中國黑客發(fā)現(xiàn)Safari大量漏洞 收益超過25萬美元

據(jù)外國媒體報道，《福布斯》網(wǎng)站今天發(fā)布文章稱，來自中國上海的安全研究員吳石（Wu Shi）已經(jīng)跨入全球頂尖的瀏覽器漏洞發(fā)現(xiàn)者之行列。也許他的研究會讓蘋果獲得很大的啟示。

以下為全文：

如果說“嚴厲的愛”是解決全球軟件故障的最佳良方，那么吳石或許也可稱為信息安全領域諸多的無名英雄之一。

自2007年以來，這位35歲的上海研究員已經(jīng)發(fā)現(xiàn)并報告了IE、Safari和Chrome等瀏覽器中存在的100多個嚴重漏洞。如果用戶瀏覽被感染的網(wǎng)頁時，黑客就可以借助這些漏洞劫取用戶電腦中信息。僅在去年一年，他就將其中的50多個漏洞賣給了Zero Day Initiative和iDefense等漏洞購買組織，這兩個組織分別歸屬于惠普和VeriSign，他們專門花錢從研究人員那里購買漏洞信息，并在安全產(chǎn)品中使用這些數(shù)據(jù)，隨后再將其交給受影響的軟件銷售商。

這些數(shù)據(jù)表明吳石在僅一年中提供給ero Day Initiative和iDefense的漏洞比全球任何一個研究人員都多，其中超過一半以上的漏洞都來自蘋果Safari瀏覽器。例如，在上月的一次安全更新中，蘋果針對iPhone操作系統(tǒng)發(fā)布了64個新補丁，其中只有6個漏洞是蘋果自已的研究人員所發(fā)現(xiàn)，12個由Google研究人員發(fā)現(xiàn)，另外15個則是由吳石發(fā)現(xiàn)。

對此，安全專家查理-米勒(Charlie Miller)表示：“或許蘋果應當聘請吳石來幫助他們，因為他發(fā)現(xiàn)的漏洞比蘋果整個安全團隊發(fā)現(xiàn)的兩倍還多?！?/P>

獨特的fuzzing算法：

吳石通過即時通訊和電子郵件解釋了他是如何使用一種叫做“fuzzing”的方法來獲取這些漏洞。使用此方法時，需要向軟件中輸入大批經(jīng)過修改的文件，以查找哪些文件會導致軟件崩潰，然后再對這些崩潰事例進行分析，以便弄清黑客是如何注入代碼并控制瀏覽器。

吳石使用其獨特的算法來生成擬進行測試的文件，然后再置入他自己的Apache Tomcat服務器，這樣，其就可以獲得更快的頻率，來比普通研究人員測試更多的樣本。吳石表示，其方法與更改文件中的單一變量不同，他的方法會更改整個樣本，而且能夠在進行盡可能多的更改情況之下，仍能夠讓瀏覽器將文件識別為HTML文檔。吳石表示：“我的fuzzing框架關注的是軟件架構(gòu)，而不是細節(jié)?！?/P>

據(jù)ZDI研究部門經(jīng)理阿倫-波托尼(Aaron Portnoy)對吳石發(fā)現(xiàn)的漏洞進行研究后表示，吳石不會對他所發(fā)現(xiàn)的漏洞進行深入分析。但他認為，這名中國研究員使用的方法可以捕捉到其它方法所無法發(fā)現(xiàn)的漏洞?！斑@些文件中的相關項目有著復雜的層次結(jié)構(gòu)，但他可以改變復雜的關系樹結(jié)構(gòu)的工作方式，而不僅僅是其中的某一項目?！辈ㄍ心嵴f，“很多人只是fuzz數(shù)據(jù)，而他則是fuzz數(shù)據(jù)間的關系?！?/P>

職業(yè)受挫轉(zhuǎn)行：

吳石稱其是經(jīng)過了一系列的工作失敗經(jīng)歷之后才在發(fā)現(xiàn)漏洞方面實現(xiàn)了突破。當2006年中國股市開始暴漲時，吳石當時仍在一家小型IT公司任職，其感覺當時的職業(yè)就像是一艘正在下沉的船，并因此感到絕望之極。當時的薪水甚至難以讓吳石養(yǎng)家度日。

吳石后來從那家IT公司辭職，并創(chuàng)建了一家基于P2P文件共享技術公司。但是當一家大客戶拒絕為一個主要項目支付報酬時，吳石的合作伙伴找也就離職而去，這樣其公司也遭遇破產(chǎn)。之后，吳石開始組建一家安全咨詢公司，并實驗他多年前在復旦大學讀書時就曾設想的一個fuzzing方法。他發(fā)現(xiàn)了微軟的一些安全漏洞，并且直接報告給微軟。在這之后，他才從一位朋友口中得知了ZDI這樣“購買漏洞”的組織。從此以后，吳石就成為一名全職漏洞獵手 。

這種尋找漏洞的經(jīng)歷已經(jīng)頗具收獲。ZDI從吳石那里購買了50個漏洞，每個價格至少5000美元，而iDefense也偶爾支付過1萬多美元，購買了少量的漏洞。吳石沒有透露至今為止在此方面的具體收益數(shù)量，但簡單計算即可知道，其在此方面的收益應當超過25萬美元，這在中國可算是一筆不小的數(shù)目。ZDI還為吳石授予“白金 (platinum status)”獎，該獎項的獲得者可以拿到2萬美元的獎金，并免費參加在美國拉斯維加斯舉行的“黑帽”(Black Hat)安全大會。

蘋果安全意識欠佳：

一個中國研究員能夠掌握數(shù)百個重要漏洞，此消息的確令一些公司感到擔憂。但吳石表示，他只會將漏洞賣給那些“不做壞事”的企業(yè)，而且會直接將漏洞報告給受影響的軟件公司。他表示，曾有黑市買家愿意支付比ZDI資金多10倍的價格來購買其發(fā)現(xiàn)的一些IE漏洞，吳石都表示，其不會冒任何風險而卷入犯罪之爭。

即便如此，吳石發(fā)現(xiàn)如此多的漏洞也可能會產(chǎn)生麻煩，特別是對蘋果軟件更是如此。吳石表示，他之所以關注蘋果軟件漏洞，是因為蘋果本身一直不太關注這一問題（蘋果目前未對此事發(fā)表評論意見）。

近十年來，微軟一直在與網(wǎng)絡攻擊進行斗爭，從而不斷的穩(wěn)固其軟件。吳石列舉稱，2001年“紅色代碼”蠕蟲病毒曾感染了成千上萬臺電腦，并侵犯了諸多網(wǎng)站，一些被黑的網(wǎng)站還打出“中國黑客攻擊”的字語，但是，多年以來，蘋果因為一度被網(wǎng)絡黑客忽視而自鳴得意和自以為安全無事。

不過，在吳石看來，蘋果這種暫時的安逸狀況不會持久下去。隨著受到的攻擊越來越多，蘋果軟件可能再也不會因為市場份額較小而免受安全問題的困擾。吳石表示：“iPhone和Mac操作系統(tǒng)比Windows 7更容易遭受攻擊。在我看來，蘋果軟件將會遭遇更多的攻擊?！保ㄅＥ＃?/P>