 :
有線
