中國安全研究員吳石
導(dǎo)讀:美國《福布斯》雜志網(wǎng)絡(luò)版今天撰文稱,中國安全研究員吳石發(fā)現(xiàn)的瀏覽器漏洞中,有半數(shù)都來自蘋果Safari瀏覽器�����。他認(rèn)為�����,蘋果借助較小的市場份額而免受安全問題的困擾的日子將一去不復(fù)返。
以下為文章概要:
無名英雄吳石
如果說“嚴(yán)厲的愛”是解決軟件故障的最佳方法�����,那么吳石(Wu Shi�����,音譯)或許就是信息安全領(lǐng)域眾多的無名英雄之一�����。
自2007年以來���,這位家住上海的35歲研究員已經(jīng)發(fā)現(xiàn)并報(bào)告了IE�、Safari和Chrome等瀏覽器中存在的100多個(gè)嚴(yán)重漏洞����。當(dāng)用戶瀏覽被感染的網(wǎng)頁時(shí),黑客可以借助這些漏洞劫持用戶的電腦����。僅去年一年,他就將其中50多個(gè)漏洞出售給了Zero Day Initiative(以下簡稱“ZDI”)和iDefense等漏洞懸賞項(xiàng)目��。這兩個(gè)項(xiàng)目分別歸屬于惠普和VeriSign,他們專門花錢從研究人員那里購買漏洞信息���,并在安全產(chǎn)品中使用這些數(shù)據(jù)��,隨后再將其交給受影響的軟件廠商�。
這表明吳石一年匯報(bào)給ZDI和iDefense的漏洞比全世界任何一個(gè)研究人員都多�����,其中超過半數(shù)都來自蘋果Safari瀏覽器�。
例如��,在上月的一次安全更新中�,蘋果針對iPhone操作系統(tǒng)發(fā)布了64個(gè)新補(bǔ)丁,其中只有6個(gè)是蘋果內(nèi)部研究人員自己發(fā)現(xiàn)的����,12個(gè)由谷歌研究人員發(fā)現(xiàn),還有15個(gè)是由吳石發(fā)現(xiàn)的���。
安全專家查理•米勒(Charlie Miller)說:“或許蘋果應(yīng)當(dāng)聘請吳石來幫助他們���,因?yàn)樗l(fā)現(xiàn)的漏洞是蘋果整個(gè)安全團(tuán)隊(duì)的兩倍還多���������!
獨(dú)特fuzzing算法
吳石通過即時(shí)通訊和電子郵件解釋了他是如何使用一種名為“fuzzing”的方法來收集這些漏洞的�����。使用這種方法時(shí)����,需要向軟件中輸入大批經(jīng)過修改的文件,以便查看哪些文件會(huì)導(dǎo)致軟件崩潰�����。之后再對這些崩潰事件進(jìn)行分析��,以便了解哪些情況會(huì)允許黑客注入代碼并控制瀏覽器���。
吳石使用他自己的獨(dú)特算法來生成這些測試文件�����,然后將他們拋入Apache Tomcat服務(wù)器�。通過這種方法,他就可以獲得更快的頻率����,從而比普通研究人員測試更多的樣本。與以往只更改文件中的單一變量不同���,吳石表示����,他的方法會(huì)更改整個(gè)樣本��,而且能夠在進(jìn)行盡可能多的更改的同時(shí)���,仍然讓瀏覽器將文件識別為HTML文檔����!拔业膄uzzing框架關(guān)注的是軟件架構(gòu),而不是細(xì)節(jié)�����!眳鞘f����。
ZDI研究經(jīng)理亞倫•波托尼(Aaron Portnoy)對吳石發(fā)現(xiàn)的漏洞進(jìn)行了研究,他表示��,吳石不會(huì)對他所發(fā)現(xiàn)的漏洞進(jìn)行深入分析�。但他認(rèn)為,這名中國研究員使用的方法可以捕捉到其他方法無法發(fā)現(xiàn)的漏洞�。“這些文件中的相關(guān)項(xiàng)目有著復(fù)雜的層次結(jié)構(gòu)�����。他可以改變關(guān)系樹結(jié)構(gòu)的工作方式�����,而不僅僅是其中的一個(gè)項(xiàng)目����。”波托尼說���,“很多人只是fuzz數(shù)據(jù)�����,而他則是fuzz關(guān)系�����!
