您的位置:首页>>电脑软件
搜索: 标题  

中国黑客发现Safari大量漏洞 收益超过25万美元

发布时间:2010-07-16 23:33:09  来源:互联网   编辑:即时新闻  背景:

  据外国媒体报道,《福布斯》网站今天发布文章称,来自中国上海的安全研究员吴石(Wu Shi)已经跨入全球顶尖的浏览器漏洞发现者之行列。也许他的研究会让苹果获得很大的启示。

  以下为全文:

  如果说“严厉的爱”是解决全球软件故障的最佳良方,那么吴石或许也可称为信息安全领域诸多的无名英雄之一。

  自2007年以来,这位35岁的上海研究员已经发现并报告了IE、Safari和Chrome等浏览器中存在的100多个严重漏洞。如果用户浏览被感染的网页时,黑客就可以借助这些漏洞劫取用户电脑中信息。仅在去年一年,他就将其中的50多个漏洞卖给了Zero Day Initiative和iDefense等漏洞购买组织,这两个组织分别归属于惠普和VeriSign,他们专门花钱从研究人员那里购买漏洞信息,并在安全产品中使用这些数据,随后再将其交给受影响的软件销售商。

  这些数据表明吴石在仅一年中提供给ero Day Initiative和iDefense的漏洞比全球任何一个研究人员都多,其中超过一半以上的漏洞都来自苹果Safari浏览器。例如,在上月的一次安全更新中,苹果针对iPhone操作系统发布了64个新补丁,其中只有6个漏洞是苹果自已的研究人员所发现,12个由Google研究人员发现,另外15个则是由吴石发现。

  对此,安全专家查理-米勒(Charlie Miller)表示:“或许苹果应当聘请吴石来帮助他们,因为他发现的漏洞比苹果整个安全团队发现的两倍还多。”

  独特的fuzzing算法:

  吴石通过即时通讯和电子邮件解释了他是如何使用一种叫做“fuzzing”的方法来获取这些漏洞。使用此方法时,需要向软件中输入大批经过修改的文件,以查找哪些文件会导致软件崩溃,然后再对这些崩溃事例进行分析,以便弄清黑客是如何注入代码并控制浏览器。

  吴石使用其独特的算法来生成拟进行测试的文件,然后再置入他自己的Apache Tomcat服务器,这样,其就可以获得更快的频率,来比普通研究人员测试更多的样本。吴石表示,其方法与更改文件中的单一变量不同,他的方法会更改整个样本,而且能够在进行尽可能多的更改情况之下,仍能够让浏览器将文件识别为HTML文档。吴石表示:“我的fuzzing框架关注的是软件架构,而不是细节。”

  据ZDI研究部门经理阿伦-波托尼(Aaron Portnoy)对吴石发现的漏洞进行研究后表示,吴石不会对他所发现的漏洞进行深入分析。但他认为,这名中国研究员使用的方法可以捕捉到其它方法所无法发现的漏洞。“这些文件中的相关项目有着复杂的层次结构,但他可以改变复杂的关系树结构的工作方式,而不仅仅是其中的某一项目。”波托尼说,“很多人只是fuzz数据,而他则是fuzz数据间的关系。”

  职业受挫转行:

  吴石称其是经过了一系列的工作失败经历之后才在发现漏洞方面实现了突破。当2006年中国股市开始暴涨时,吴石当时仍在一家小型IT公司任职,其感觉当时的职业就像是一艘正在下沉的船,并因此感到绝望之极。当时的薪水甚至难以让吴石养家度日。

  吴石后来从那家IT公司辞职,并创建了一家基于P2P文件共享技术公司。但是当一家大客户拒绝为一个主要项目支付报酬时,吴石的合作伙伴找也就离职而去,这样其公司也遭遇破产。之后,吴石开始组建一家安全咨询公司,并实验他多年前在复旦大学读书时就曾设想的一个fuzzing方法。他发现了微软的一些安全漏洞,并且直接报告给微软。在这之后,他才从一位朋友口中得知了ZDI这样“购买漏洞”的组织。从此以后,吴石就成为一名全职漏洞猎手 。

  这种寻找漏洞的经历已经颇具收获。ZDI从吴石那里购买了50个漏洞,每个价格至少5000美元,而iDefense也偶尔支付过1万多美元,购买了少量的漏洞。吴石没有透露至今为止在此方面的具体收益数量,但简单计算即可知道,其在此方面的收益应当超过25万美元,这在中国可算是一笔不小的数目。ZDI还为吴石授予“白金 (platinum status)”奖,该奖项的获得者可以拿到2万美元的奖金,并免费参加在美国拉斯维加斯举行的“黑帽”(Black Hat)安全大会。

  苹果安全意识欠佳:

  一个中国研究员能够掌握数百个重要漏洞,此消息的确令一些公司感到担忧。但吴石表示,他只会将漏洞卖给那些“不做坏事”的企业,而且会直接将漏洞报告给受影响的软件公司。他表示,曾有黑市买家愿意支付比ZDI资金多10倍的价格来购买其发现的一些IE漏洞,吴石都表示,其不会冒任何风险而卷入犯罪之争。

