《財(cái)富》（中文版）——今年2月一個(gè)周五的下午，大師級(jí)的安全研究員塔維斯·奧曼迪正在位于山景城谷歌公司總部里的辦公桌旁執(zhí)行一些日常的“模糊測(cè)試”,。這是一種普通的軟件代碼測(cè)試技術(shù),，即以隨機(jī)數(shù)據(jù)轟擊軟件，讓缺陷暴露出來(lái),。奧曼迪留著棕色的平頭,，臉上現(xiàn)出不安的微笑。他突然發(fā)現(xiàn),，數(shù)據(jù)集里有些東西不對(duì)勁,。他覺(jué)得奇怪。這不是普通的被污染的數(shù)據(jù),。他看到的,，不是預(yù)期的結(jié)果，而是一些異?，F(xiàn)象,，大塊大塊的內(nèi)存被奇怪地占據(jù)。因此,，他進(jìn)行了更深的挖掘,。

在收集到了足夠的信息后，奧曼迪叫他的安全研究員同伴過(guò)來(lái),，讓他們站成一圈,，分享了他的發(fā)現(xiàn)。谷歌的這支團(tuán)隊(duì)名叫“零工程”,。該團(tuán)隊(duì)很快意識(shí)到他們發(fā)現(xiàn)了什么：大范圍的數(shù)據(jù)泄露,，來(lái)自于舊金山一家名叫Cloudflare的公司。在多數(shù)時(shí)間里,，這家公司的內(nèi)容發(fā)送網(wǎng)絡(luò)在毫無(wú)差錯(cuò)地處理著全球?qū)⒔种坏幕ヂ?lián)網(wǎng)流量,。但是，奧曼迪發(fā)現(xiàn),，該公司的服務(wù)器在向全網(wǎng)散發(fā)個(gè)人的私密數(shù)據(jù),。這些信息已經(jīng)被泄漏了長(zhǎng)達(dá)數(shù)月,。

奧曼迪不認(rèn)識(shí)Cloudflare公司的人，他在猶豫,，周末馬上到來(lái),，要不要給Cloudflare的在線支持人員打這么一個(gè)陌生電話。于是,，他想出了第二佳的做法：登錄推特,，向他的數(shù)萬(wàn)名粉絲發(fā)出請(qǐng)求：

Cloudflare的安全部門的人，能不能緊急聯(lián)系我一下,？

時(shí)間是美國(guó)太平洋時(shí)間下午的5點(diǎn)11分,。

奧曼迪懶得通過(guò)“@名字”的方式來(lái)提醒某公司的推特賬號(hào)，他沒(méi)有必要這么做,。他在信息安全專業(yè)人員中間名望很高,。在他發(fā)送推文后不到15分鐘，需要知道這條信息的所有人（當(dāng)然還有很多不需要知道的人）就都看到了,。

在當(dāng)?shù)貢r(shí)間凌晨1點(diǎn)26分,，倫敦。約翰·格雷厄姆-卡明被床邊的電話鈴聲吵醒,。Cloudflare的首席技術(shù)官揉了揉眼睛,，努力去抓響個(gè)不停的電話。沒(méi)有接到來(lái)電,。打電話的,，是他的一位同事—這是少數(shù)格雷厄姆-卡明允許在半夜給他打電話的人之一。他發(fā)了一條短信,，問(wèn)發(fā)生了什么事情,。

同事立刻給他回了短信：非常嚴(yán)重的安全問(wèn)題。格雷厄姆-卡明坐了起來(lái),，驚慌地回復(fù)：我馬上就上網(wǎng),。

首席技術(shù)官起床，下樓到地下室,，抓起一個(gè)“急救包”,，這是他為出現(xiàn)這類情況而準(zhǔn)備的，里面有充電器,、耳機(jī)和幾塊電池,。他啟動(dòng)了自己的筆記本電腦,，快速進(jìn)入與Cloudflare加利福尼亞總部同事共有的谷歌環(huán)聊群,。

