北京時(shí)間7月18日消息��,據(jù)國(guó)外媒體報(bào)道����,雖然谷歌Project Zero打著維護(hù)所有互聯(lián)網(wǎng)用戶安全、避免其受到網(wǎng)絡(luò)犯罪的威脅的旗號(hào)���,還是遭到了一些人的蔑視����。
“零日漏洞”是目前互聯(lián)網(wǎng)普遍存在的一項(xiàng)威脅����。公司將未修補(bǔ)的安全漏洞出售給政府、法律機(jī)關(guān)和私人實(shí)體企業(yè)�,旨在幫助他們自我防護(hù),但是這些漏洞檢測(cè)代碼(exploit code)在起到防護(hù)作用的同時(shí)也會(huì)對(duì)用戶進(jìn)行攻擊�����。這些公司稱自己是在幫助這個(gè)世界找出安全漏洞,并負(fù)責(zé)將它們出售給可信任的對(duì)象�。
也許是這樣。但是很多人都討厭“零日漏洞”銷售商��。因?yàn)樗麄兺粫?huì)告訴供應(yīng)商他們發(fā)現(xiàn)的漏洞�����,大多數(shù)使用受感染的軟件的人仍處于危險(xiǎn)之中�。受益的只是那些銷售商和他們的客戶����。
鑒于谷歌Project Zero能夠搶先發(fā)現(xiàn)漏洞,它的出現(xiàn)很有可能擾亂這一市場(chǎng)���。但是只要想到層出不窮的網(wǎng)絡(luò)漏洞����,谷歌的修復(fù)力也并沒有那么強(qiáng)大���。這也是為何漏洞檢測(cè)銷售商VUPEN的CEO兼首席黑客查歐基-貝克拉(Chaouki Bekrar)表示Project Zero不過是谷歌的又一場(chǎng)營(yíng)銷活動(dòng)而已����。
谷歌沒能弄明白的一點(diǎn)在于消滅一些“零日漏洞”確實(shí)能夠讓谷歌的研發(fā)人員和股東感覺良好,但是這并不能消滅“零日漏洞”代碼檢測(cè)市場(chǎng)����。貝克拉在郵件中表示:“相反,谷歌的行為將會(huì)使這一市場(chǎng)更加有利可圖��。正規(guī)市場(chǎng)和黑市的‘零日漏洞’要價(jià)會(huì)增加����。之前,合法的‘零日漏洞’銷售商就曾表示他們的漏洞檢測(cè)代碼曾售價(jià)50萬美元��。
安全公司Errata Security的羅伯特-格雷厄姆(Robert Graham)指出谷歌已經(jīng)開始在每種軟件里尋找“零日漏洞”��。他表示:“我認(rèn)為除了谷歌給項(xiàng)目安了一個(gè)好聽的名字外�,其他沒有什么變化。”
他表示:“谷歌這樣做最大的好處就是�����,通過團(tuán)隊(duì)之間的緊密聯(lián)系�,他們能夠相互學(xué)習(xí),從而比單獨(dú)工作時(shí)取得更大的成就���。通過了解其他產(chǎn)品的生產(chǎn)情報(bào)�����,谷歌能夠提升自己的產(chǎn)品�����。”
如果貝克拉和格雷厄姆是正確的話����,同時(shí)Project Zero不會(huì)影響“零日漏洞”市場(chǎng),漏洞的價(jià)格會(huì)上升���,那么漏洞經(jīng)銷商們也很有可能獲利。這種情況簡(jiǎn)直是有悖常理��。
