外网资讯 | Google 安全团队破坏了美国政府黑客的行动
谷歌“零项目”团队和其威胁分析小组最近捕捉到一个“专家”黑客组织,利用11个强大的漏洞来破坏运行iOS、Android和Windows的设备。但是《麻省理工科技评论》获悉,这些黑客实际上是西方政府积极从事反恐行动的人员。安全公司会定期关闭友好政府正在使用的漏洞利用程序,但此类行为很少公开,这一事件引起了Google内部的争议。
谷歌运行着地球上一些最受尊敬的网络安全业务:例如,其"零项目"团队发现强大的未被发现的安全漏洞,而其威胁分析小组则直接反击由朝鲜、中国和俄罗斯等国政府支持的黑客攻击。这两个团队最近发现了一条出人意料的大鱼:一个"专家"黑客组织利用11个强大的漏洞来破坏运行iOS、Android和Windows的设备。
但麻省理工学院技术评论了解到,这些黑客实际上是正在积极进行反恐行动的西方政府特工。该公司停止和宣传此次攻击的决定引起了谷歌内部的分裂,并在美国及其盟友的情报界引起了质疑。
谷歌最近的一篇博文详细描述了在9个月的时间里发现黑客使用的零日漏洞。这些漏洞可追溯到 2020 年初,使用了前所未见的技术,是使用受感染网站向访客提供恶意软件的"浇水洞"攻击。他们以其规模、成熟度和速度吸引了网络安全专家的注意。
然而,谷歌的公告明显忽略了关键细节,包括谁应对黑客攻击负责,谁成为攻击目标,以及有关恶意软件或操作中使用的域名的重要技术信息。至少其中一些信息通常会以某种方式公开,导致一位安全专家批评该报告为"黑洞"。
"不同的道德问题"
保安公司经常关闭友好政府使用的漏洞,但此类行为很少被公开。针对这一事件,谷歌的一些员工认为,反恐任务应该超出公开披露的界限:另一些人则认为,该公司完全在其权利范围内,该公告有助于保护用户,使互联网更加安全。
谷歌发言人在一份声明中说:"零项目致力于发现和修补0天的漏洞,并发布技术研究,旨在促进整个研究界对新颖的安全漏洞和开发技术的理解。"我们相信,分享这项研究可以带来更好的防御策略,并提高每个人的安全性。作为本研究的一部分,我们不执行归因。
的确,零项目并没有正式将黑客攻击归因于特定的群体。但是,同样负责该项目的威胁分析小组确实执行了归因。谷歌省略了更多的细节,而不仅仅是黑客背后的政府名称,通过这些信息,团队在内部知道谁是黑客和目标。目前还不清楚谷歌是否提前通知政府官员,他们将公布和关闭攻击方法。
但据一位前美国高级情报官员称,西方的行动是可以识别的。
"西方业务中有某些特征在其他实体中不存在。。。。。。你可以看到它翻译成代码,"这位前官员表示, 他未获授权对运营发表评论,并以匿名身份发言。"我认为,这正是道德方面的关键因素之一。在合法选举产生的代议制政府中,如何对待在民主监督下推动的情报活动或执法活动,与独裁政权大相径庭。
他们补充说:"在技术、贸易和程序层面,西方业务都受到监督。
谷歌发现黑客组织在短短9个月内利用了11个零日漏洞,在短时间内利用了大量漏洞。被攻击的软件包括iPhone上的Safari浏览器,但也包括许多谷歌产品,包括Android手机和Windows电脑上的Chrome浏览器。
但谷歌内部的结论是,谁是黑客,为什么从来没有像安全缺陷本身那么重要。今年早些时候,"零项目"的麦迪·斯通认为,黑客发现和使用强大的零日漏洞太容易了,她的团队面临着一场艰苦的战斗来检测它们的使用。
谷歌没有关注谁是特定行动的幕后黑手和目标,而是决定为每个人采取更广泛的行动。理由是,即使一个西方政府是利用这些漏洞的今天,它最终将被其他人使用,所以正确的选择总是修复今天的缺陷。
"这不是他们的工作"
这远非西方网络安全小组首次抓获来自盟国的黑客。然而,一些公司有一个安静的政策,即如果安全团队和黑客都被认为是友好的,不公开揭露这种黑客行动,例如,如果他们是美国、英国、加拿大、澳大利亚和新西兰组成的"五眼"情报联盟的成员。谷歌安全小组的几个成员是西方情报机构的老兵,有些人为这些政府进行了黑客活动。