安全團(tuán)隊(duì)向他簡(jiǎn)要匯報(bào)了形勢(shì)。谷歌的零工程團(tuán)隊(duì)在Cloudflare的基礎(chǔ)架構(gòu)里發(fā)現(xiàn)了一個(gè)漏洞,，一個(gè)嚴(yán)重的漏洞,。運(yùn)行著包括美國(guó)聯(lián)邦調(diào)查局,、納斯達(dá)克、Reddit在內(nèi)的超過(guò)600萬(wàn)家網(wǎng)站的服務(wù)器出現(xiàn)了數(shù)據(jù)泄漏,，任何人都能夠進(jìn)入Cloudflare支持的網(wǎng)站,，在一定的環(huán)境下獲取Cloudflare網(wǎng)絡(luò)中另一家網(wǎng)站的用戶私密信息，包括認(rèn)證口令牌,、信息記錄程序,、私人短信等。Uber,、1Password,、OKCupid、Fitbit等公司的網(wǎng)站都在其中,。

這些私密信息已經(jīng)可以一覽無(wú)余,。更加糟糕的是，它們還會(huì)在搜索引擎和其他網(wǎng)絡(luò)爬蟲軟件的緩存中保存數(shù)月,。堵住漏洞并不能夠徹底解決問(wèn)題,。

格雷厄姆-卡明說(shuō)：“我將這比作石油泄漏。油輪身上的漏洞容易處理,，但是你還有很多海床要清理,。”

因此,，Cloudflare的工程師不得不行動(dòng)起來(lái),。安全主管馬克·羅杰斯領(lǐng)導(dǎo)了這次善后行動(dòng)。羅杰斯在業(yè)余時(shí)間擔(dān)任了美國(guó)有線廣播網(wǎng)的電視劇《黑客軍團(tuán)》的顧問(wèn),。不到一個(gè)小時(shí),，安全團(tuán)隊(duì)拿出了初步的緩解措施，通過(guò)更新程序,，堵住了全球各地的漏洞,。數(shù)小時(shí)后，技術(shù)人員成功地停止了導(dǎo)致錯(cuò)誤的功能,。在奧曼迪發(fā)出那條推文后將近7小時(shí),，Cloudflare的工程師成功地讓谷歌、微軟,、雅虎等幾大搜索引擎清除了網(wǎng)頁(yè)緩存,。

漫長(zhǎng)的周末才剛剛開始。Cloudflare的工程師在余下的大部分時(shí)間里評(píng)估被泄露的數(shù)據(jù)量和類型,，以及擴(kuò)散情況,。

Cloudflare以在安全問(wèn)題上透明而著稱，谷歌的零工程團(tuán)隊(duì)起初對(duì)Cloudflare安全團(tuán)隊(duì)的快速反應(yīng)印象深刻。但是,，在協(xié)商如何公開披露被泄露的數(shù)據(jù)時(shí),，兩支團(tuán)隊(duì)發(fā)生了爭(zhēng)吵。雙方暫定,，最早于2月21日星期二那天發(fā)表聲明,。到在那天快要過(guò)去的時(shí)候，Cloudflare表示,，它需要更多的時(shí)間做清理,。時(shí)間從星期二改到星期三，又從星期三改到星期四,。到了此時(shí),，谷歌不再動(dòng)搖：雙方必須在星期四下午公布數(shù)據(jù)外泄細(xì)節(jié)，無(wú)論Cloudflare是否完成評(píng)估,，是否確定外泄數(shù)據(jù)已經(jīng)從網(wǎng)頁(yè)緩存中刪除,。奧曼迪稱這次事件為“云出血”。

兩家公司在2月23日做了披露,。隨之而來(lái)的,，是互聯(lián)網(wǎng)上出現(xiàn)了持續(xù)一周的恐慌。

不用加入谷歌的零工程團(tuán)隊(duì),，你也能夠知道,，世界各地的網(wǎng)絡(luò)安全危機(jī)越來(lái)越嚴(yán)重。每家公司都成了科技公司,，黑客事件越來(lái)越普遍,，公司銀行賬戶的資金流失，個(gè)人信息被偷窺,，選舉遭人干涉,。一些頭條新聞令人震驚：超過(guò)10億個(gè)雅虎賬戶存在入侵風(fēng)險(xiǎn)；數(shù)千萬(wàn)美元通過(guò)環(huán)球同業(yè)銀行金融電訊協(xié)會(huì)金融網(wǎng)絡(luò)被盜走,；無(wú)數(shù)來(lái)自于民主黨全國(guó)委員會(huì)的私人郵件在2016年美國(guó)總統(tǒng)大選期間被曝光,。

據(jù)身份盜竊資源中心稱，美國(guó)公司和政府機(jī)構(gòu)在2016年報(bào)告的數(shù)據(jù)外泄事件比2015年多出了40%,，這還是一個(gè)保守的估計(jì),。與此同時(shí)，由IBM公司資助,、研究集團(tuán)Ponemon研究所進(jìn)行的一項(xiàng)研究顯示,，現(xiàn)在每次外泄給組織制造的平均費(fèi)用達(dá)到了360萬(wàn)美元。

