如果“嚴厲的愛”是整頓全球軟件行業的最佳辦法,那么吳世(Wu Shi,音譯)可能是信息安全行業的一名無名英雄。
2007年以來,這名35歲的上海研究員總共發現并匯報了100多種網頁瀏覽器的重要漏洞,包括IE、Safari和Chrome瀏覽器在內。當用戶瀏覽受病毒感染的網頁時,這些漏洞可能被黑客用來攻擊用戶的計算機。僅去年一年中,吳世向諸如Zero Day Initiative 和iDefense等漏洞獎勵項目以及惠普和VeriSign等公司機構售出了50多個瀏覽器漏洞。這些項目或機構向研究員購買漏洞信息,并利用這些信息完善其安全類產品,然后再將此類產品交付給受病毒感染的軟件商。
吳世在一年中發現的漏洞數量為Zero Day Initiative 和iDefense接受舉報之冠——當然,大部分漏洞都出現在網頁瀏覽器中——比世界上其他任何研究員所發現的都要多。而且,超過半數的漏洞是在蘋果的 Safari瀏覽器中。
比如,在上個月的一份安全更新報告中,蘋果發布了iPhone操作系統的64個新補丁。其中,僅有6個安全漏洞是由蘋果內部研究人員發現的。12個漏洞是由谷歌的研究人員發現的。15個漏洞是由吳世發現的。
“或許蘋果應該聘用吳世來幫助他們(發現更多漏洞),因為很顯然,吳世發現的漏洞數量是蘋果整個安全性能研究團隊所發現漏洞數量的兩倍還多。”安全研究員查理·米勒(Charlie Miller)對《福布斯》記者這樣表示。
在即時通訊和電子郵件對話中,吳世解釋了他如何使用一種稱之為“模糊測試”的方法來獲得這些漏洞。對瀏覽器進行模糊測試的過程包括在程序中輸入調整過的文件流,觀察是什么因素導致其崩潰,然后分析這些具體崩潰實例以得出黑客在何種情況下可插入允許其入侵并控制瀏覽器的代碼。
吳世使用自己獨創的算法來創建這些測試文件,并將這些文件放在他自己的Apache Tomcat服務器上,這樣一來,他就能比一般研究人員以更高的頻率測試更多樣本。吳世表示,他不采用在一個文件中調換單一變量的辦法,而是改變整個樣本 ——作出盡可能多的更改,當仍能讓瀏覽器將文本認定為HTML文件。“我的模糊測試框架專注于軟件的結構,而不是細節。”他說。
ZDI公司的研究經理艾倫·波特諾伊(Aaron Portnoy)在驗證過吳世的發現結果后表示,吳世并不會對他發現的漏洞做深層分析。不過波特諾伊表示,這名中國研究員的全文件模糊測試方法能夠找出其他方法不能發現的漏洞。“這些文件的相關項層次非常復雜。他不是去改變其中的一個項,而是改變關系樹的工作方式,”波特諾伊表示,“很多人都對將數據模糊化,而吳世進行模糊化處理的對象卻是數據之間的關系。”
吳世表示,他是在經歷了一系列職場失敗之后才找到查找漏洞這個突破口的。2006年,隨著中國股市泡沫的膨脹,吳世在一家小型IT公司的工作開始變得愈加沒有希望了。“我越來越深地陷入絕望之中,”他說,“我的工資甚至都不能養活我自己。”
于是他離開了IT公司,創辦了一家點對點文件分享技術公司。后來,一個大客戶拒絕為公司的一個主要項目支付款項,吳世的合伙人接受了另一份工作,公司也倒閉了。
吳世轉而專注于安全顧問服務,并開始實踐其多年前還在復旦大學念書時就萌生的有關模糊測試的想法。他發現了幾個微軟的安全性漏洞,并直接報告給了微軟,之后他的一朋友告訴他諸如ZDI之類的公司有一種“漏洞購買”項目。“從那個時候開始,我成為了一名全職漏洞搜尋人員。”他表示。
漏洞搜尋的回報相當豐厚。ZDI以每個至少5,000美元的價格向其購買了50個漏洞,而iDefense有時候為某個漏洞支付的價格超過10,000美元。吳世并沒有透露他目前為止總共賺了多少錢,不過稍稍簡單計算一下就能知道,這一數目遠遠超過了25萬美元——這在中國可是一筆不小的數目。ZDI同時授予吳世“白金級會員”身份,不僅可獲得20,000美元獎金,更可免費前往拉斯維加斯參加黑帽安全大會(Black Hat security conference)。
在發生了幾起與中國相關的網絡間諜活動之后,中國內地一名研究員手中掌握著數百種重要安全性漏洞這一事實可能會讓某些人擔心不已。對谷歌、瞻博網絡(Juniper)、英特爾、雅虎和其他幾家公司的公開攻擊似乎就來自于中國,而黑客們正是鉆了IE瀏覽器漏洞的空子——這種漏洞如果采用類似于吳世所采用的技術是能夠發現的。
但是吳世表示,他只向那些“不做壞事”的公司和機構出售漏洞,且直接向軟件商報告漏洞。他表示,黑市買家曾經愿意出10倍于ZDI的價錢來購買他發現的部分漏洞,但都被他拒絕了。除良心和道德因素之外,吳世也不想面臨被卷入犯罪活動的風險。
即便如此,吳世所發現的漏洞數量也足以令人不安,特別是蘋果軟件的漏洞數量。吳世表示,他之所以專注于查找蘋果的漏洞,是因為很顯然蘋果公司并沒有在這方面用心(當記者要求蘋果對這種說法給出評價時,公司并沒有立即做出回應)。
盡管微軟過去十年來都在努力加固軟件抵御外來攻擊的防線——吳世還是舉出了來自諸如紅色代碼蠕蟲(Code Red worm)的例子,這種病毒曾經在2001年攻擊了幾十萬臺電腦,并在瀏覽器上打出“該攻擊由中國人發起”的字樣。因為被網絡罪犯所忽略,蘋果過去幾年中一直太平無事。
然而,吳世表示,這種平靜并不持久。比如說,定向攻擊開始冒頭,這意味著蘋果的小眾市場不再能使公司在處理安全問題方面高枕無憂。“攻擊iPhone和 Mac操作系統比攻擊Windows 7要容易得多,”他表示,“我認為將來會出現大量針對蘋果軟件的攻擊。”
換言之,蘋果被“中國人攻擊”的時刻也許馬上就要到來了。而黑客之中不是所有人都像吳世這樣懷著一顆慈悲之心。
進入論壇>>(責任編輯:嫻子)聲明:IT商業新聞網登載此文出于傳遞更多信息之目的,并不意味著贊同其觀點或證實其描述。文章內容僅供參考。新聞咨詢:(010)68023640.推薦閱讀
壓力從何而來?30.9%的人表示是苦惱工作、事業和發展前途;21.5%的人是苦惱經濟生活方面,包括房價、日常消費開支等。此外,家庭問題、個人身體健康狀況、個人情感問題等也是上班族苦惱的因素。 近日,由39健康網獨>>>詳細閱讀
本文標題:福布斯:中國黑客教給蘋果的那些事
地址:http://www.sdlzkt.com/a/01/20111231/239146.html
網友點評
精彩導讀
科技快報
品牌展示