<rt id="tf2wb"><bdo id="tf2wb"><kbd id="tf2wb"></kbd></bdo></rt>
    1. <button id="tf2wb"><thead id="tf2wb"></thead></button>

      <rp id="tf2wb"><bdo id="tf2wb"></bdo></rp>
      <delect id="tf2wb"><td id="tf2wb"></td></delect>
      <rt id="tf2wb"></rt>
      <rt id="tf2wb"><bdo id="tf2wb"></bdo></rt>
    2. 企業(yè)與個(gè)人網(wǎng)絡(luò )營(yíng)銷(xiāo)一站式服務(wù)商
      網(wǎng)站建設 / SEO優(yōu)化排名 / 小程序開(kāi)發(fā) / OA
      0731-88571521
      136-3748-2004
      中國黑客專(zhuān)找蘋(píng)果軟件漏洞 盈利超25萬(wàn)美元
      信息來(lái)源:長(cháng)沙做網(wǎng)站   發(fā)布時(shí)間:2010-7-16   瀏覽:

      中國安全研究員吳石

      中國安全研究員吳石

      導讀:美國《福布斯》雜志網(wǎng)絡(luò )版今天撰文稱(chēng),中國安全研究員吳石發(fā)現的瀏覽器漏洞中,有半數都來(lái)自蘋(píng)果Safari瀏覽器。他認為,蘋(píng)果借助較小的市場(chǎng)份額而免受安全問(wèn)題的困擾的日子將一去不復返。

      以下為文章概要:

      無(wú)名英雄吳石

      如果說(shuō)“嚴厲的愛(ài)”是解決軟件故障的最佳方法,那么吳石(Wu Shi,音譯)或許就是信息安全領(lǐng)域眾多的無(wú)名英雄之一。

      自2007年以來(lái),這位家住上海的35歲研究員已經(jīng)發(fā)現并報告了IE、Safari和Chrome等瀏覽器中存在的100多個(gè)嚴重漏洞。當用戶(hù)瀏覽被感染的網(wǎng)頁(yè)時(shí),黑客可以借助這些漏洞劫持用戶(hù)的電腦。僅去年一年,他就將其中50多個(gè)漏洞出售給了Zero Day Initiative(以下簡(jiǎn)稱(chēng)“ZDI”)和iDefense等漏洞懸賞項目。這兩個(gè)項目分別歸屬于惠普和VeriSign,他們專(zhuān)門(mén)花錢(qián)從研究人員那里購買(mǎi)漏洞信息,并在安全產(chǎn)品中使用這些數據,隨后再將其交給受影響的軟件廠(chǎng)商。

      這表明吳石一年匯報給ZDI和iDefense的漏洞比全世界任何一個(gè)研究人員都多,其中超過(guò)半數都來(lái)自蘋(píng)果Safari瀏覽器。

      例如,在上月的一次安全更新中,蘋(píng)果針對iPhone操作系統發(fā)布了64個(gè)新補丁,其中只有6個(gè)是蘋(píng)果內部研究人員自己發(fā)現的,12個(gè)由谷歌研究人員發(fā)現,還有15個(gè)是由吳石發(fā)現的。

      安全專(zhuān)家查理•米勒(Charlie Miller)說(shuō):“或許蘋(píng)果應當聘請吳石來(lái)幫助他們,因為他發(fā)現的漏洞是蘋(píng)果整個(gè)安全團隊的兩倍還多!

      獨特fuzzing算法

      吳石通過(guò)即時(shí)通訊和電子郵件解釋了他是如何使用一種名為“fuzzing”的方法來(lái)收集這些漏洞的。使用這種方法時(shí),需要向軟件中輸入大批經(jīng)過(guò)修改的文件,以便查看哪些文件會(huì )導致軟件崩潰。之后再對這些崩潰事件進(jìn)行分析,以便了解哪些情況會(huì )允許黑客注入代碼并控制瀏覽器。

      吳石使用他自己的獨特算法來(lái)生成這些測試文件,然后將他們拋入Apache Tomcat服務(wù)器。通過(guò)這種方法,他就可以獲得更快的頻率,從而比普通研究人員測試更多的樣本。與以往只更改文件中的單一變量不同,吳石表示,他的方法會(huì )更改整個(gè)樣本,而且能夠在進(jìn)行盡可能多的更改的同時(shí),仍然讓瀏覽器將文件識別為HTML文檔!拔业膄uzzing框架關(guān)注的是軟件架構,而不是細節!眳鞘f(shuō)。

      ZDI研究經(jīng)理亞倫•波托尼(Aaron Portnoy)對吳石發(fā)現的漏洞進(jìn)行了研究,他表示,吳石不會(huì )對他所發(fā)現的漏洞進(jìn)行深入分析。但他認為,這名中國研究員使用的方法可以捕捉到其他方法無(wú)法發(fā)現的漏洞!斑@些文件中的相關(guān)項目有著(zhù)復雜的層次結構。他可以改變關(guān)系樹(shù)結構的工作方式,而不僅僅是其中的一個(gè)項目!辈ㄍ心嵴f(shuō),“很多人只是fuzz數據,而他則是fuzz關(guān)系!

      曲折從業(yè)經(jīng)歷

      吳石說(shuō),他是在職業(yè)發(fā)展經(jīng)歷了一系列挫折后才在漏洞尋找領(lǐng)域實(shí)現突破的。當中國股市2006年開(kāi)始一輪波瀾壯闊的大牛市時(shí),當時(shí)在一家小型IT公司任職的吳石感覺(jué)他的職業(yè)像是一艘逐漸沉沒(méi)的船。他說(shuō):“我感覺(jué)正在逐漸陷入絕望。以我的工資,甚至無(wú)法糊口!