不管是程序員的失誤,，還是為某國(guó)效力的黑客造成的,，數(shù)據(jù)外泄如今成為了新常態(tài),。企業(yè)高管已經(jīng)達(dá)成共識(shí)，一旦編代碼出現(xiàn)問(wèn)題,，較為經(jīng)濟(jì)的做法是將它扼殺在萌芽狀態(tài)，不要讓它在未來(lái)變得更加嚴(yán)重或是制造混亂,。

但事情沒(méi)有那么簡(jiǎn)單,。太多的企業(yè)要么不重視安全問(wèn)題，要么把它看作是開發(fā)和按時(shí)交付產(chǎn)品的障礙,。CA Technologies在今年早些時(shí)候收購(gòu)的應(yīng)用安全企業(yè)Veracode稱,，它調(diào)查了500位IT經(jīng)理，83%的人承認(rèn),，在發(fā)布代碼之前沒(méi)有進(jìn)行漏洞檢測(cè)或解決安全問(wèn)題,。與此同時(shí)，安全行業(yè)面臨著人才短缺問(wèn)題,。思科估計(jì),，全球安全職位缺口達(dá)100萬(wàn)。賽門鐵克公司預(yù)計(jì),，到2019年,，缺口將達(dá)150萬(wàn)。一些人估計(jì),，到2021年,，缺口將達(dá)350萬(wàn)。

即便一家企業(yè)有維持一支安全團(tuán)隊(duì)的資金,、計(jì)劃和名聲,，也不能夠杜絕發(fā)送有缺陷的代碼。最好的質(zhì)量保證流程和靈活的開發(fā)實(shí)踐也不可能捕捉到每一個(gè)漏洞,。

所以,，包括微軟、蘋果在內(nèi)的眾多企業(yè)擁有內(nèi)部安全研究團(tuán)隊(duì),，自查本公司的軟件,。但很少有團(tuán)隊(duì)重視其他公司的軟件。這讓谷歌變得與眾不同,。奧曼迪等10多位王牌電腦破解者組成了谷歌的零工程團(tuán)隊(duì),，他們的管轄沒(méi)有邊界，任何東西只要觸網(wǎng),，都在他們的關(guān)注范圍之內(nèi),。給網(wǎng)絡(luò)空間配備警察，不僅對(duì)個(gè)人有好處,，對(duì)于企業(yè)來(lái)說(shuō)也是好事,。

谷歌于2014年正式組建了零工程團(tuán)隊(duì)，但是這個(gè)團(tuán)隊(duì)的起源還要再向前追溯5年。大多數(shù)公司開始正視安全問(wèn)題,，通常是在遭遇一起緊急事件之后,。對(duì)于谷歌，那個(gè)事件就是極光行動(dòng),。

2009年,，某網(wǎng)絡(luò)間諜組織入侵了谷歌等科技巨頭，突破了它們的服務(wù)器,，竊取知識(shí)產(chǎn)權(quán),，并試圖監(jiān)視它們的用戶。這次劫掠惹怒了谷歌的高管,。

這一事件尤其驚動(dòng)了谷歌的聯(lián)合創(chuàng)始人謝爾蓋·布林,。計(jì)算機(jī)取證機(jī)構(gòu)和調(diào)查人員認(rèn)定，公司被黑,，不是因?yàn)楣雀枳约旱能浖隽巳魏螁?wèn)題,，而是因?yàn)槲④浀腎nternet Explorer 6瀏覽器的一個(gè)未修補(bǔ)漏洞造成的。他不明白,，為什么谷歌的安全要依賴于其他公司的產(chǎn)品,？

隨后幾個(gè)月，谷歌越來(lái)越強(qiáng)烈地要求競(jìng)爭(zhēng)對(duì)手修復(fù)其軟件代碼中的漏洞,。谷歌和同行業(yè)公司的爭(zhēng)斗很快成為了坊間談資,。處于其中幾場(chǎng)爭(zhēng)斗中心的，不是別人,，正是漏洞獵手塔維斯·奧曼迪,。他因?yàn)橐詮?qiáng)硬方式修復(fù)漏洞而出名。（奧曼迪拒絕為本文發(fā)表評(píng)論,。）