  即便如此,吴石发现如此多的漏洞也可能会产生麻烦,特别是对苹果软件更是如此。吴石表示,他之所以关注苹果软件漏洞,是因为苹果本身一直不太关注这一问题(苹果目前未对此事发表评论意见)。

  近十年来,微软一直在与网络攻击进行斗争,从而不断的稳固其软件。吴石列举称,2001年“红色代码”蠕虫病毒曾感染了成千上万台电脑,并侵犯了诸多网站,一些被黑的网站还打出“中国黑客攻击”的字语,但是,多年以来,苹果因为一度被网络黑客忽视而自鸣得意和自以为安全无事。

  不过,在吴石看来,苹果这种暂时的安逸状况不会持久下去。随着受到的攻击越来越多,苹果软件可能再也不会因为市场份额较小而免受安全问题的困扰。吴石表示:“iPhone和Mac操作系统比Windows 7更容易遭受攻击。在我看来,苹果软件将会遭遇更多的攻击。”(牛牛)




返回网站首页 本文来源:互联网

本文评论
360预警:电邮将成网络安全重灾区 损失或超50亿
2月6日,360互联网安全中心发布预警:电子邮件将成为今年的网络安全重灾区,电邮安全事件将给我国半...
日期:02-06
“纵情文件修复”敲诈者病毒爆发 360紧急响应
春节刚过,敲诈者病毒又迎来了一轮大规模爆发。据360安全卫士官方微博公告,名为“纵情文件修...
日期:02-06
微软:Win10是兼容性最好的Windows系统
每当有新系统推出时,用户是否接受它的一个标准就是兼容性,如果这方面太差,用起来会无比折磨人。
日期:02-06
Win10正式干掉Win7!仅仅是在美国
虽然微软宣称根据自己的数据,Windows 10份额已经超越Windows 7成为第一大操作系统,但我们更愿意相...
日期:02-04
假冒支付宝集福增强工具锁死电脑 木马趁机敲竹杠
临近春节,木马也想趁着热点捞些过节钱。最近,360安全卫士拦截到一类伪装成“支付宝集福增强...
日期:01-25
Win10新版15014改善“蓝光过滤”功能:强力护眼
上周五,微软向快速会员推送了Windows 10 Build 15014最新预览版,新功能包括支持设置任意颜色为主...
日期:01-24
新年新气象 乐视视频APP领先版V2.1.3完美“靓”相
近日,乐视视频APP领先版(即乐视超级手机中的乐视视频APP)V2.1.3新版完美“靓”相—...
日期:01-17
微软:放弃你的Windows 7吧 它已经老了
Windows 8的失败让不少人对于微软的新操作系统有所戒备——即便Windows 10在很大程度上解...
日期:01-17
微软:Windows 7安全架构过时 面临巨大风险
作为微软最成功的操作系统之一,一经推出之后便受到了用户的青睐,以至于后续的Windows 8和Windows ...
日期:01-16
微软调整Win10最低配置要求:32位最小容量降低1G
目前Windows 10系统正式发布已经一年多时间,微软在不断增加新功能的同时也不停对系统性能进行优化...
日期:01-09
Windows 10去年年终全球份额24.36% 远落后于Win7
北京时间1月3日消息,据外媒报道,市场研究公司NetMarketShare发布的最新数据显示,Windows 10...
日期:01-03
年底日拦截最高达7万 《烧脑24小时》揭敲诈者木马传播机制
近期,一部关于安全专家对抗敲诈者木马的网络短剧《烧脑24小时之隐形的敲诈者》在安全行业内引发了...
日期:2016
三星换机助手已支持Win10 Mobile:从WP转战安卓更轻松
12月29日消息,虽然微软CEO纳德拉此前已经强调不会放弃Win10 Mobile手机业务,但其实已经有不少原来...
日期:2016
263企业网盘全功能深度测评
随着数据信息化的快速发展,在办公生活中,IT信息管理方面,产生的问题越来越多。同时工作中产生的...
日期:2016
听歌也可以“声色俱全”,原来你是这样的QQ音乐
作为一名听歌的“老司机”,可以说为了听喜欢的爱豆的歌曲,把市面上凡是叫上名的音乐APP...
日期:2016
微软:Windows 10安装量超过Windows 7
第三方市场份额统计数据显示Windows 10市占率稍微超过20%,而Windows 7继续领先市场,市占率近45%,...
日期:2016
颜值爆表 乐视视频V6.11视觉大升级体验更清爽
2016年岁末将至,乐视视频以焕然新装来回馈用户一年来的支持。近日,乐视视频V6.11新版上线,最亮眼...
日期:2016
搜狗输入法携手汤达人,打造文字新玩法
搜狗输入法作为国民输入法,一直深受大众喜爱。除了在产品上创意十足,搜狗输入法也一直寻求多样化...
日期:2016
回忆杀 QQ音乐“那年今日”带你暖心穿越
“我们相视而笑,伴着音乐漫步街上,这不只是曾经,还有现在,未来“—— 那年...
日期:2016
支付安全成全行业焦点 腾讯电脑管家联手银行企业共建安全网购环境
近年来,网购已经越来越日常化,网络消费呈现爆发增长势头。然而,在电商巨头们交易额屡创新高、消...
日期:2016