中國黑客發(fā)現(xiàn)Safari大量漏洞 收益超過25萬美元

Win7之家（ www.airtaxifl.com）：中國黑客發(fā)現(xiàn)Safari大量漏洞 收益超過25萬美元

據(jù)外國媒體報(bào)道，《福布斯》網(wǎng)站今天發(fā)布文章稱，來自中國上海的安全研究員吳石（Wu Shi）已經(jīng)跨入全球頂尖的瀏覽器漏洞發(fā)現(xiàn)者之行列。也許他的研究會(huì)讓蘋果獲得很大的啟示。

以下為全文：

　　如果說“嚴(yán)厲的愛”是解決全球軟件故障的最佳良方，那么吳石或許也可稱為信息安全領(lǐng)域諸多的無名英雄之一。

　　自2007年以來，這位35歲的上海研究員已經(jīng)發(fā)現(xiàn)并報(bào)告了IE、Safari和Chrome等瀏覽器中存在的100多個(gè)嚴(yán)重漏洞。如果用戶瀏覽被感染的網(wǎng)頁時(shí)，黑客就可以借助這些漏洞劫取用戶電腦中信息。僅在去年一年，他就將其中的50多個(gè)漏洞賣給了Zero Day Initiative和iDefense等漏洞購買組織，這兩個(gè)組織分別歸屬于惠普和VeriSign，他們專門花錢從研究人員那里購買漏洞信息，并在安 全產(chǎn)品中使用這些數(shù)據(jù)，隨后再將其交給受影響的軟件銷售商。

　　這些數(shù)據(jù)表明吳石在僅一年中提供給ero Day Initiative和iDefense的漏洞比全球任何一個(gè)研究人員都多，其中超過一半以上的漏洞都來自蘋果Safari瀏覽器。例如，在上月的一次安 全更新中，蘋果針對iPhone操作系統(tǒng)發(fā)布了64個(gè)新補(bǔ)丁，其中只有6個(gè)漏洞是蘋果自已的研究人員所發(fā)現(xiàn)，12個(gè)由Google研究人員發(fā)現(xiàn)，另外15 個(gè)則是由吳石發(fā)現(xiàn)。

　　對此，安全專家查理-米勒(Charlie Miller)表示：“或許蘋果應(yīng)當(dāng)聘請吳石來幫助他們，因?yàn)樗�發(fā)現(xiàn)的漏洞比蘋果整個(gè)安全團(tuán)隊(duì)發(fā)現(xiàn)的兩倍還多。”

　　獨(dú)特的fuzzing算法：

　　吳石通過即時(shí)通訊和電子郵件解釋了他是如何使用一種叫做“fuzzing”的方法來獲取這些漏洞。使用此方法時(shí)，需要向軟件中輸入大批經(jīng)過修改的文件，以查找哪些文件會(huì)導(dǎo)致軟件崩潰，然后再對這些崩潰事例進(jìn)行分析，以便弄清黑客是如何注入代碼并控制瀏覽器。

　　吳石使用其獨(dú)特的算法來生成擬進(jìn)行測試的文件，然后再置入他自己的Apache Tomcat服務(wù)器，這樣，其就可以獲得更快的頻率，來比普通研究人員測試更多的樣本。吳石表示，其方法與更改文件中的單一變量不同，他的方法會(huì)更改整個(gè)樣本，而且能夠在進(jìn)行盡可能多的更改情況之下，仍能夠讓瀏覽器將文件識別為HTML文檔。吳石表示：“我的fuzzing框架關(guān)注的是軟件架構(gòu)，而不是細(xì)節(jié)。”

　　據(jù)ZDI研究部門經(jīng)理阿倫-波托尼(Aaron Portnoy)對吳石發(fā)現(xiàn)的漏洞進(jìn)行研究后表示，吳石不會(huì)對他所發(fā)現(xiàn)的漏洞進(jìn)行深入分析。但他認(rèn)為，這名中國研究員使用的方法可以捕捉到其它方法所無法發(fā)現(xiàn)的漏洞。“這些文件中的相關(guān)項(xiàng)目有著復(fù)雜的層次結(jié)構(gòu)，但他可以改變復(fù)雜的關(guān)系樹結(jié)構(gòu)的工作方式，而不僅僅是其中的某一項(xiàng)目。”波托尼說，“很多人只是fuzz數(shù)據(jù)，而他則是fuzz數(shù)據(jù)間的關(guān)系。”

