中國(guó)黑客發(fā)現(xiàn)Safari大量漏洞 收益超過(guò)25萬(wàn)美元

Win7之家（ afsion.com.cn）：中國(guó)黑客發(fā)現(xiàn)Safari大量漏洞 收益超過(guò)25萬(wàn)美元

據(jù)外國(guó)媒體報(bào)道，《福布斯》網(wǎng)站今天發(fā)布文章稱，來(lái)自中國(guó)上海的安全研究員吳石（Wu Shi）已經(jīng)跨入全球頂尖的瀏覽器漏洞發(fā)現(xiàn)者之行列。也許他的研究會(huì)讓蘋果獲得很大的啟示。

以下為全文：

　　如果說(shuō)“嚴(yán)厲的愛(ài)”是解決全球軟件故障的最佳良方，那么吳石或許也可稱為信息安全領(lǐng)域諸多的無(wú)名英雄之一。

　　自2007年以來(lái)，這位35歲的上海研究員已經(jīng)發(fā)現(xiàn)并報(bào)告了IE、Safari和Chrome等瀏覽器中存在的100多個(gè)嚴(yán)重漏洞。如果用戶瀏覽被感染的網(wǎng)頁(yè)時(shí)，黑客就可以借助這些漏洞劫取用戶電腦中信息。僅在去年一年，他就將其中的50多個(gè)漏洞賣給了Zero Day Initiative和iDefense等漏洞購(gòu)買組織，這兩個(gè)組織分別歸屬于惠普和VeriSign，他們專門花錢從研究人員那里購(gòu)買漏洞信息，并在安 全產(chǎn)品中使用這些數(shù)據(jù)，隨后再將其交給受影響的軟件銷售商。

　　這些數(shù)據(jù)表明吳石在僅一年中提供給ero Day Initiative和iDefense的漏洞比全球任何一個(gè)研究人員都多，其中超過(guò)一半以上的漏洞都來(lái)自蘋果Safari瀏覽器。例如，在上月的一次安 全更新中，蘋果針對(duì)iPhone操作系統(tǒng)發(fā)布了64個(gè)新補(bǔ)丁，其中只有6個(gè)漏洞是蘋果自已的研究人員所發(fā)現(xiàn)，12個(gè)由Google研究人員發(fā)現(xiàn)，另外15 個(gè)則是由吳石發(fā)現(xiàn)。

　　對(duì)此，安全專家查理-米勒(Charlie Miller)表示：“或許蘋果應(yīng)當(dāng)聘請(qǐng)吳石來(lái)幫助他們，因?yàn)樗�發(fā)現(xiàn)的漏洞比蘋果整個(gè)安全團(tuán)隊(duì)發(fā)現(xiàn)的兩倍還多。”

　　獨(dú)特的fuzzing算法：

　　吳石通過(guò)即時(shí)通訊和電子郵件解釋了他是如何使用一種叫做“fuzzing”的方法來(lái)獲取這些漏洞。使用此方法時(shí)，需要向軟件中輸入大批經(jīng)過(guò)修改的文件，以查找哪些文件會(huì)導(dǎo)致軟件崩潰，然后再對(duì)這些崩潰事例進(jìn)行分析，以便弄清黑客是如何注入代碼并控制瀏覽器。

　　吳石使用其獨(dú)特的算法來(lái)生成擬進(jìn)行測(cè)試的文件，然后再置入他自己的Apache Tomcat服務(wù)器，這樣，其就可以獲得更快的頻率，來(lái)比普通研究人員測(cè)試更多的樣本。吳石表示，其方法與更改文件中的單一變量不同，他的方法會(huì)更改整個(gè)樣本，而且能夠在進(jìn)行盡可能多的更改情況之下，仍能夠讓瀏覽器將文件識(shí)別為HTML文檔。吳石表示：“我的fuzzing框架關(guān)注的是軟件架構(gòu)，而不是細(xì)節(jié)。”

　　據(jù)ZDI研究部門經(jīng)理阿倫-波托尼(Aaron Portnoy)對(duì)吳石發(fā)現(xiàn)的漏洞進(jìn)行研究后表示，吳石不會(huì)對(duì)他所發(fā)現(xiàn)的漏洞進(jìn)行深入分析。但他認(rèn)為，這名中國(guó)研究員使用的方法可以捕捉到其它方法所無(wú)法發(fā)現(xiàn)的漏洞。“這些文件中的相關(guān)項(xiàng)目有著復(fù)雜的層次結(jié)構(gòu)，但他可以改變復(fù)雜的關(guān)系樹結(jié)構(gòu)的工作方式，而不僅僅是其中的某一項(xiàng)目。”波托尼說(shuō)，“很多人只是fuzz數(shù)據(jù)，而他則是fuzz數(shù)據(jù)間的關(guān)系。”

