一二三区,国产精品99精品久久免费,亚洲综合色一区,日韩人妻中文字幕视频

新聞中心
中國黑客專找蘋果軟件漏洞 盈利超25萬美元
信息來源:長沙做網(wǎng)站  /  發(fā)布時間:2010-7-16  /  瀏覽數(shù)量:

中國安全研究員吳石

中國安全研究員吳石

導讀:美國《福布斯》雜志網(wǎng)絡版今天撰文稱,中國安全研究員吳石發(fā)現(xiàn)的瀏覽器漏洞中,有半數(shù)都來自蘋果Safari瀏覽器。他認為,蘋果借助較小的市場份額而免受安全問題的困擾的日子將一去不復返。

以下為文章概要:

無名英雄吳石

如果說“嚴厲的愛”是解決軟件故障的最佳方法,那么吳石(Wu Shi,音譯)或許就是信息安全領域眾多的無名英雄之一。

自2007年以來,這位家住上海的35歲研究員已經發(fā)現(xiàn)并報告了IE、Safari和Chrome等瀏覽器中存在的100多個嚴重漏洞。當用戶瀏覽被感染的網(wǎng)頁時,黑客可以借助這些漏洞劫持用戶的電腦。僅去年一年,他就將其中50多個漏洞出售給了Zero Day Initiative(以下簡稱“ZDI”)和iDefense等漏洞懸賞項目。這兩個項目分別歸屬于惠普和VeriSign,他們專門花錢從研究人員那里購買漏洞信息,并在安全產品中使用這些數(shù)據(jù),隨后再將其交給受影響的軟件廠商。

這表明吳石一年匯報給ZDI和iDefense的漏洞比全世界任何一個研究人員都多,其中超過半數(shù)都來自蘋果Safari瀏覽器。

例如,在上月的一次安全更新中,蘋果針對iPhone操作系統(tǒng)發(fā)布了64個新補丁,其中只有6個是蘋果內部研究人員自己發(fā)現(xiàn)的,12個由谷歌研究人員發(fā)現(xiàn),還有15個是由吳石發(fā)現(xiàn)的。

安全專家查理•米勒(Charlie Miller)說:“或許蘋果應當聘請吳石來幫助他們,因為他發(fā)現(xiàn)的漏洞是蘋果整個安全團隊的兩倍還多!

獨特fuzzing算法

吳石通過即時通訊和電子郵件解釋了他是如何使用一種名為“fuzzing”的方法來收集這些漏洞的。使用這種方法時,需要向軟件中輸入大批經過修改的文件,以便查看哪些文件會導致軟件崩潰。之后再對這些崩潰事件進行分析,以便了解哪些情況會允許黑客注入代碼并控制瀏覽器。

吳石使用他自己的獨特算法來生成這些測試文件,然后將他們拋入Apache Tomcat服務器。通過這種方法,他就可以獲得更快的頻率,從而比普通研究人員測試更多的樣本。與以往只更改文件中的單一變量不同,吳石表示,他的方法會更改整個樣本,而且能夠在進行盡可能多的更改的同時,仍然讓瀏覽器將文件識別為HTML文檔。“我的fuzzing框架關注的是軟件架構,而不是細節(jié)!眳鞘f。

ZDI研究經理亞倫•波托尼(Aaron Portnoy)對吳石發(fā)現(xiàn)的漏洞進行了研究,他表示,吳石不會對他所發(fā)現(xiàn)的漏洞進行深入分析。但他認為,這名中國研究員使用的方法可以捕捉到其他方法無法發(fā)現(xiàn)的漏洞!斑@些文件中的相關項目有著復雜的層次結構。他可以改變關系樹結構的工作方式,而不僅僅是其中的一個項目!辈ㄍ心嵴f,“很多人只是fuzz數(shù)據(jù),而他則是fuzz關系。”