例如,，在極光行動(dòng)公開后不久，奧曼迪披露了他幾個(gè)月前在微軟的Windows操作系統(tǒng)中發(fā)現(xiàn)的一個(gè)漏洞,，攻擊者可以利用它操縱他人的電腦,。奧曼迪等了7個(gè)月，仍未看到微軟發(fā)布補(bǔ)丁,，于是他決定親自出馬,。2010年1月，奧曼迪在一個(gè)“全面披露”的郵件列表中發(fā)布了這個(gè)漏洞的詳細(xì)信息,，安全研究人員通過(guò)這個(gè)列表告知同行軟件的新弱點(diǎn)和攻擊方法,。他的想法是：如果微軟不打算按時(shí)解決問(wèn)題，外人至少可以了解情況,，他們可以制定自己的解決方案,。幾個(gè)月后,，他對(duì)影響到甲骨文公司的Java軟件的一個(gè)漏洞以及另一個(gè)Windows的重大缺陷做了同樣的事情。他在向微軟報(bào)告這個(gè)缺陷5天后就采取了行動(dòng),。

有些人對(duì)這樣的做法不滿意,，他們譴責(zé)了奧曼迪的行動(dòng)，聲稱這給他人的安全造成了危害,。（蘋果,、微軟和甲骨文不愿就此事發(fā)表評(píng)論。）在一篇公司博文中,，威瑞森的兩位安全專家批評(píng)選擇全面披露的研究員“自戀,，強(qiáng)行給軟件弱點(diǎn)拉皮條”,。奧曼迪不理會(huì)這些炮轟,。2013年，他再次在微軟修復(fù)一個(gè)Windows漏洞之前就將之公開,。他的理由是,，研究人員不威脅公開，公司就幾乎沒(méi)有按時(shí)修復(fù)缺陷的壓力,，它們會(huì)一直讓缺陷存在下去,，讓所有人面臨風(fēng)險(xiǎn)。

2014年,，谷歌悄然開始正式組建零工程團(tuán)隊(duì),。[團(tuán)隊(duì)的名稱暗指“零日”弱點(diǎn)，專業(yè)安全人員用這個(gè)術(shù)語(yǔ)來(lái)描述從前不知道的,、公司沒(méi)有時(shí)間（也就是“零日”）準(zhǔn)備應(yīng)對(duì)的安全漏洞,。]公司制定了一套協(xié)議，讓前Chrome瀏覽器的安全主管克里斯·埃文斯（Chris Evans,，和扮演美國(guó)隊(duì)長(zhǎng)的同名演員沒(méi)有關(guān)系）負(fù)總責(zé),。埃文斯隨后招募了谷歌員工和其他人員加入團(tuán)隊(duì)。

埃文斯簽下了伊恩·比爾,，他是英國(guó)人,，在瑞士從事安全研究員工作，對(duì)尋找蘋果的代碼錯(cuò)誤表現(xiàn)出強(qiáng)烈的興趣,；他引入了奧曼迪,，來(lái)自于英國(guó)的大塊頭，因?yàn)榕c微軟的高調(diào)沖突而成名,；他還招募了新西蘭人本·霍克斯,，人們都知道其曾經(jīng)解決Adobe Flash和微軟Office辦公軟件的漏洞；他還請(qǐng)來(lái)了少年老成的喬治·霍茨做實(shí)習(xí)生,?；舸脑诋?dāng)年早些時(shí)候的一次黑客競(jìng)賽中攻破了谷歌的Chrome瀏覽器,，獲得了15萬(wàn)美元獎(jiǎng)金。（《財(cái)富》雜志多次請(qǐng)求零工程團(tuán)隊(duì)的成員就本文接受采訪,，均遭拒絕,。）

零工程團(tuán)隊(duì)成立的第一個(gè)跡象出現(xiàn)在2014年4月，蘋果在一封短信中,，指出谷歌的一位研究人員發(fā)現(xiàn)了一個(gè)漏洞,。有這個(gè)漏洞，黑客可以控制運(yùn)行蘋果Safari網(wǎng)頁(yè)瀏覽器的軟件,。短信對(duì)“谷歌零工程的伊恩·比爾”表示感謝,。

