长期以来,IT 安全一直是一个沉默且保密的问题。缺陷必须被隐藏起来。那么,那些足够聪明、能够找到它们、足够诚实、能够向出版商报告它们的黑客就有祸了。
尽管乔治·霍茨的经历有些不同,但他对这个主题了解很多。他以 GeoHot 的昵称,第一个破解了 AT&T 的 simlocked iPhone,然后成功地PlayStation 3 黑客迄今为止不可侵犯的地位,引起了索尼的愤怒。
狩猎正在进行
在完成这一壮举并承诺不再破解这家日本巨头的产品后,GeoHot 在 2014 年 3 月 Google 组织的漏洞发现竞赛中开始涉足 Chrome OS。
获胜后,这位年轻的黑客首先收到了一张 15 万美元的支票作为奖励。两个月后,他收到了一封来自 Google 负责 IT 安全的 Chris Evans 的电子邮件,尽管他的名片上写着“麻烦的根源”。这封电子邮件为他提供了加入这家美国公司内精英黑客小组的机会,该小组的目标是攻击主要网络软件以搜索和发现缺陷。零日(未列出,因此未更正)。
感谢这个名为“零号计划”的团队,它的存在应该很快就会正式公布,揭示有线谷歌不仅打算测试其产品的安全性,还打算测试其他软件厂商产品的安全性。
据美国网站称,从这个意义上说,该组织的政策将非常积极主动。一旦发现,该漏洞实际上应该传达给该公司,该公司将有 60 到 90 天的时间进行纠正,然后再在零项目博客上正式公开。如果该漏洞已被黑客利用,那么这些期限可能会缩短至 7 天。
一支冲击队
目的是鼓励发布商尽可能确保他们向用户提供的工具的质量。“人们应该能够使用互联网,而不必担心单次访问网站时的漏洞可能会损害他们的隐私”,克里斯·埃文斯宣称有线。
为了证明他的观点,只需看看 GeoHot 同事的事迹即可。新西兰安全研究员 Ben Hawkes 在 Adobe Flash 和微软办公套件中发现了十几个错误。塔维斯·奥曼迪 (Tavis Ormandy) 是世界上最多产的裂谷猎人之一。他揭露了一些 Sophos 产品的严重问题并发现了一个缺陷,震惊了防病毒行业Windows 上的零日漏洞,2013 年 6 月。而且这个列表还不止于此。由于谷歌正在招募人员以扩大该团队,因此它也尚未接近关闭。
争夺用户?
如果为候选人提供的自由显然是谷歌的一个很好的广告,也是(再次)吸引谷歌内部最优秀人才的一种方式,那么这也将是负责这个巨头内部安全的团队将自己的钱赚到的一种方式。美国国家安全局及其监视。事实上,该机构利用了这些未列出的缺陷来听取用户的意见。因此,在向漏洞猎人提供奖金之后,谷歌正在逻辑上采取下一步,并与零日漏洞作战,希望根除它们……
另请阅读:
零日 Flash 漏洞威胁着 Windows、Mac OS X 和 Linux...– 29/04/2014
来源 :
有线