　　職業(yè)受挫轉(zhuǎn)行：

　　吳石稱其是經(jīng)過(guò)了一系列的工作失敗經(jīng)歷之后才在發(fā)現(xiàn)漏洞方面實(shí)現(xiàn)了突破。當(dāng)2006年中國(guó)股市開始暴漲時(shí)，吳石當(dāng)時(shí)仍在一家小型IT公司任職， 其感覺(jué)當(dāng)時(shí)的職業(yè)就像是一艘正在下沉的船，并因此感到絕望之極。當(dāng)時(shí)的薪水甚至難以讓吳石養(yǎng)家度日。

　　吳石后來(lái)從那家IT公司辭職，并創(chuàng)建了一家基于P2P文件共享技術(shù)公司。但是當(dāng)一家大客戶拒絕為一個(gè)主要項(xiàng)目支付報(bào)酬時(shí)，吳石的合作伙伴找也就 離職而去，這樣其公司也遭遇破產(chǎn)。之后，吳石開始組建一家安全咨詢公司，并實(shí)驗(yàn)他多年前在復(fù)旦大學(xué)讀書時(shí)就曾設(shè)想的一個(gè)fuzzing方法。他發(fā)現(xiàn)了微軟 的一些安全漏洞，并且直接報(bào)告給微軟。在這之后，他才從一位朋友口中得知了ZDI這樣“購(gòu)買漏洞”的組織。從此以后，吳石就成為一名全職漏洞獵手 。

　　這種尋找漏洞的經(jīng)歷已經(jīng)頗具收獲。ZDI從吳石那里購(gòu)買了50個(gè)漏洞，每個(gè)價(jià)格至少5000美元，而iDefense也偶爾支付過(guò)1萬(wàn)多美元，購(gòu)買了少量的漏洞。吳石沒(méi)有透露至今為止在此方面的具體收益數(shù)量，但簡(jiǎn)單計(jì)算即可知道，其在此方面的收益應(yīng)當(dāng)超過(guò)25萬(wàn)美元，這在中國(guó)可算是一筆不小的數(shù)目。ZDI還為吳石授予“白金 (platinum status)”獎(jiǎng)，該獎(jiǎng)項(xiàng)的獲得者可以拿到2萬(wàn)美元的獎(jiǎng)金，并免費(fèi)參加在美國(guó)拉斯維加斯舉行的“黑帽”(Black Hat)安全大會(huì)。

　　蘋果安全意識(shí)欠佳：

　　一個(gè)中國(guó)研究員能夠掌握數(shù)百個(gè)重要漏洞，此消息的確令一些公司感到擔(dān)憂。但吳石表示，他只會(huì)將漏洞賣給那些“不做壞事”的企業(yè)，而且會(huì)直接將漏 洞報(bào)告給受影響的軟件公司。他表示，曾有黑市買家愿意支付比ZDI資金多10倍的價(jià)格來(lái)購(gòu)買其發(fā)現(xiàn)的一些IE漏洞，吳石都表示，其不會(huì)冒任何風(fēng)險(xiǎn)而卷入犯罪之爭(zhēng)。

　　即便如此，吳石發(fā)現(xiàn)如此多的漏洞也可能會(huì)產(chǎn)生麻煩，特別是對(duì)蘋果軟件更是如此。吳石表示，他之所以關(guān)注蘋果軟件漏洞，是因?yàn)樘O果本身一直不太關(guān) 注這一問(wèn)題（蘋果目前未對(duì)此事發(fā)表評(píng)論意見(jiàn)）。

　　近十年來(lái)，微軟一直在與網(wǎng)絡(luò)攻擊進(jìn)行斗爭(zhēng)，從而不斷的穩(wěn)固其軟件。吳石列舉稱，2001年“紅色代碼”蠕蟲病毒曾感染了成千上萬(wàn)臺(tái)電腦，并侵犯 了諸多網(wǎng)站，一些被黑的網(wǎng)站還打出“中國(guó)黑客攻擊”的字語(yǔ)，但是，多年以來(lái)，蘋果因?yàn)橐欢缺痪W(wǎng)絡(luò)黑客忽視而自鳴得意和自以為安全無(wú)事。

        不過(guò)，在吳石看來(lái)，蘋果這種暫時(shí)的安逸狀況不會(huì)持久下去。隨著受到的攻擊越來(lái)越多，蘋果軟件可能再也不會(huì)因?yàn)槭袌?chǎng)份額較小而免受安全問(wèn)題的困擾。吳石表示：“iPhone和Mac操作系統(tǒng)比Windows 7更容易遭受攻擊。在我看來(lái)，蘋果軟件將會(huì)遭遇更多的攻擊。”

搜狐IT消息