中國安全研究員吳石
導讀:美國《福布斯》雜志網(wǎng)絡(luò )版今天撰文稱(chēng)��,中國安全研究員吳石發(fā)現的瀏覽器漏洞中�����,有半數都來(lái)自蘋(píng)果Safari瀏覽器�����。他認為��,蘋(píng)果借助較小的市場(chǎng)份額而免受安全問(wèn)題的困擾的日子將一去不復返��。
以下為文章概要:
無(wú)名英雄吳石
如果說(shuō)“嚴厲的愛(ài)”是解決軟件故障的最佳方法����,那么吳石(Wu Shi��,音譯)或許就是信息安全領(lǐng)域眾多的無(wú)名英雄之一���。
自2007年以來(lái)�����,這位家住上海的35歲研究員已經(jīng)發(fā)現并報告了IE�、Safari和Chrome等瀏覽器中存在的100多個(gè)嚴重漏洞�����。當用戶(hù)瀏覽被感染的網(wǎng)頁(yè)時(shí)�,黑客可以借助這些漏洞劫持用戶(hù)的電腦����。僅去年一年��,他就將其中50多個(gè)漏洞出售給了Zero Day Initiative(以下簡(jiǎn)稱(chēng)“ZDI”)和iDefense等漏洞懸賞項目����。這兩個(gè)項目分別歸屬于惠普和VeriSign����,他們專(zhuān)門(mén)花錢(qián)從研究人員那里購買(mǎi)漏洞信息����,并在安全產(chǎn)品中使用這些數據�����,隨后再將其交給受影響的軟件廠(chǎng)商��。
這表明吳石一年匯報給ZDI和iDefense的漏洞比全世界任何一個(gè)研究人員都多��,其中超過(guò)半數都來(lái)自蘋(píng)果Safari瀏覽器�。
例如�,在上月的一次安全更新中����,蘋(píng)果針對iPhone操作系統發(fā)布了64個(gè)新補丁�,其中只有6個(gè)是蘋(píng)果內部研究人員自己發(fā)現的�,12個(gè)由谷歌研究人員發(fā)現��,還有15個(gè)是由吳石發(fā)現的��。
安全專(zhuān)家查理•米勒(Charlie Miller)說(shuō):“或許蘋(píng)果應當聘請吳石來(lái)幫助他們���,因為他發(fā)現的漏洞是蘋(píng)果整個(gè)安全團隊的兩倍還多����!
獨特fuzzing算法
吳石通過(guò)即時(shí)通訊和電子郵件解釋了他是如何使用一種名為“fuzzing”的方法來(lái)收集這些漏洞的�����。使用這種方法時(shí)���,需要向軟件中輸入大批經(jīng)過(guò)修改的文件�����,以便查看哪些文件會(huì )導致軟件崩潰�。之后再對這些崩潰事件進(jìn)行分析�����,以便了解哪些情況會(huì )允許黑客注入代碼并控制瀏覽器�����。
吳石使用他自己的獨特算法來(lái)生成這些測試文件�����,然后將他們拋入Apache Tomcat服務(wù)器�。通過(guò)這種方法�,他就可以獲得更快的頻率��,從而比普通研究人員測試更多的樣本�����。與以往只更改文件中的單一變量不同����,吳石表示�����,他的方法會(huì )更改整個(gè)樣本��,而且能夠在進(jìn)行盡可能多的更改的同時(shí)�����,仍然讓瀏覽器將文件識別為HTML文檔��������!拔业膄uzzing框架關(guān)注的是軟件架構����,而不是細節�������!眳鞘f(shuō)�。
ZDI研究經(jīng)理亞倫•波托尼(Aaron Portnoy)對吳石發(fā)現的漏洞進(jìn)行了研究��,他表示��,吳石不會(huì )對他所發(fā)現的漏洞進(jìn)行深入分析����。但他認為��,這名中國研究員使用的方法可以捕捉到其他方法無(wú)法發(fā)現的漏洞������!斑@些文件中的相關(guān)項目有著(zhù)復雜的層次結構�����。他可以改變關(guān)系樹(shù)結構的工作方式�,而不僅僅是其中的一個(gè)項目�����!辈ㄍ心嵴f(shuō)����,“很多人只是fuzz數據�����,而他則是fuzz關(guān)系��������!
