谷歌在去年7月成立的安全小組近期給競爭對手發(fā)出了最后通知:90天內(nèi)若不修復(fù)漏洞,將會公開漏洞細(xì)節(jié)。此前,谷歌已經(jīng)拒絕過寬限修復(fù)時間的要求。
網(wǎng)絡(luò)安全正讓美國的科技巨頭們陷入“三國殺”的混亂局面。
美國當(dāng)?shù)貢r間2月11日,谷歌給它的競爭對手們發(fā)出了最后通牒:90天內(nèi)修復(fù)軟件漏洞,否則將公開這些漏洞。
最近,由谷歌的精英黑客和程序員組成的隊(duì)伍,對自己以及競爭對手的軟件安全進(jìn)行了檢查,并發(fā)出了最后通知。谷歌表示,希望軟件設(shè)計者能更快回應(yīng),因?yàn)榫W(wǎng)絡(luò)犯罪的風(fēng)險會在漏洞曝光后提高。
已確定微軟蘋果
共59個產(chǎn)品漏洞
“我不知道是誰讓谷歌官方做出了這樣的警告。”Denim Group公司約翰·迪克森表示,給公司壓力,讓他們修補(bǔ)漏洞是個好方法,但谷歌“高尚”的動機(jī)也受到了質(zhì)疑,因?yàn)楣雀璞龅氖撬畲蟮膬蓚€競爭對手(微軟和蘋果)的軟件漏洞。
自家的軟件安全問題,被競爭對手發(fā)現(xiàn),還被發(fā)了最后通告,這怎么看都是敏感又尷尬的問題。但微軟和蘋果偏偏拒絕回應(yīng)。行業(yè)里的其他人認(rèn)為,谷歌這樣的“幫助”其實(shí)并不受歡迎,最好的方法應(yīng)該是讓政府來監(jiān)管,否則會破壞網(wǎng)絡(luò)安全生態(tài)環(huán)境。
此次查出微軟、蘋果軟件漏洞的,是谷歌在2014年7月成立的安全小組,其內(nèi)部代號為零點(diǎn)計劃(Project Zero)。這個小組的目標(biāo)在于,提升所有網(wǎng)絡(luò)用戶以及谷歌自己的產(chǎn)品安全。
根據(jù)安全風(fēng)險評估,“零點(diǎn)計劃”已經(jīng)確定了39個微軟產(chǎn)品漏洞、20個蘋果產(chǎn)品漏洞。
令部分分析師好奇的是,如果這些互聯(lián)網(wǎng)巨頭都不能在一起愉快玩耍了,那網(wǎng)絡(luò)安全問題的合作與信息分享究竟能否達(dá)成。
“如果這些公司都不能合作,那對于整個網(wǎng)絡(luò)安全生態(tài)系統(tǒng)來說,是個非常糟糕的事情。”風(fēng)險安全公司信息安全部門總管Jake Kouns在接受彭博采訪時說。
曾拒絕推遲公開漏洞
“谷歌的聲明并不是規(guī)定,倒像是‘哈,抓到你了’,這會讓消費(fèi)者遭遇損失。”微軟安全響應(yīng)中心高級主管克里斯·貝茨(Chris Betz)在自己的博客上說,“對于谷歌來說是正確的決定,卻不一定對顧客來說是正確的。”這也是微軟方面在社交媒體上的唯一表態(tài)。
對谷歌的公告持反對意見的人認(rèn)為,谷歌在漏洞修復(fù)前將其暴露的做法,可能促使黑客加緊攻擊這些漏洞。
更有知情人士透露,今年1月份,蘋果曾“懇求”谷歌推遲一周公開Mac OS X系統(tǒng)的三個漏洞,讓其有時間修復(fù)。
彭博援引知情人士的話稱,當(dāng)時谷歌已經(jīng)知道蘋果系統(tǒng)漏洞修復(fù)即將完成,但谷歌還是拒絕了蘋果的要求,將漏洞細(xì)節(jié)公布。微軟也曾要求谷歌寬限兩天來修復(fù)Windows的漏洞,同樣被谷歌無情拒絕。
微軟安全響應(yīng)中心高級主管貝茨說,“在網(wǎng)絡(luò)安全問題上,無論是采用限制還是忽略的方法,對研究者、軟件供應(yīng)商、我們的客戶而言都是無益的,這是一個零和博弈,最終各方都會受傷。”
或利于刺激管理修復(fù)
谷歌的支持者則認(rèn)為,強(qiáng)硬的方法可能從根本上改變軟件行業(yè),保障用戶的安全。因?yàn)檫^去,軟件公司在修復(fù)軟件漏洞時往往需要漫長的時間,幾個月,甚至數(shù)年。
“每個人在使用網(wǎng)絡(luò)時,都應(yīng)該不需要擔(dān)心網(wǎng)絡(luò)犯罪,或擔(dān)心漏洞會傷害到自己的電腦,擔(dān)心自己秘密被竊取,擔(dān)心自己被監(jiān)視。”2014年7月15日,“零點(diǎn)計劃”成立之初的公告這樣寫道,“我們的目標(biāo)是顯著降低針對性的攻擊。”
Frost &Sullivan公司網(wǎng)絡(luò)安全行業(yè)研究分析師Christopher Kissel說,谷歌的行為有助于刺激軟件漏洞管理與修復(fù)行業(yè)的崛起。到2018年,這個行業(yè)的市場容量有望從2014年的6億美元,增長到10億美元。
針對網(wǎng)絡(luò)安全的監(jiān)管,部分分析師認(rèn)為這樣的工作應(yīng)該交給政府更加合適。2月13日,在加利福尼亞州帕洛阿爾托即將召開“網(wǎng)絡(luò)安全峰會”,關(guān)于私營和公共部門在網(wǎng)絡(luò)安全中應(yīng)該各自扮演怎樣的角色,是會議的議題之一。
彭博社稱,美國總統(tǒng)奧巴馬將在會議上呼吁技術(shù)領(lǐng)導(dǎo)者加強(qiáng)合作,并彼此分享更多的信息。
彭博社同時稱,谷歌、雅虎和Facebook三家美國科技巨頭的最高層將不出席網(wǎng)絡(luò)安全峰會,由公司的信息安全主管代為參加。不過,蘋果公司首席執(zhí)行官庫克確認(rèn)出席。外電評價,美國政府監(jiān)聽項(xiàng)目使得科技巨頭和白宮間的關(guān)系開始惡化。