在推特上，信息安全界對(duì)這個(gè)秘密團(tuán)隊(duì)大感驚奇,。位于紐約的網(wǎng)絡(luò)安全顧問(wèn)公司Trail of Bits的聯(lián)合創(chuàng)始人及首席執(zhí)行官丹·吉多在2014年4月24日發(fā)推文問(wèn)道：“谷歌零工程是什么,？”時(shí)任美國(guó)公民自由聯(lián)盟的首席技術(shù)員克里斯·索格伊安強(qiáng)調(diào)：“最新蘋果安全日志感謝了神秘的‘谷歌零工程’的員工?！?/p>

更多的功績(jī)很快出現(xiàn),。5月，蘋果將OS X操作系統(tǒng)幾個(gè)漏洞的發(fā)現(xiàn)歸功于比爾,。在一個(gè)月后,，微軟修復(fù)了一個(gè)有可能破壞其惡意軟件保護(hù)能力的漏洞，特別指出“谷歌零工程的塔維斯·奧曼迪”在一份報(bào)告中提供了幫助,。

到那時(shí),，該團(tuán)隊(duì)已經(jīng)在研究安全問(wèn)題的人當(dāng)中引起了不小的反響。埃文斯終于在公司網(wǎng)站的一篇博文中正式確認(rèn)了團(tuán)隊(duì)的存在,。他寫道：“我們?cè)谑褂镁W(wǎng)絡(luò)時(shí),，不應(yīng)該擔(dān)心犯罪分子或一國(guó)支持的攻擊者利用軟件漏洞，感染電腦,，盜取機(jī)密或是監(jiān)視你的通信,。”他提出,，網(wǎng)絡(luò)間諜活動(dòng)“必須停止”,。

一年前，埃文斯離開了團(tuán)隊(duì),，加盟特斯拉公司,，目前在漏洞懸賞新創(chuàng)企業(yè)HackerOne擔(dān)任顧問(wèn)。（零工程當(dāng)前的主管是霍克斯）如今,，說(shuō)到團(tuán)隊(duì)的起源,，埃文斯更加謹(jǐn)慎。他說(shuō)：“多年午餐時(shí)間的對(duì)話,，對(duì)攻擊演化的多年觀察,，為零工程的成立奠定了基礎(chǔ),。我們想設(shè)立幾個(gè)崗位，專門關(guān)注頂級(jí)的防御研究,，將世界最佳人才吸引到這一公開研究領(lǐng)域,。”

谷歌面臨的挑戰(zhàn)比看上去更大,。私人資金吸引了世界上很多最出色的黑客,，他們?cè)诿苁依镅芯浚推渌麢C(jī)構(gòu)通過(guò)中介,，高價(jià)購(gòu)買他們的成果,。埃文斯說(shuō)，如果這類研究不能被公諸于世,，人類就要受苦,。

自從谷歌零工程正式成立三年后，這支精英黑客小分隊(duì)已經(jīng)號(hào)稱是全球最有成效的計(jì)算機(jī)漏洞終結(jié)者,。盡管普通的消費(fèi)者不太可能認(rèn)識(shí)他們當(dāng)中的任何人,，比如詹姆斯·福肖,、納塔莉·西爾瓦諾維奇,、蓋爾·貝尼亞米尼，但世界欠他們一個(gè)感激,，是他們保護(hù)了我們用來(lái)享受數(shù)字生活的設(shè)備和服務(wù),。他們改進(jìn)了其他公司的很多產(chǎn)品，包括發(fā)現(xiàn)和幫助修復(fù)了1,000多個(gè)操作系統(tǒng),、反病毒軟件,、口令管理器、開源代碼庫(kù)等軟件的安全漏洞,。到目前為止,，零工程團(tuán)隊(duì)發(fā)布了超過(guò)70篇博文，部分文章是現(xiàn)在網(wǎng)上能夠找到的最好的安全研究公開報(bào)告,。

團(tuán)隊(duì)的工作令谷歌的主業(yè)在線廣告間接獲益,。保護(hù)互聯(lián)網(wǎng)用戶免受威脅，也就保護(hù)了公司為用戶做廣告提供服務(wù)的能力,。零工程團(tuán)隊(duì)努力把軟件供應(yīng)商放在火上烤,，迫使它們修復(fù)導(dǎo)致谷歌產(chǎn)品崩潰的漏洞。

網(wǎng)絡(luò)安全企業(yè)家迪諾·戴·佐維說(shuō)：“它的名字有些奇怪,，但它像一條牧羊犬,。牧羊犬不是狼，它心地善良,，但還是會(huì)把羊驅(qū)趕成隊(duì)伍,，把它們帶回羊圈,。”佐維曾經(jīng)是著名的蘋果黑客和Square公司的前移動(dòng)安全主管,。