曲折從業(yè)經(jīng)歷
吳石說��,他是在職業(yè)發(fā)展經(jīng)歷了一系列挫折后才在漏洞尋找領(lǐng)域?qū)崿F(xiàn)突破的��。當(dāng)中國股市2006年開始一輪波瀾壯闊的大牛市時(shí)��,當(dāng)時(shí)在一家小型IT公司任職的吳石感覺他的職業(yè)像是一艘逐漸沉沒的船���。他說:“我感覺正在逐漸陷入絕望。以我的工資���,甚至無法糊口��������!
他后來離開了那家IT公司,并且創(chuàng)建了一家基于P2P文件分享技術(shù)的企業(yè)����。但是當(dāng)一家大客戶拒絕履行承諾為一個(gè)主要項(xiàng)目支付報(bào)酬時(shí),他的合作伙伴找了另外一份工作���,公司也破產(chǎn)了���。
吳石開始組建一家安全咨詢公司,并實(shí)驗(yàn)他早年在復(fù)旦大學(xué)讀書時(shí)想到的一個(gè)fuzzing方法�。他發(fā)現(xiàn)了微軟的一些安全漏洞,并且直接將其報(bào)告給微軟�����。后來�����,他從朋友那里得知了ZDI這樣的“漏洞購買”項(xiàng)目������!皬哪且院�,我就變成了一名全職漏洞獵手������!彼f。
這一決定已經(jīng)有所收獲����。ZDI從吳石那里購買了50個(gè)漏洞,每個(gè)都至少價(jià)值5000美元�����,而iDefense某些情況下支付的費(fèi)用甚至超過1萬美元�。吳石并沒有透露具體收益,但通過簡單計(jì)算便可獲知�,他的收益超過25萬美元,這在中國可是很大一筆錢����。ZDI還為吳石授予“白金”(platinum status)獎(jiǎng),該獎(jiǎng)項(xiàng)的獲得者可以拿到2萬美元的獎(jiǎng)金��,并免費(fèi)參加在美國拉斯維加斯舉行的“黑帽”(Black Hat)安全大會(huì)���。
蘋果安全性低下
一個(gè)中國研究員手中握有數(shù)百個(gè)重要漏洞��,會(huì)使某些人感到擔(dān)憂����。但是吳石表示���,他只會(huì)將漏洞賣給那些“不作惡”的企業(yè)����,而且會(huì)直接將漏洞報(bào)告給受影響的軟件公司���。他表示��,某些黑市買家給出十倍于ZDI的出價(jià)購買他發(fā)現(xiàn)的一些IE漏洞�。且不說是否存在道德問題�����,吳石并不希望卷入任何犯罪行為���。
即便如此��,如此多的漏洞被吳石發(fā)現(xiàn)仍然可能產(chǎn)生麻煩�����,對蘋果軟件而言尤其如此���。吳石表示��,他之所以關(guān)注蘋果的漏洞��,是因?yàn)樘O果自己不關(guān)注這一問題�����。
蘋果尚未對此置評���。
微軟十年來一直在與網(wǎng)絡(luò)攻擊做斗爭,也因此而變得堅(jiān)固�����。例如“紅色代碼”蠕蟲病毒曾于2001年感染了數(shù)萬臺電腦�����,還有很多網(wǎng)站因此被黑,并被掛上了“Hacked By Chinese��!”(被中國人黑了)的標(biāo)語�����。而蘋果則因?yàn)槎嗄暌詠硪恢北痪W(wǎng)絡(luò)犯罪分子忽略而變得有些自滿���。
但吳石認(rèn)為,這種安逸的狀況不會(huì)延續(xù)下去�����。隨著有針對性的攻擊越來越多�,蘋果無法再因?yàn)槭袌龇蓊~較小而免受安全問題的困擾。他說:“iPhone和Mac OS比Windows 7更容易攻擊�。我認(rèn)為,未來將有很多針對蘋果軟件的攻擊�。”(鼎宏)
上一條:
中小企業(yè)搞網(wǎng)絡(luò)業(yè)務(wù)_應(yīng)該考慮如何做好自己的口碑下一條:
網(wǎng)站拍照備案已成定局 看國內(nèi)站長與IDC如何應(yīng)對
湘公網(wǎng)安備 43010302000270號