中国黑客发现全球最多软件漏洞 称苹果软件安全性低下
如果说“严厉的爱”是解决软件故障的最佳方法,那么吴石(Wu Shi,音译)或许就是信息安全领域众多的无名英雄之一。
自2007年以来,这位家住上海的35岁研究员已经发现并报告了IE、Safari和Chrome等浏览器中存在的100多个严重漏洞(CSDN编者注:Wu Shi之前曾经发现过IE的重要漏洞,相关报道参见“谷歌遭殃是因为微软补漏晚了数月”)。当用户浏览被感染的网页时,黑客可以借助这些漏洞劫持用户的电脑。仅去年一年,他就将其中50多个漏洞提交给了Zero Day Initiative(以下简称“ZDI”)和iDefense等漏洞悬赏项目。这两个项目分别归属于惠普和VeriSign,会对研究人员提交的漏洞信息付费,并在安全产品中使用这些数据,随后再将其交给受影响的软件厂商。
这表明吴石一年汇报给ZDI和iDefense的漏洞比全世界任何一个研究人员都多,其中超过半数都来自苹果Safari浏览器。
例如,在上月的一次安全更新中,苹果针对iPhone操作系统发布了64个新补丁,其中只有6个是苹果内部研究人员自己发现的,12个由谷歌研究人员发现,还有15个是由吴石发现的。
安全专家查理•米勒(Charlie Miller)说:“或许苹果应当聘请吴石来帮助他们,因为他发现的漏洞是苹果整个安全团队的两倍还多。”
独特的Fuzzing算法
吴石通过即时通讯和电子邮件解释了他是如何使用Fuzzing方法(CSDN编者注:通过特制的输入来测试程序安全性的方法)来收集这些漏洞的。使用这种方法时,需要向软件中输入大批经过修改的文件,以便查看哪些文件会导致软件崩溃。之后再对这些崩溃事件进行分析,以便了解哪些情况会允许黑客注入代码并控制浏览器。
吴石使用他自己的独特算法来生成这些测试文件,然后将它们抛入Apache Tomcat服务器。通过这种方法,他就可以获得更快的频率,从而比普通研究人员测试更多的样本。与以往只更改文件中的单一变量不同,吴石表示,他的方法会更改整个样本,而且能够在进行尽可能多的更改的同时,仍然让浏览器将文件识别为HTML文档。“我的Fuzzing框架关注的是软件架构,而不是细节。”吴石说。
ZDI研究经理亚伦•波托尼(Aaron Portnoy)对吴石发现的漏洞进行了研究,他表示,吴石不会对他所发现的漏洞进行深入分析。但他认为,这名中国研究员使用的方法可以捕捉到其他方法无法发现的漏洞。“这些文件中的相关项目有着复杂的层次结构。他可以改变关系树结构的工作方式,而不仅仅是其中的一个项目。”波托尼说,“很多人只是测试数据,而他则是测试关系。”
曲折从业经历
吴石说,他是在职业发展经历了一系列挫折后才在漏洞寻找领域实现突破的。当中国股市2006年开始一轮波澜壮阔的大牛市时,当时在一家小型IT公司任职的吴石感觉他的职业像是一艘逐渐沉没的船。他说:“我感觉正在逐渐陷入绝望。以我的工资,甚至无法糊口。”
他后来离开了那家IT公司,并且创建了一家基于P2P文件分享技术的企业。但是当一家大客户拒绝履行承诺为一个主要项目支付报酬时,他的合作伙伴找了另外一份工作,公司也破产了。
吴石开始组建一家安全咨询公司,并实验他早年在复旦大学读书时想到的一个Fuzzing方法。他发现了微软的一些安全漏洞,并且直接将其报告给微软。后来,他从朋友那里得知了ZDI这样的“漏洞悬赏”项目。“从那以后,我就变成了一名全职漏洞猎手。”他说。
这一决定已经有所收获。ZDI从吴石那里购买了50个漏洞,每个都至少价值5000美元,而iDefense某些情况下支付的费用甚至超过1万美元。吴石并没有透露具体收益,但通过简单计算便可获知,他的收益超过25万美元,这在中国可是很大一笔钱。(CSDN编者注:对此,吴石在Twitter上表示:实际上没有得到那么多钱,而且就算有,也只能在上海买半套房子。自己现在还在老婆家蹭着住,是标准码农。)
ZDI还为吴石授予“白金”(platinum status)奖,该奖项的获得者可以拿到2万美元的奖金,并免费参加在美国拉斯维加斯举行的“黑帽”(Black Hat)安全大会。
苹果安全性低下
一个中国研究员手中握有数百个重要漏洞,会使某些人感到担忧。但是吴石表示,他只会将漏洞卖给那些“不作恶”的企业,而且会直接将漏洞报告给受影响的软件公司。他表示,某些黑市买家给出十倍于ZDI的出价购买他发现的一些IE漏洞。且不说是否存在道德问题,吴石并不希望卷入任何犯罪行为。
即便如此,如此多的漏洞被吴石发现仍然可能产生麻烦,对苹果软件而言尤其如此。吴石表示,他之所以关注苹果的漏洞,是因为苹果自己不关注这一问题。
苹果尚未对此置评。
微软十年来一直在与网络攻击做斗争,也因此而变得坚固。例如“红色代码”蠕虫病毒曾于2001年感染了数万台电脑,还有很多网站因此被黑,并被挂上了“Hacked By Chinese!”(被中国人黑了)的标语。而苹果则因为多年以来一直被网络犯罪分子忽略而变得有些自满。
但吴石认为,这种安逸的状况不会延续下去。随着有针对性的攻击越来越多,苹果无法再因为市场份额较小而免受安全问题的困扰。他说:“iPhone和Mac OS比Windows 7更容易攻击。我认为,未来将有很多针对苹果软件的攻击。”