一直以来,谷歌运营着许多在全球范围内广受尊敬的网络安全行动,例如,它的 Project Zero 负责发现严重而隐蔽的安全漏洞,而 Threat Analysis Group 则会直接对抗由朝鲜和俄罗斯等支持的黑客活动。
最近,这两个团队钓到一只意料之外的大鱼:一个“专业的”黑客团伙,该团伙企图利用 11 项安全漏洞黑掉运行 iOS、安卓和 Windows 系统的设备。
(来源:MIT Technology Review)
但是,《麻省理工科技评论》了解到,上述黑客的真实身份其实是西方政府的特工,他们正在积极开展一项反恐行动。谷歌做出的阻止这次网络攻击并将其公之于众的决定,在公司内部引发了对立,并在美国及其盟国的知识分子群体内部引起了质疑。
该公司的最近两篇博客详述了其发现的一系列过在去 9 个月时间内被用于黑客活动的零时差漏洞,利用这些漏洞进行的攻击行为可追溯至 2020 年初,它们使用了史无前例的技术,具体是利用受感染的网站向访问用户提供恶意软件的“水坑式攻击”。由于规模庞大、复杂程度很高且传播迅速,它们引起了网络安全专家们的注意。
然而,谷歌的公告显然隐瞒了关键的细节,包括攻击的实施者和目标群体分别是谁,以及关于恶意软件或攻击者使用的域名的重要技术信息。通常情况下这些信息至少会被部分披露给公众,所以某位安全专家才会批评谷歌的报告是“一个黑洞”。
网络安全公司时常会阻止盟国政府利用安全漏洞,但这些事情基本不会被公之于众。在回应这次事件时,有些谷歌员工认为反恐行动应该保持在公众视线之外;另一些员工则坚信谷歌完全有权将其公开,这是在保护用户并改善网络安全环境。
在一份声明中,谷歌的发言人称:“Project Zero 致力于发现并修复零时差漏洞,以及发布旨在促进整个研究群体了解新安全漏洞和攻击技术的技术性研究。我们相信,共享此次研究成果能推动建立更好的防御策略,并改善所有人的安全状况。这个研究不是为了找人背锅。”
确实,将黑客攻击归咎于特定团体不是 Project Zero 的行事风格,但与他们共事的威胁分析小组却会这么干,谷歌省略的信息远不仅是黑客活动背后的政府的身份,通过这些被省略的信息,谷歌团队内部是知道攻击者和目标的身份的。不过,目前尚不清楚谷歌是否提前通知了政府官员他们要公开并制止这次攻击。
但是,据一位美国前高级情报官员所说,西方政府的行动是可辨认的。
“某些标志性特征是西方的行动独有的……你能从代码中看出这些特征,”这位前官员说——他未被授权对任何行动发表评论因而在此不具名。“在我看来,这体现了一个关键的伦理维度。人们对待由合法选举产生的代议制政府主导、受民主监督的情报活动或执法活动的方式,和对待威权主义政权的此类行为的方式,是非常不同的。”
“监督在技术、手段和程序层面上都深刻地烙印于西方的行动之中,”此人补充道。
谷歌发现这个黑客团伙在仅仅 9 个月时间内就利用了 11 个零时差漏洞,这个数字已经很高了,遭到攻击的软件包括 iPhone 上的 Safari 浏览器,以及许多人们熟悉的产品,包括安卓和 Windows 设备上的 Chrome 浏览器。
但谷歌内部的结论是,黑客是谁以及他们为什么发起攻击从来都没有安全缺陷本身来的重要。今年早些时候,Project Zero 的 Maddie Stone 曾声称,黑客发现和利用严重的零时差漏洞太容易了,她和她的团队在侦测零时差漏洞的战线上面临着一场硬仗。
谷歌不去关注行动的背后推手和目标是谁,而是决定为了所有人采取更广泛的行动,其给出的理由是,就算今天利用漏洞的人是某个西方政府,这个漏洞早晚也会被其他势力所用。所以,立刻马上修复漏洞才是正确的选择。
西方的网络安全团队抓了盟国政府的黑客这种事情早已屡见不鲜了。然而,在安全团队和黑客是友军时——比如他们都服务于由美国、英国、加拿大、澳大利亚和新西兰组成的情报同盟“五眼联盟”——有些公司会奉行沉默政策,不公开此类黑客活动。在谷歌的安全团队中,一些成员曾在西方的情报机构工作,有的还为政府实施过黑客行动。
有些情况下,安全公司会不声不响地清理掉所谓的“友军”恶意软件。