今年4月,，零工程團(tuán)隊(duì)的三名成員前往邁阿密，出席“侵入”安全會(huì)議,。這一會(huì)議只關(guān)注黑客攻擊,。

在一個(gè)靠曬太陽(yáng)和賽車繁榮的城市，這三位看上去有些不協(xié)調(diào),。他們是霍克斯,、奧曼迪和托瑪斯·杜林（。杜林是德國(guó)的安全研究員,，零工程團(tuán)隊(duì)成員,，人們更熟悉他的黑客名字“哈爾瓦·弗拉克”。他們聚集在豪華酒店楓丹白露的草坪上,，在沙沙作響的棕櫚樹下品嘗著莫吉托雞尾酒,。這些谷歌員工與幾位其他與會(huì)者坐在桌子旁，聊起了時(shí)事,、最喜歡的科幻故事,。他們說(shuō)，對(duì)黑客歷史的記錄做得不夠,，這實(shí)在是一件很遺憾的事情,。

其間，奧曼迪觸碰到了摩根·馬奎斯-布瓦爾放在桌子上的一副范思哲墨鏡,。馬奎斯-布瓦爾是前谷歌員工,，知名的惡意軟件研究人員，目前擔(dān)任eBay創(chuàng)始人彼埃爾·奧米迪亞爾的媒體風(fēng)投企業(yè)First Look Media的安全主管,。佛羅里達(dá)的太陽(yáng)已經(jīng)下山,，但奧曼迪把墨鏡放在臉上扮怪相，顯得有點(diǎn)傻,。

“侵入”會(huì)議的組織者戴夫·艾特爾抽出手機(jī),，對(duì)他拍照。奧曼迪以雙手?jǐn)[出重金屬樂(lè)迷的“金屬禮”手勢(shì),?？纯此S斯·奧曼迪的尊容：在線上，他是一位喜歡爭(zhēng)吵和批評(píng)的人,，眼里容不得傻瓜,；在線下，卻是一位喜歡到處耍寶的,、和藹可親的極客,。艾特爾曾經(jīng)在美國(guó)國(guó)家安全局當(dāng)過(guò)黑客,，現(xiàn)在經(jīng)營(yíng)一家進(jìn)攻型黑客技術(shù)商店Immunity。

艾特爾說(shuō)：“對(duì)你的吐槽很多,。你其實(shí)可以不這樣的,。”他指的是奧曼迪在催促供應(yīng)商修復(fù)漏洞時(shí)必須經(jīng)歷的令人不爽的吵鬧,。面帶頑皮的微笑,，艾特爾開玩笑地勸說(shuō)奧曼迪轉(zhuǎn)到黑客技術(shù)的“陰暗面”，即找到漏洞并出售牟利,，而不是報(bào)告給受影響的公司,，使這些漏洞失效。

奧曼迪沒(méi)有理睬艾特爾的提議,，笑了笑,，然后把墨鏡放回到桌子上。他也許制造了麻煩,，但他的目標(biāo)是純潔的,。（奧曼迪允許筆者待在他身邊，但拒絕發(fā)表評(píng)論,。）

盡管有著清白的聲譽(yù),，但當(dāng)高尚思想和復(fù)雜的現(xiàn)實(shí)世界相抵觸時(shí)，零工程團(tuán)隊(duì)也不得不靈活對(duì)待,。團(tuán)隊(duì)最初奉行嚴(yán)格的90天披露期限,，如果漏洞“已被積極利用”,，則為7天,。但是有幾次，團(tuán)隊(duì)搶在有關(guān)公司計(jì)劃發(fā)布更新的日子（比如微軟和它每月定期的“補(bǔ)丁日”）之前做了披露,，招致了很多反感,。（后來(lái)，如果相關(guān)公司有現(xiàn)成的補(bǔ)丁,，團(tuán)隊(duì)就會(huì)在90天期滿后再延長(zhǎng)14天,。）

凱蒂·穆蘇里表示，零工程的披露政策在科技行業(yè)里最為明確,。她認(rèn)為這是一件好事情,。很多公司沒(méi)有報(bào)告漏洞的方針，或是沒(méi)有規(guī)定研究人員公開披露的方式和時(shí)機(jī),。有些組織要求的修復(fù)軟件的時(shí)間甚至更短,。來(lái)自于卡內(nèi)基梅隆大學(xué)的機(jī)構(gòu)Cert CC對(duì)外宣布的期限是45天，只有零工程團(tuán)隊(duì)的一半,，但對(duì)個(gè)案,，卻有更大的通融余地,。穆蘇里曾經(jīng)幫助制定微軟的披露政策，現(xiàn)在經(jīng)營(yíng)著自己的漏洞懸賞機(jī)構(gòu)Luta Security,。

