尋找網(wǎng)絡(luò)漏洞 漏洞中有大財富

《Cisco 網(wǎng)絡(luò)技術(shù)》課程實驗指導(dǎo)書-交換機與路由器配置PDF+Word版

• 類型：網(wǎng)絡(luò)認(rèn)證大�。�722KB語言：中文 評分：8.7
• 標(biāo)簽：

立即下載

“自由人”吳石

在2010年6月的一次安全更新中，蘋果公司針對iPhone操作系統(tǒng)發(fā)布了64個新補丁，在這之中，有15個漏洞都是由吳石發(fā)現(xiàn)的，而由蘋果內(nèi)部研究人員發(fā)現(xiàn)的漏洞只有6個。美國《福布斯》雜志在一篇文章中寫道：“自2007年以來，這位家住上海的35歲研究員已經(jīng)發(fā)現(xiàn)并報告了IE、Safari和Chrome等瀏覽器中存在的100多個嚴(yán)重漏洞……這表明吳石一年匯報給ZDI和iDefense的漏洞比全世界任何一個研究人員都多。”

漏洞里有財富

“吳石很強大。他的技術(shù)好，基本功很扎實，他發(fā)現(xiàn)的漏洞價值也大。”美國VeriSign網(wǎng)絡(luò)安全公司東亞地區(qū)總監(jiān)周銘這樣評價吳石。“我們有一個評測的系統(tǒng)來評判漏洞的商用價值，這跟它的普遍性、普及性、感染力都有關(guān)系的，然后給予數(shù)額不同的獎金。評測下來，他發(fā)現(xiàn)的漏洞級別就比較高。再一個，這個工作有一定的運氣成分在里頭，有的人，一輩子可能只發(fā)現(xiàn)一兩個漏洞，你沒法預(yù)計自己在多長的時間內(nèi)能發(fā)現(xiàn)漏洞。但是，吳石發(fā)現(xiàn)的漏洞的確很多。”

吳石將他發(fā)現(xiàn)的漏洞大多數(shù)賣給了像Zero Day Initiativ（簡稱ZDI）和VeriSign這樣的美國網(wǎng)絡(luò)安全公司，這些公司會將這些數(shù)據(jù)運用在它們的安全產(chǎn)品之中，并且將數(shù)據(jù)發(fā)送給受到影響的軟件廠商。

吳石最開始接觸的美國ZDI公司。“剛開始每個漏洞只有兩三千美元，現(xiàn)在稍微漲了一點，大概有三四千美元。但也不是所有的漏洞都能賣得出去，倒不是我發(fā)現(xiàn)的漏洞價值大小的問題，這要看ZDI有多少經(jīng)費，如果當(dāng)年的獎金經(jīng)費已經(jīng)用得差不多了，他們就不會再繼續(xù)收購我的漏洞，基本上每年賣給他們10個左右。”在吳石看來，ZDI的收購價格是目前最合理的，他另有一部分賣給了VeriSign公司，“但他們要求多，要求提供能夠成功攻擊的代碼，這還要花費我三四天的時間，他們給的價格也不具有競爭力。”

還有一些剩余的漏洞找不到買家，他就干脆直接發(fā)送給出現(xiàn)漏洞的廠商。“Google原來只給500美元，不過現(xiàn)在為了鼓勵人們發(fā)現(xiàn)了漏洞直接跳過安全公司提交給他們，將獎金提高到3000美元了。蘋果過去壓根兒不給錢，現(xiàn)在每個漏洞在兩三千美元。”吳石認(rèn)為出售給出現(xiàn)漏洞的企業(yè)是最理想的選擇，“感覺這比賣給安全公司更加合法。”

跟國內(nèi)的IT企業(yè)做買賣讓吳石覺得不劃算，“騰訊、迅雷、搜狐也都跟我聯(lián)系過，希望我?guī)退麄兘o軟件找漏洞。”吳石開價50萬元，嚇走了這些企業(yè)，“其實他們讓我做的工作很簡單，但是比較繁瑣，他們企業(yè)的安全人員水平還是和國外的有很大差距，一個程序，我寫得清清楚楚，他們還是會不停地問。”