近期发表了关于私有企业网络安全调查的研究的前五角大楼官员 Sasha Romanosky 表示:“他们通常不会对美国政府的黑客活动进行攻击归因,他们告诉我们说,他们会特意避嫌。寻根究底之事不归他们管,他们很礼貌地靠边站了,(而)这是意料之中的。”
尽管谷歌这次搞出了个非常规状况,但过去也发生过类似的事情。俄罗斯的网络安全公司卡巴斯基在 2018 年就因为曝光了一次美国领导的、针对中东的 ISIS 和基地组织成员进行的反恐行动而受到了抨击。
美国官员声称,与谷歌的做法类似,卡巴斯基也没指名道姓地对这一安全威胁进行归因,但总归是曝光并阻止了它,这让美国的特工失去了一个宝贵的监视程序,甚至威胁到了执行任务的士兵的生命安全。
当时,卡巴斯基已经因其与俄罗斯政府的关系而被喷得很惨。最终,美国禁止了在政府系统中使用该公司的服务,但卡巴斯基自始至终都不承认和克里姆林宫有任何特殊的关系。
谷歌自己也曾处于类似的境地。2019 年,谷歌发布过一项关于疑似美国政府黑客团队的研究,虽然它从未进行明确的攻击归因,但那项研究关注行动早已是过去式。相比之下,谷歌最近的公告可是把一项正在进行中的网络间谍行动放在了聚光灯下。
在政府和谷歌公司内部引发的警惕表明,谷歌正处于困境中。
谷歌的安全团队对公司的客户负有责任,大家普遍期待他们能尽其所能地保护谷歌产品及其相应用户免受黑客的攻击。在本次事件中有一点值得注意:黑客利用的技术不仅会影响比如 Chrome 浏览器和安卓系统等谷歌产品,还会影响 iPhone。
各个团队给自己划定的职责范围各不相同,Project Zero 的突出之处在于,它会在全网范围内应对严重的安全漏洞,而非自扫门前雪、只关注谷歌自家的产品。
“我们为限制零时差漏洞而迈出的每一步,都在让我们所有人变得更安全,”Maddie Stone 在发布最新一项研究时写了这条推文。她是 Project Zero 团队中最受人尊敬的成员之一。
可有些人认为,尽管保护客户免受黑客侵扰是很重要,但反恐行动是另一个层面上的事情,它可能关乎一些人的生死存亡,这远非日常网络安全之所及。
当为西方国家工作的黑客发现网络安全漏洞时,有一套现成的方法来计算向受其影响的公司披露该漏洞的潜在成本与收益。美国政府称其为“漏洞估值程序”。
批评者担心美国的情报机构囤积了大量了漏洞以备利用,但美国的体系比包括其西方盟友在内的世界上绝大多数国家都要更制度化、更透明且覆盖范围更广。
这个评估程序旨在让政府官员得以在二者的收益间进行平衡:是为了日后将之用于获取情报而对安全漏洞秘而不宣,还是为了更广泛的利益而把漏洞告知科技公司以将其修复。
去年,美国国家安全局做了件非同寻常的事,它承认向微软报告了 Windows 系统的一个旧有漏洞,这类由政府提交给企业的报告通常都是匿名且保密的。
但是,就算美国情报机构的披露程序可能会有透明性不足的情况发生,其它西方国家的类似程序也只会规模更小、更隐秘,或者只是不那么制度化因而很容易规避。
“即使是其它西方民主国家,在很多情况下,对于他们国家安全机构所作所为的监管,其严格程度都远不及我们美国,”Michael Daniel 说到。他曾任奥巴马政府的白宫网络安全专员。
“议会监管的力度要低得多。这些国家也缺少像美国一样的机构间协同工作程序。我很少夸美国,我们有许多的问题,但在这个领域中,我们真的有健全的程序,而其它西方民主国家就是没有。”
被谷歌干掉的这个黑客团伙能在如此短的时间内利用如此多的零时差漏洞,这一事实可能表明平衡性出了问题。但是,有些观察者表示出对于进行中的反恐网络行动在关键时刻被终止后很难迅速重启的担忧。
“在美国的盟友中,有的国家能迅速重启整项行动,但有的国家没有这种能力,”这位不愿意透露姓名的前美国高级情报官员说到。据其解释,在反恐行动中,对突然失去攻击能力或被目标发现的担忧是很强烈的,在进行密集攻击的“高度暴露阶段”尤为如此。谷歌所拥有的终止整个行动的能力可能会成为更多龃龉的根源。
“这事儿还没解决好,”这位官员说到,“人们正在逐渐意识到,像谷歌这样的存在能如此迅速地让如此强大的能力陷入瘫痪。”
