Google安全團(tuán)隊(duì)該不該披露疑似美國(guó)政府的黑客行動(dòng)?
最近,谷歌安全團(tuán)隊(duì)披露了一項(xiàng)黑客攻擊行動(dòng),但該黑客組織疑似是為美國(guó)政府及其盟友工作,進(jìn)行網(wǎng)絡(luò)反恐行動(dòng)……
3月29日消息,谷歌安全團(tuán)隊(duì)發(fā)現(xiàn)某個(gè)黑客組織在短短9個(gè)月內(nèi)利用了11個(gè)零日漏洞,許多谷歌產(chǎn)品受影響,iPhone的Safari瀏覽器也被波及。
Keynotes
- 谷歌的安全團(tuán)隊(duì)公開揭露了一場(chǎng)歷時(shí)9個(gè)月的黑客行動(dòng)
- 這一舉動(dòng)終止了某西方政府正在進(jìn)行的反恐行動(dòng)
- 該舉動(dòng)在谷歌內(nèi)部和和外界引起爭(zhēng)議
谷歌Project Zero團(tuán)隊(duì)和威脅分析小組(Threat Analysis Group)在業(yè)內(nèi)享譽(yù)盛名。近期,這兩個(gè)團(tuán)隊(duì)意外地發(fā)現(xiàn)了一條大魚:一個(gè)專家級(jí)黑客組織利用11個(gè)強(qiáng)大的漏洞來攻擊運(yùn)行iOS、Android和Windows的設(shè)備。
攻擊路徑
阻止這次“專家級(jí)”網(wǎng)絡(luò)攻擊的決定在谷歌內(nèi)部引發(fā)了爭(zhēng)議,此前有消息稱這些黑客是為美國(guó)及其盟友工作。《麻省理工科技評(píng)論》(MIT Technology Review)表示,這些受質(zhì)疑的黑客實(shí)際上是西方政府特工,正在開展反恐行動(dòng)。
谷歌選擇停止該攻擊并將它公之于眾的決定在公司內(nèi)部引起爭(zhēng)議,也引發(fā)了美國(guó)及其盟友的情報(bào)部門質(zhì)疑。
谷歌在最近的兩篇博客文章中,詳細(xì)描述了它在最近9個(gè)月內(nèi)發(fā)現(xiàn)的被黑客利用的零日漏洞。
這種攻擊始于2020年初,使用了一種被稱為“水坑”攻擊的新技術(shù),利用受感染的網(wǎng)站向訪問者發(fā)送惡意軟件。攻擊的規(guī)模、復(fù)雜性和速度引起了網(wǎng)絡(luò)安全專家的注意。
不過,谷歌的聲明明顯忽略了一些關(guān)鍵細(xì)節(jié),包括誰應(yīng)該為這次黑客攻擊負(fù)責(zé),誰是攻擊目標(biāo),以及相關(guān)惡意軟件或行動(dòng)中使用的域名等重要技術(shù)信息。
一位安全專家批評(píng)該報(bào)告是一個(gè)“黑洞”,因?yàn)樯鲜鲂畔⒅辽贂?huì)以某種形式披露一條。
要不要公布政府的網(wǎng)絡(luò)行動(dòng)?