      他后來(lái)離開(kāi)了那家IT公司,并且創(chuàng )建了一家基于P2P文件分享技術(shù)的企業(yè)。但是當一家大客戶(hù)拒絕履行承諾為一個(gè)主要項目支付報酬時(shí),他的合作伙伴找了另外一份工作,公司也破產(chǎn)了。

      吳石開(kāi)始組建一家安全咨詢(xún)公司,并實(shí)驗他早年在復旦大學(xué)讀書(shū)時(shí)想到的一個(gè)fuzzing方法。他發(fā)現了微軟的一些安全漏洞,并且直接將其報告給微軟。后來(lái),他從朋友那里得知了ZDI這樣的“漏洞購買(mǎi)”項目!皬哪且院,我就變成了一名全職漏洞獵手!彼f(shuō)。

      這一決定已經(jīng)有所收獲。ZDI從吳石那里購買(mǎi)了50個(gè)漏洞,每個(gè)都至少價(jià)值5000美元,而iDefense某些情況下支付的費用甚至超過(guò)1萬(wàn)美元。吳石并沒(méi)有透露具體收益,但通過(guò)簡(jiǎn)單計算便可獲知,他的收益超過(guò)25萬(wàn)美元,這在中國可是很大一筆錢(qián)。ZDI還為吳石授予“白金”(platinum status)獎,該獎項的獲得者可以拿到2萬(wàn)美元的獎金,并免費參加在美國拉斯維加斯舉行的“黑帽”(Black Hat)安全大會(huì )。

      蘋(píng)果安全性低下

      一個(gè)中國研究員手中握有數百個(gè)重要漏洞,會(huì )使某些人感到擔憂(yōu)。但是吳石表示,他只會(huì )將漏洞賣(mài)給那些“不作惡”的企業(yè),而且會(huì )直接將漏洞報告給受影響的軟件公司。他表示,某些黑市買(mǎi)家給出十倍于ZDI的出價(jià)購買(mǎi)他發(fā)現的一些IE漏洞。且不說(shuō)是否存在道德問(wèn)題,吳石并不希望卷入任何犯罪行為。

      即便如此,如此多的漏洞被吳石發(fā)現仍然可能產(chǎn)生麻煩,對蘋(píng)果軟件而言尤其如此。吳石表示,他之所以關(guān)注蘋(píng)果的漏洞,是因為蘋(píng)果自己不關(guān)注這一問(wèn)題。

      蘋(píng)果尚未對此置評。

      微軟十年來(lái)一直在與網(wǎng)絡(luò )攻擊做斗爭,也因此而變得堅固。例如“紅色代碼”蠕蟲(chóng)病毒曾于2001年感染了數萬(wàn)臺電腦,還有很多網(wǎng)站因此被黑,并被掛上了“Hacked By Chinese!”(被中國人黑了)的標語(yǔ)。而蘋(píng)果則因為多年以來(lái)一直被網(wǎng)絡(luò )犯罪分子忽略而變得有些自滿(mǎn)。

      但吳石認為,這種安逸的狀況不會(huì )延續下去。隨著(zhù)有針對性的攻擊越來(lái)越多,蘋(píng)果無(wú)法再因為市場(chǎng)份額較小而免受安全問(wèn)題的困擾。他說(shuō):“iPhone和Mac OS比Windows 7更容易攻擊。我認為,未來(lái)將有很多針對蘋(píng)果軟件的攻擊!保ǘ辏




      上一條: 中小企業(yè)搞網(wǎng)絡(luò )業(yè)務(wù)_應該考慮如何做好自己的口碑
      下一條: 網(wǎng)站拍照備案已成定局 看國內站長(cháng)與IDC如何應對
      案例鑒賞
      多年的網(wǎng)站建設經(jīng)驗,斌網(wǎng)網(wǎng)絡(luò )不斷提升技術(shù)設計服務(wù)水平,迎合搜索引擎優(yōu)化規則
      新聞中心
      多年的網(wǎng)站建設經(jīng)驗,網(wǎng)至普不斷提升技術(shù)設計服務(wù)水平,迎合搜索引擎優(yōu)化規則
      長(cháng)沙私人做網(wǎng)站    長(cháng)沙做網(wǎng)站    深圳網(wǎng)站建設    株洲做網(wǎng)站    東莞做網(wǎng)站    南京防腐木    湖南大拇指養豬設備    株洲做網(wǎng)站    
      版權所有 © 長(cháng)沙市天心區斌網(wǎng)網(wǎng)絡(luò )技術(shù)服務(wù)部    湘公網(wǎng)安備 43010302000270號  統一社會(huì )信用代碼:92430103MA4LAMB24R  網(wǎng)站ICP備案號:湘ICP備13006070號-2  
      国产精品久久久久精品|久久网国产精品色婷婷免费|国产另类小说 视频 中文字幕|亚洲欧洲日产国码在线|2020最新国产在线不卡A|无码人妻少妇久久中文字幕蜜|99国产一区二区精品久久

          <rt id="tf2wb"><bdo id="tf2wb"><kbd id="tf2wb"></kbd></bdo></rt>
        1. <button id="tf2wb"><thead id="tf2wb"></thead></button>

          <rp id="tf2wb"><bdo id="tf2wb"></bdo></rp>
          <delect id="tf2wb"><td id="tf2wb"></td></delect>
          <rt id="tf2wb"></rt>
          <rt id="tf2wb"><bdo id="tf2wb"></bdo></rt>