在某些情况下,安全公司会清理所谓的"友好"恶意软件,但避免公开。
前五角大楼官员萨沙?罗曼诺斯基(SashaRomosky)表示:"他们通常不会将美国的行动归罪于美国。"他们告诉我们,他们特别走开。这不是他们的工作,找出:他们礼貌地移到一边。这并不出人意料。
虽然谷歌的情况在某些方面是不寻常的,但过去也发生过类似的情况。2018年,俄罗斯网络安全公司卡巴斯基(Kaspersky)揭露了美国领导的针对中东ISIS和基地组织成员的反恐网络行动,遭到抨击。美国官员说,卡巴斯基和谷歌一样,没有明确将威胁归罪于谷歌,但还是暴露了威胁,使其毫无用处,这导致特工人员无法进入有价值的监视计划,甚至危及地面士兵的生命。
卡巴斯基当时已经因为与俄罗斯政府的关系而受到严厉批评,公司最终被禁止进入美国政府系统。它一直否认与克里姆林宫有任何特殊关系。
谷歌以前也发现自己也处于类似的困境。2019年,该公司发布了关于美国黑客组织的研究,尽管从未做出具体归因。但是,这项研究是关于一个历史性的操作。然而,谷歌最近的公告将焦点放在了一次实时的网络间谍行动中。
谁在被保护?
政府和谷歌内部的警报都表明,该公司处境艰难。
谷歌安全团队对公司客户负有责任,人们普遍预计他们会尽最大努力保护受到攻击的产品,从而保护用户。在这次事件中,值得注意的是,所使用的技术不仅影响了谷歌产品,如Chrome和Android,而且还影响了iPhone。
虽然不同的团队划清了自己的界限,但零项目通过解决互联网上的关键漏洞而出名,而不仅仅是谷歌产品中的漏洞。
最新研究发表时,安全团队中最受尊敬的成员之一麦迪•斯通(MaddieStone)在微博中写道:"我们迈出的每一步都让0天变得艰难,让我们所有人都更安全。
但是,尽管保护客户免受攻击很重要,但一些人认为反恐行动是不同的,其生死后果可能超越日常互联网安全。
当西方国家的国家支持的黑客发现网络安全缺陷时,有既定的方法来找出向受影响的公司披露安全漏洞的潜在成本和好处。在美国,它被称为"脆弱性股票过程"。批评人士担心,美国情报部门囤积了大量漏洞,但美国的情报系统比世界上几乎所有其他国家(包括西方盟国)所做的更正式、更透明、更广泛。这个过程旨在让政府官员能够平衡对缺陷保密的好处,以便将其用于情报目的,并让科技公司了解缺陷以修复缺陷的更大好处。
去年,美国国家安全局做出了一个不寻常的举动,以表彰微软视窗的一个旧缺陷。从政府到行业,这类报告通常都是匿名的,而且常常是保密的。
但是,尽管美国情报系统的披露过程可能不透明,但其他西方国家的类似程序往往更小、更隐秘,或者只是非正式的,因此很容易绕过。
奥巴马政府白宫网络安全协调员迈克尔?丹尼尔(MichaelDanel)表示:"即使在西方民主国家,对其国家安全机构实际工作的监督程度,在许多情况下,也比我们在美国要少得多。
"议会的监督程度要小得多。这些国家没有美国强大的机构间程序。我通常不是一个吹嘘美国的人——我们有很多问题——但这是一个我们拥有其他西方民主国家所没有的强大流程的领域。
谷歌调查所打击的黑客组织拥有并如此迅速地使用了如此多的零日漏洞,这一事实可能表明存在问题的不平衡。但一些观察家担心,在没有能力迅速重新启动的情况下,现场反恐网络行动在可能决定性的时刻被关闭。
这位前美国高级情报官员表示:"美国盟国并不都有能力像其他一些参与者那样迅速恢复整个行动。这名官员解释说,对于反恐任务来说,对突然失去利用能力或被目标发现的担忧尤其高,尤其是在"难以置信的暴露期",当时发生了大量剥削行为。谷歌关闭此类业务的能力可能是更多冲突的根源。
这名官员说:"这个问题还没有得到很好的解决。"像谷歌这样的人可以迅速摧毁那么多能力的想法正在慢慢浮出水面。
资讯来源:technologyreview