企業(yè)若對(duì)漏洞反應(yīng)遲緩,，零工程團(tuán)隊(duì)會(huì)提出批評(píng)，如果采取行動(dòng)修復(fù)漏洞,，它同樣很快予以表?yè)P(yáng),。今年早些時(shí)候，奧曼迪發(fā)推文說(shuō),，他和同事納塔莉·西爾瓦諾維奇“發(fā)現(xiàn)了近來(lái)最厲害的Windows遠(yuǎn)程代碼執(zhí)行”,，這意味著，有辦法遠(yuǎn)程接管基于Windows的系統(tǒng),。他說(shuō)：“情況太糟糕,。”兩人與微軟合作修補(bǔ)漏洞,。奧曼迪隨后又發(fā)推文說(shuō)：“@msftsecurity快速采取行動(dòng)保護(hù)用戶,，現(xiàn)在還讓我吃驚，怎么稱贊都不為過(guò),。棒極了,。”顯然,，亡羊補(bǔ)牢永遠(yuǎn)為時(shí)不晚,。

零工程團(tuán)隊(duì)發(fā)現(xiàn)漏洞不留情面，也許會(huì)讓科技公司感到厭煩,，但是它們應(yīng)該感到欣慰,，一些研究人員忍不住想把研究結(jié)果出售牟利，而零工程團(tuán)隊(duì)卻能夠自覺(jué)抑制這樣的沖動(dòng),。在黑客技術(shù)職業(yè)化以來(lái)的這些年,，零工程披露的漏洞已經(jīng)有了市場(chǎng)。政府,、情報(bào)機(jī)構(gòu),、犯罪分子都愿意出高價(jià)買下這些漏洞。另一方面,，軟件公司越來(lái)越多地采取漏洞懸賞計(jì)劃,，為研究人員花費(fèi)的時(shí)間、精力和利用的專業(yè)知識(shí)埋單,。但是,，公司的獎(jiǎng)勵(lì)永遠(yuǎn)比不上黑市能夠提供的報(bào)酬。

IBM高管、知名安全大師布魯斯·施奈爾說(shuō)：“不管谷歌能夠拿出多少獎(jiǎng)金,，外國(guó)政府都會(huì)支付更高的報(bào)酬,。”

在楓丹白露酒店,，杜林告訴我,，他對(duì)黑客技能變得如此搶手感到驚訝。曾經(jīng)在昏暗地下室里搞的業(yè)余愛(ài)好如今卻是政府大樓里堂堂正正的職業(yè),。

他說(shuō)：“黑客就跟嘻哈,、霹靂舞、滑板或者涂鴉一樣,，是20世紀(jì)90年代的亞文化,。后來(lái)軍方覺(jué)得有用，就成了現(xiàn)在這樣了,?！?/p>

據(jù)Cloudflare的聯(lián)合創(chuàng)始人及首席執(zhí)行官馬修·普林斯透露，谷歌的頂級(jí)漏洞獵手發(fā)現(xiàn)的數(shù)據(jù)外泄一開始讓公司一個(gè)月沒(méi)有增長(zhǎng),。（但他說(shuō),，這是一時(shí)的挫折，Cloudflare在此過(guò)程中保持透明度,，讓它吸引到了新的業(yè)務(wù),。）

這次經(jīng)歷或許讓普林斯感到痛苦，但他并沒(méi)有表露出來(lái),。他知道,，如果公司被真正懷有惡意的黑客盯上了，會(huì)是什么樣子,。幾年前,，一個(gè)名叫“UGNazi”的黑客組織入侵了普林斯個(gè)人的Gmail賬戶，用它控制了他的公司郵箱,，然后劫走了Cloudflare的基礎(chǔ)架構(gòu),。這些惡棍本來(lái)可以造成巨大傷害，但他們只是將一個(gè)普通的黑客網(wǎng)站4chan.org重新指向了他們個(gè)人的推特檔案,，為的是做廣告。