　　職業(yè)受挫轉(zhuǎn)行：

　　吳石稱其是經(jīng)過了一系列的工作失敗經(jīng)歷之后才在發(fā)現(xiàn)漏洞方面實(shí)現(xiàn)了突破。當(dāng)2006年中國股市開始暴漲時(shí)，吳石當(dāng)時(shí)仍在一家小型IT公司任職， 其感覺當(dāng)時(shí)的職業(yè)就像是一艘正在下沉的船，并因此感到絕望之極。當(dāng)時(shí)的薪水甚至難以讓吳石養(yǎng)家度日。

　　吳石后來從那家IT公司辭職，并創(chuàng)建了一家基于P2P文件共享技術(shù)公司。但是當(dāng)一家大客戶拒絕為一個(gè)主要項(xiàng)目支付報(bào)酬時(shí)，吳石的合作伙伴找也就 離職而去，這樣其公司也遭遇破產(chǎn)。之后，吳石開始組建一家安全咨詢公司，并實(shí)驗(yàn)他多年前在復(fù)旦大學(xué)讀書時(shí)就曾設(shè)想的一個(gè)fuzzing方法。他發(fā)現(xiàn)了微軟 的一些安全漏洞，并且直接報(bào)告給微軟。在這之后，他才從一位朋友口中得知了ZDI這樣“購買漏洞”的組織。從此以后，吳石就成為一名全職漏洞獵手 。

　　這種尋找漏洞的經(jīng)歷已經(jīng)頗具收獲。ZDI從吳石那里購買了50個(gè)漏洞，每個(gè)價(jià)格至少5000美元，而iDefense也偶爾支付過1萬多美元，購買了少量的漏洞。吳石沒有透露至今為止在此方面的具體收益數(shù)量，但簡單計(jì)算即可知道，其在此方面的收益應(yīng)當(dāng)超過25萬美元，這在中國可算是一筆不小的數(shù)目。ZDI還為吳石授予“白金 (platinum status)”獎(jiǎng)，該獎(jiǎng)項(xiàng)的獲得者可以拿到2萬美元的獎(jiǎng)金，并免費(fèi)參加在美國拉斯維加斯舉行的“黑帽”(Black Hat)安全大會(huì)。

　　蘋果安全意識欠佳：

　　一個(gè)中國研究員能夠掌握數(shù)百個(gè)重要漏洞，此消息的確令一些公司感到擔(dān)憂。但吳石表示，他只會(huì)將漏洞賣給那些“不做壞事”的企業(yè)，而且會(huì)直接將漏 洞報(bào)告給受影響的軟件公司。他表示，曾有黑市買家愿意支付比ZDI資金多10倍的價(jià)格來購買其發(fā)現(xiàn)的一些IE漏洞，吳石都表示，其不會(huì)冒任何風(fēng)險(xiǎn)而卷入犯罪之爭。

　　即便如此，吳石發(fā)現(xiàn)如此多的漏洞也可能會(huì)產(chǎn)生麻煩，特別是對蘋果軟件更是如此。吳石表示，他之所以關(guān)注蘋果軟件漏洞，是因?yàn)樘O果本身一直不太關(guān) 注這一問題（蘋果目前未對此事發(fā)表評論意見）。

　　近十年來，微軟一直在與網(wǎng)絡(luò)攻擊進(jìn)行斗爭，從而不斷的穩(wěn)固其軟件。吳石列舉稱，2001年“紅色代碼”蠕蟲病毒曾感染了成千上萬臺電腦，并侵犯 了諸多網(wǎng)站，一些被黑的網(wǎng)站還打出“中國黑客攻擊”的字語，但是，多年以來，蘋果因?yàn)橐欢缺痪W(wǎng)絡(luò)黑客忽視而自鳴得意和自以為安全無事。

        不過，在吳石看來，蘋果這種暫時(shí)的安逸狀況不會(huì)持久下去。隨著受到的攻擊越來越多，蘋果軟件可能再也不會(huì)因?yàn)槭袌龇蓊~較小而免受安全問題的困擾。吳石表示：“iPhone和Mac操作系統(tǒng)比Windows 7更容易遭受攻擊。在我看來，蘋果軟件將會(huì)遭遇更多的攻擊。”

搜狐IT消息