曲折從業(yè)經(jīng)歷
吳石說(shuō)�����,他是在職業(yè)發(fā)展經(jīng)歷了一系列挫折后才在漏洞尋找領(lǐng)域實(shí)現突破的���。當中國股市2006年開(kāi)始一輪波瀾壯闊的大牛市時(shí)��,當時(shí)在一家小型IT公司任職的吳石感覺(jué)他的職業(yè)像是一艘逐漸沉沒(méi)的船�����。他說(shuō):“我感覺(jué)正在逐漸陷入絕望��。以我的工資���,甚至無(wú)法糊口�����!
他后來(lái)離開(kāi)了那家IT公司���,并且創(chuàng )建了一家基于P2P文件分享技術(shù)的企業(yè)�。但是當一家大客戶(hù)拒絕履行承諾為一個(gè)主要項目支付報酬時(shí)����,他的合作伙伴找了另外一份工作�����,公司也破產(chǎn)了���。
吳石開(kāi)始組建一家安全咨詢(xún)公司��,并實(shí)驗他早年在復旦大學(xué)讀書(shū)時(shí)想到的一個(gè)fuzzing方法�。他發(fā)現了微軟的一些安全漏洞���,并且直接將其報告給微軟��。后來(lái)��,他從朋友那里得知了ZDI這樣的“漏洞購買(mǎi)”項目�������!皬哪且院���,我就變成了一名全職漏洞獵手�������!彼f(shuō)����。
這一決定已經(jīng)有所收獲�����。ZDI從吳石那里購買(mǎi)了50個(gè)漏洞����,每個(gè)都至少價(jià)值5000美元���,而iDefense某些情況下支付的費用甚至超過(guò)1萬(wàn)美元��。吳石并沒(méi)有透露具體收益���,但通過(guò)簡(jiǎn)單計算便可獲知��,他的收益超過(guò)25萬(wàn)美元���,這在中國可是很大一筆錢(qián)�����。ZDI還為吳石授予“白金”(platinum status)獎��,該獎項的獲得者可以拿到2萬(wàn)美元的獎金��,并免費參加在美國拉斯維加斯舉行的“黑帽”(Black Hat)安全大會(huì )����。
蘋(píng)果安全性低下
一個(gè)中國研究員手中握有數百個(gè)重要漏洞�,會(huì )使某些人感到擔憂(yōu)�。但是吳石表示����,他只會(huì )將漏洞賣(mài)給那些“不作惡”的企業(yè)����,而且會(huì )直接將漏洞報告給受影響的軟件公司����。他表示����,某些黑市買(mǎi)家給出十倍于ZDI的出價(jià)購買(mǎi)他發(fā)現的一些IE漏洞�����。且不說(shuō)是否存在道德問(wèn)題���,吳石并不希望卷入任何犯罪行為��。
即便如此�,如此多的漏洞被吳石發(fā)現仍然可能產(chǎn)生麻煩�,對蘋(píng)果軟件而言尤其如此�����。吳石表示�,他之所以關(guān)注蘋(píng)果的漏洞�,是因為蘋(píng)果自己不關(guān)注這一問(wèn)題��。
蘋(píng)果尚未對此置評��。
微軟十年來(lái)一直在與網(wǎng)絡(luò )攻擊做斗爭��,也因此而變得堅固�����。例如“紅色代碼”蠕蟲(chóng)病毒曾于2001年感染了數萬(wàn)臺電腦�,還有很多網(wǎng)站因此被黑��,并被掛上了“Hacked By Chinese���!”(被中國人黑了)的標語(yǔ)����。而蘋(píng)果則因為多年以來(lái)一直被網(wǎng)絡(luò )犯罪分子忽略而變得有些自滿(mǎn)���。
但吳石認為��,這種安逸的狀況不會(huì )延續下去��。隨著(zhù)有針對性的攻擊越來(lái)越多�����,蘋(píng)果無(wú)法再因為市場(chǎng)份額較小而免受安全問(wèn)題的困擾�����。他說(shuō):“iPhone和Mac OS比Windows 7更容易攻擊��。我認為����,未來(lái)將有很多針對蘋(píng)果軟件的攻擊��������!保ǘ辏
上一條:
中小企業(yè)搞網(wǎng)絡(luò )業(yè)務(wù)_應該考慮如何做好自己的口碑下一條:
網(wǎng)站拍照備案已成定局 看國內站長(cháng)與IDC如何應對
湘公網(wǎng)安備 43010302000270號