曲折從業(yè)經歷

吳石說,他是在職業(yè)發(fā)展經歷了一系列挫折后才在漏洞尋找領域實現(xiàn)突破的。當中國股市2006年開始一輪波瀾壯闊的大牛市時,當時在一家小型IT公司任職的吳石感覺他的職業(yè)像是一艘逐漸沉沒的船。他說:“我感覺正在逐漸陷入絕望。以我的工資,甚至無法糊口。”

他后來離開了那家IT公司,并且創(chuàng)建了一家基于P2P文件分享技術的企業(yè)。但是當一家大客戶拒絕履行承諾為一個主要項目支付報酬時,他的合作伙伴找了另外一份工作,公司也破產了。

吳石開始組建一家安全咨詢公司,并實驗他早年在復旦大學讀書時想到的一個fuzzing方法。他發(fā)現(xiàn)了微軟的一些安全漏洞,并且直接將其報告給微軟。后來,他從朋友那里得知了ZDI這樣的“漏洞購買”項目!皬哪且院螅揖妥兂闪艘幻毬┒传C手!彼f。

這一決定已經有所收獲。ZDI從吳石那里購買了50個漏洞,每個都至少價值5000美元,而iDefense某些情況下支付的費用甚至超過1萬美元。吳石并沒有透露具體收益,但通過簡單計算便可獲知,他的收益超過25萬美元,這在中國可是很大一筆錢。ZDI還為吳石授予“白金”(platinum status)獎,該獎項的獲得者可以拿到2萬美元的獎金,并免費參加在美國拉斯維加斯舉行的“黑帽”(Black Hat)安全大會。

蘋果安全性低下

一個中國研究員手中握有數(shù)百個重要漏洞,會使某些人感到擔憂。但是吳石表示,他只會將漏洞賣給那些“不作惡”的企業(yè),而且會直接將漏洞報告給受影響的軟件公司。他表示,某些黑市買家給出十倍于ZDI的出價購買他發(fā)現(xiàn)的一些IE漏洞。且不說是否存在道德問題,吳石并不希望卷入任何犯罪行為。

即便如此,如此多的漏洞被吳石發(fā)現(xiàn)仍然可能產生麻煩,對蘋果軟件而言尤其如此。吳石表示,他之所以關注蘋果的漏洞,是因為蘋果自己不關注這一問題。

蘋果尚未對此置評。

微軟十年來一直在與網(wǎng)絡攻擊做斗爭,也因此而變得堅固。例如“紅色代碼”蠕蟲病毒曾于2001年感染了數(shù)萬臺電腦,還有很多網(wǎng)站因此被黑,并被掛上了“Hacked By Chinese!”(被中國人黑了)的標語。而蘋果則因為多年以來一直被網(wǎng)絡犯罪分子忽略而變得有些自滿。

但吳石認為,這種安逸的狀況不會延續(xù)下去。隨著有針對性的攻擊越來越多,蘋果無法再因為市場份額較小而免受安全問題的困擾。他說:“iPhone和Mac OS比Windows 7更容易攻擊。我認為,未來將有很多針對蘋果軟件的攻擊!保ǘ辏




上一條: 中小企業(yè)搞網(wǎng)絡業(yè)務_應該考慮如何做好自己的口碑
下一條: 網(wǎng)站拍照備案已成定局 看國內站長與IDC如何應對
相關熱門資訊  News
一二三客戶案例

  123 NETWORK

合作共贏,助您打開網(wǎng)絡營銷財富之間!

www.zhikedianqi.com

聯(lián)系方式

地址:湖南省長沙市天心區(qū)韶山南路248號南園503室

電話:13637482004    0731-88571521

網(wǎng)址:http://www.zhikedianqi.com/

郵箱:123@123007.com

在線QQ咨詢

需求咨詢

價格咨詢

微信咨詢

掃一掃進移動端

版權所有 © 長沙一二三網(wǎng)絡技術有限公司    統(tǒng)一社會信用代碼:91430103MACCH7984M    網(wǎng)站ICP備案號:湘ICP備2023006748號     湘公網(wǎng)安備 43010302001803號