普林斯仍然在后悔,，沒(méi)有能夠在和谷歌共同發(fā)布初期調(diào)查結(jié)果之前,，將這次云出血的完整信息通知客戶。他希望,，他的公司能夠在用戶讀到有關(guān)數(shù)據(jù)外泄的新聞報(bào)道之前就通知他們,。即便如此，普林斯認(rèn)為，零工程團(tuán)隊(duì)確定的披露時(shí)機(jī)是正確的,。據(jù)他所說(shuō),，沒(méi)有用戶發(fā)現(xiàn)任何與此次信息泄露相關(guān)的重大損失。也沒(méi)有像他們一開始擔(dān)心的那樣,，有密碼,、信用卡卡號(hào)或醫(yī)療記錄被曝光。

普林斯說(shuō),，為防止類似事件再次發(fā)生,，Cloudflare實(shí)施了新的措施。公司開始檢查所有代碼,，并聘請(qǐng)外部測(cè)試人員復(fù)查,。它還制定了更為復(fù)雜的系統(tǒng)，用以識(shí)別常見(jiàn)的軟件崩潰,。軟件崩潰常常表明存在著漏洞,。

說(shuō)到這次數(shù)據(jù)外泄的發(fā)現(xiàn)與后果，普林斯表示：“這14天讓我的頭發(fā)更加花白,，壽命也要減少一年,。但是謝天謝地，是奧曼迪和他的團(tuán)隊(duì)而不是某些瘋狂的黑客發(fā)現(xiàn)了這個(gè)漏洞,?！?/p>

當(dāng)然，普林斯永遠(yuǎn)無(wú)法排除某些人或組織拿到了泄露數(shù)據(jù)的副本的可能性,。零工程團(tuán)隊(duì)也是這個(gè)想法,。對(duì)團(tuán)隊(duì)的每一位成員來(lái)說(shuō)，這個(gè)世界有著數(shù)不清的,、目的不那么高尚的研究人員在秘密工作,。魔鬼就在那里，無(wú)論你是否了解,。（財(cái)富中文網(wǎng)）

譯者：穆淑

谷歌的零工程團(tuán)隊(duì)一夜成名

塔維斯·奧曼迪谷歌研究人員谷歌的零工程黑客團(tuán)隊(duì)成員,，在互聯(lián)網(wǎng)上搜索問(wèn)題軟件。

約翰·格雷厄姆-卡明Cloudflare公司首席技術(shù)官舊金山一家公司的高管,，該公司管理的網(wǎng)絡(luò)支持著相當(dāng)多公司的網(wǎng)上運(yùn)營(yíng),。

Luta Security公司首席執(zhí)行官凱蒂·穆蘇里解釋軟件漏洞經(jīng)濟(jì)

漏洞有兩種市場(chǎng)：攻擊和防御。前者包括民族國(guó)家,、有組織犯罪團(tuán)伙和其他攻擊者,。后者包括漏洞懸賞計(jì)劃和銷售安全產(chǎn)品的公司。攻擊市場(chǎng)支付的價(jià)格更高,，上不封頂,。他們不只購(gòu)買弱點(diǎn)或攻擊機(jī)會(huì),，還要購(gòu)買在不被發(fā)現(xiàn)的情況下利用弱點(diǎn)的能力。他們購(gòu)買的是讓一切靜悄悄地發(fā)生,。防御市場(chǎng)給不了這么多錢,，不能像軟件開發(fā)商那樣，給頂級(jí)開發(fā)人員支付100萬(wàn)美元年薪,。盡管大公司的代碼質(zhì)量在不斷改善,，可代碼也變得越來(lái)越復(fù)雜，這意味著會(huì)出現(xiàn)更多的漏洞,。對(duì)于某個(gè)特定的漏洞,，安全研究人員會(huì)做些什么，取決于他們的財(cái)務(wù)需求,、他們對(duì)某款軟件或供應(yīng)商的看法和他們面臨的人身風(fēng)險(xiǎn),。黑帽黑客與白帽黑客，不一定分得那么清楚,。（財(cái)富中文網(wǎng)）

—采訪：Robert Hackett

谷歌的零工程團(tuán)隊(duì)安全：

術(shù)語(yǔ)表

漏洞

計(jì)算機(jī)代碼的意外錯(cuò)誤,。

能夠?qū)е掳踩珕?wèn)題的漏洞被稱為“弱點(diǎn)”。

零日弱點(diǎn)

人和電腦沒(méi)有時(shí)間（零日）

修復(fù)的弱點(diǎn),。

利用

黑客制作的,、利用一個(gè)已知弱點(diǎn)的計(jì)算機(jī)程序。