偶然中的必然

四川人吳石1994年進入復(fù)旦大學(xué)數(shù)學(xué)系就讀。1996年學(xué)校有了互聯(lián)網(wǎng)，這讓他產(chǎn)生了濃厚的興趣。大學(xué)畢業(yè)后，吳石到廣東東莞的一家企業(yè)工作。2000年，吳石再次回到上海，去復(fù)旦大學(xué)的一家校辦企業(yè)做網(wǎng)絡(luò)安全的防護工作。“那時我的工資只有4000多元，當(dāng)時莘莊的房價是每平方米2000多元。后來我的工資漲到1萬多元，房價都漲到每平方米兩三萬元了。”

2006年年初，吳石辭職，自己成立了一家小公司。“當(dāng)時在業(yè)余時間幫企業(yè)找網(wǎng)絡(luò)方面的問題，一共做了兩單生意，每單能賺十幾萬元，而且主要干活的人就是我，這樣算下來，跟一年的工資都差不多了，而且還不累。”

沒想到公司開了，客戶沒了。吳石說：“運營這樣的公司要靠關(guān)系。客戶先是包給大公司，大公司再轉(zhuǎn)手包給小公司，有關(guān)系的人才能拿到生意。之前在校辦企業(yè)干的私活兒也是靠同事的關(guān)系。”無事可做的他開始潛心研究網(wǎng)絡(luò)技術(shù)。“那時我注意到國際上剛剛出現(xiàn)的Fuzzing漏洞檢查方法，覺得它一定會流行起來。像微軟的Office軟件，它內(nèi)部有幾千臺機器都在運行著Fuzzing的程序。”Fuzzing對代數(shù)功底要求很高，這恰恰是吳石最擅長的。

2007年8月，吳石帶著他自己的P2P文件分享技術(shù)北上北京參加一個網(wǎng)絡(luò)安全論壇，雖然推銷失敗，但吳石聽到了新鮮事兒。“有人說，在安全技術(shù)最好的網(wǎng)站XFocus上發(fā)布了一個漏洞，后來真的收到了網(wǎng)站給的獎金。”這讓吳石心頭一動。

吳石還未采取行動，這樣的事情很快自己找上了門——美國ZDI找到了他。“他們發(fā)郵件給我，向我詢問關(guān)于一個微軟的漏洞細(xì)節(jié)。”吳石為了研究語音編碼程序，曾比較了QQ和MSN的視頻編碼程序，“當(dāng)時就發(fā)現(xiàn)了MSN的一個視頻編碼的問題。”吳石回復(fù)了ZDI的請求，ZDI進而鼓勵他，以后可以將發(fā)現(xiàn)的漏洞賣給ZDI專門做收購、分析的項目小組。

從此吳石開始了專業(yè)的漏洞挖掘之路。ZDI研究經(jīng)理亞倫·波托尼（Aaron Portnoy）這樣評價吳石的漏洞挖掘方法：“這些文件中的相關(guān)項目有著復(fù)雜的層次結(jié)構(gòu)。他可以改變關(guān)系樹結(jié)構(gòu)的工作方法，而不僅僅是其中的一個項目。很多人只是Fuzz數(shù)據(jù)，而他則是Fuzz關(guān)系。”

吳石發(fā)現(xiàn)的Office漏洞和IE瀏覽器的漏洞分別有十幾個，但更多的是關(guān)于蘋果Safari瀏覽器的漏洞。吳石在年終時獲得了ZDI頒發(fā)的“白金獎”，可以獲得額外的兩萬美元的獎金。

“現(xiàn)在像我這樣獨立做漏洞挖掘的人越來越少了，因為難以競爭得過大公司。比如微軟，他們的安全人員可以拿到內(nèi)部的文檔，同時Fuzzing要求的計算量特別大，大公司機器多顯然有優(yōu)勢。”不過吳石對自己的技術(shù)相當(dāng)自信，他說：“單純依靠企業(yè)內(nèi)部，或者安全公司，總是會有漏網(wǎng)之魚出現(xiàn)。一個漏洞很可能就會造成上億美元的損失。2002年的‘紅色代碼’病毒出現(xiàn)，大企業(yè)一半的工程師都跑去接電話，聽用戶的投訴去了，網(wǎng)絡(luò)直接堵塞，甚至癱瘓。”

美國VeriSign網(wǎng)絡(luò)安全公司東亞地區(qū)總監(jiān)周銘說：“在他身上，我看到了另外一面的自己。他自由的生活是我的一種向往。”

的確，習(xí)慣了自由自在生活的吳石不愿意為了穩(wěn)定的收入而委身于大企業(yè)。“現(xiàn)在的收入每年在三四十萬元，我打算結(jié)婚，但還沒買房子。現(xiàn)在一座100平方米的房子要300萬元。”