安全團(tuán)隊(duì)通常會(huì)關(guān)閉被政府利用的漏洞,但很少公開這類行動(dòng)。針對(duì)這一事件,一些谷歌員工表示,反恐任務(wù)不應(yīng)被公開披露;另一些人則認(rèn)為,公司有義務(wù)公開攻擊行為,目的是保護(hù)用戶,使互聯(lián)網(wǎng)更加安全。
谷歌發(fā)言人在一份聲明中說:“Project Zero致力于發(fā)現(xiàn)和修補(bǔ)零日漏洞,并發(fā)布技術(shù)研究,旨在促進(jìn)研究社區(qū)氛圍,加強(qiáng)對(duì)新型安全漏洞的理解和利用。”“我們相信,分享技術(shù)研究可以帶來更好的防御策略,增加每個(gè)人的安全。但我們的研究并不包括歸因。”
雖然 Project Zero并沒有將此次黑客行為歸咎于特定的組織。但同樣參與該項(xiàng)目的威脅分析小組會(huì)進(jìn)行歸因。
除了未指明行為主體,谷歌還省略了更多細(xì)節(jié)。目前還不清楚谷歌是否事先通知了政府官員,他們將公布并關(guān)閉這種攻擊方法。
一位美國(guó)前高級(jí)情報(bào)官員表示,政府的網(wǎng)絡(luò)行為是可以辨認(rèn)的。
這名不愿具名的前官員表示:“政府的網(wǎng)絡(luò)行動(dòng)中,代碼會(huì)暗含一些特點(diǎn)。”他認(rèn)為關(guān)鍵是,民眾如何看待這種情報(bào)活動(dòng)或執(zhí)法活動(dòng)。
谷歌發(fā)現(xiàn)該黑客組織在短短9個(gè)月內(nèi)利用了11個(gè)零日漏洞。受到攻擊的軟件包括iPhone的Safari瀏覽器,還有許多谷歌產(chǎn)品,例如Android手機(jī)和Windows電腦上的Chrome瀏覽器。
受影響的產(chǎn)品
但谷歌內(nèi)部得出的結(jié)論是,誰在入侵,為什么要入侵,從來沒有安全漏洞本身重要。今年早些時(shí)候,“零計(jì)劃”(Project Zero)的瑪?shù)?middot;斯通(Maddie Stone)認(rèn)為,黑客很容易就能找到并利用強(qiáng)大的零日漏洞,她的團(tuán)隊(duì)在探測(cè)這些漏洞的使用上面臨著一場(chǎng)艱巨的戰(zhàn)斗。
谷歌這樣做的理由是,同一個(gè)漏洞,今天可能被友邦利用,明天就有可能被其他國(guó)家利用,所以正確的選擇是立即修復(fù)漏洞。
早有先例
這不是西方網(wǎng)絡(luò)安全團(tuán)隊(duì)第一次偵察到來自友邦的黑客,例如“五眼聯(lián)盟”(美國(guó)、英國(guó)、加拿大、澳大利亞和新西蘭)的黑客。對(duì)于他們來說,不公開是行業(yè)慣例。
谷歌安全團(tuán)隊(duì)的幾名成員都是西方情報(bào)機(jī)構(gòu)的資深人員,還有人曾為政府組織過黑客活動(dòng)。在某些情況下,安全公司會(huì)默默清除所謂的“友好”惡意軟件。
前五眼大樓官員薩沙•羅曼諾夫斯基(Sasha Romanosky)表示:“安全公司通常不會(huì)干涉美國(guó)政府的網(wǎng)絡(luò)行動(dòng)。”薩莎最近發(fā)表了一份有關(guān)企業(yè)網(wǎng)絡(luò)安全調(diào)查的研究報(bào)告。“他們?cè)鞔_表示要遠(yuǎn)離政府網(wǎng)絡(luò)行動(dòng)。這不是他們的工作范圍。”
雖然谷歌也遵循這種慣例,但在過去也有過例外的情況。2019年,該公司發(fā)布了一項(xiàng)研究,研究的黑客組織很可能來自美國(guó),但谷歌未明確指出具體原因。
但差別是,這項(xiàng)研究公布的是一次歷史行動(dòng),而谷歌此次公布的是一個(gè)正在進(jìn)行的網(wǎng)絡(luò)行動(dòng)。
2018年,俄羅斯網(wǎng)絡(luò)安全公司卡巴斯基,曝光了美國(guó)針對(duì)中東地區(qū)ISIS和基地組織Al Qaeda成員的網(wǎng)絡(luò)反恐行動(dòng)。卡巴斯基因此受到了抨擊。
美國(guó)官員稱,卡巴斯基和谷歌一樣,沒有明確地將威脅歸因,但將攻擊行為公開,導(dǎo)致攻擊行動(dòng)難以為繼,特工無法接觸到有價(jià)值的監(jiān)控項(xiàng)目,甚至讓士兵的生命處于危險(xiǎn)之中。
當(dāng)時(shí),卡巴斯基已經(jīng)因與俄羅斯政府的關(guān)系而受到嚴(yán)厲批評(píng),該公司最終被禁止進(jìn)入美國(guó)政府的系統(tǒng)。
參考鏈接:https://googleprojectzero.blogspot.com/2021/03/in-wild-series-october-2020-0-day.html
