Google提高互聯(lián)網(wǎng)安全性的最新舉措不是發(fā)布Android或Chrome的安全補(bǔ)丁軟件，而是一個(gè)名為Project Zero的項(xiàng)目，在“零日攻擊缺陷”被黑客利用前發(fā)現(xiàn)、封殺它們。

[[116440]]

Google安全工程師克里斯•埃文斯(Chris Evans)當(dāng)?shù)貢r(shí)間周二在公布Project Zero的博文中表示，零日攻擊缺陷一直被用來(lái)攻擊人權(quán)保護(hù)機(jī)構(gòu)、從事工業(yè)間諜活動(dòng)，也被用來(lái)監(jiān)聽(tīng)通信、竊取消費(fèi)者的信用卡信息以及大大小小的網(wǎng)站用來(lái)存儲(chǔ)用戶(hù)信息的數(shù)據(jù)庫(kù)。

Project Zero雙管齊下，對(duì)零日攻擊缺陷進(jìn)行“圍追堵截”。根據(jù)Project Zero，Google創(chuàng)建了一個(gè)由安全研究人員組成的團(tuán)隊(duì)，發(fā)現(xiàn)軟件中的缺陷。埃文斯向CNET表示，Project Zero不同于其他廠(chǎng)商打擊零日攻擊的項(xiàng)目，例如惠普的Zero-Day Initiative，因?yàn)樗鼮?ldquo;世界上最好的安全研究人員”提供全職崗位。

埃文斯說(shuō)，“Project Zero研究人員將發(fā)現(xiàn)和修正軟件中的零日攻擊缺陷，但他們的工作不局限于此。研究人員還將調(diào)查他們認(rèn)為有助于提高安全性的任何防護(hù)或分析技術(shù)。”

Project Zero項(xiàng)目還將創(chuàng)建一個(gè)零日攻擊缺陷公共數(shù)據(jù)庫(kù)，零日攻擊缺陷將被首先報(bào)告給軟件廠(chǎng)商。埃文斯說(shuō)，Project Zero希望“盡可能早地”向軟件廠(chǎng)商通報(bào)零日攻擊缺陷，并與它們合作開(kāi)發(fā)補(bǔ)丁軟件。軟件廠(chǎng)商發(fā)布補(bǔ)丁軟件后Google才會(huì)對(duì)外披露缺陷，這在安全界被稱(chēng)作“負(fù)責(zé)任的披露”。

埃文斯指出，“我們的目標(biāo)是大幅減少受到攻擊影響的用戶(hù)數(shù)量。我們聘請(qǐng)了最棒的安全研究人員，他們將全職提高整個(gè)互聯(lián)網(wǎng)的安全性。”

埃文斯說(shuō)，Project Zero起源于Google員工的業(yè)余安全研究項(xiàng)目。Project Zero已經(jīng)幫助蘋(píng)果發(fā)現(xiàn)了一處安全缺陷。他說(shuō)，“Project Zero尚處于早期階段，我們預(yù)計(jì)年底時(shí)Project Zero數(shù)據(jù)庫(kù)將包含有更多得到修正的安全缺陷。”

埃文斯稱(chēng)，Project Zero還旨在解決缺陷跟蹤方面長(zhǎng)期以來(lái)一直存在的難題。安全研究人員可以利用Project Zero數(shù)據(jù)庫(kù)監(jiān)測(cè)廠(chǎng)商修正缺陷所使用的時(shí)間、跟蹤利用缺陷發(fā)動(dòng)攻擊的討論、研究歷史上的安全攻擊、跟蹤宕機(jī)事件。

Project Zero并非科技產(chǎn)業(yè)解決零日攻擊缺陷問(wèn)題的首次嘗試。自2005年以來(lái)，惠普Z(yǔ)ero-Day Initiative一直對(duì)被證實(shí)的零日攻擊缺陷提供獎(jiǎng)金。

惠普Z(yǔ)ero-Day Initiative項(xiàng)目經(jīng)理布賴(lài)恩•戈倫茨(Brian Gorenc)說(shuō)，“Google涉足缺陷研究領(lǐng)域提高了這類(lèi)研究的重要性。”Zero-Day Initiative項(xiàng)目覆蓋約3000名獨(dú)立研究人員，過(guò)去近10年時(shí)間發(fā)現(xiàn)逾1700個(gè)零日攻擊缺陷。