尋找網(wǎng)絡(luò)漏洞 漏洞中有大財(cái)富

《Cisco 網(wǎng)絡(luò)技術(shù)》課程實(shí)驗(yàn)指導(dǎo)書-交換機(jī)與路由器配置PDF+Word版

• 類型：網(wǎng)絡(luò)認(rèn)證大�。�722KB語(yǔ)言：中文 評(píng)分：8.7
• 標(biāo)簽：

立即下載

“自由人”吳石

在2010年6月的一次安全更新中，蘋果公司針對(duì)iPhone操作系統(tǒng)發(fā)布了64個(gè)新補(bǔ)丁，在這之中，有15個(gè)漏洞都是由吳石發(fā)現(xiàn)的，而由蘋果內(nèi)部研究人員發(fā)現(xiàn)的漏洞只有6個(gè)。美國(guó)《福布斯》雜志在一篇文章中寫道：“自2007年以來，這位家住上海的35歲研究員已經(jīng)發(fā)現(xiàn)并報(bào)告了IE、Safari和Chrome等瀏覽器中存在的100多個(gè)嚴(yán)重漏洞……這表明吳石一年匯報(bào)給ZDI和iDefense的漏洞比全世界任何一個(gè)研究人員都多。”

漏洞里有財(cái)富

“吳石很強(qiáng)大。他的技術(shù)好，基本功很扎實(shí)，他發(fā)現(xiàn)的漏洞價(jià)值也大。”美國(guó)VeriSign網(wǎng)絡(luò)安全公司東亞地區(qū)總監(jiān)周銘這樣評(píng)價(jià)吳石。“我們有一個(gè)評(píng)測(cè)的系統(tǒng)來評(píng)判漏洞的商用價(jià)值，這跟它的普遍性、普及性、感染力都有關(guān)系的，然后給予數(shù)額不同的獎(jiǎng)金。評(píng)測(cè)下來，他發(fā)現(xiàn)的漏洞級(jí)別就比較高。再一個(gè)，這個(gè)工作有一定的運(yùn)氣成分在里頭，有的人，一輩子可能只發(fā)現(xiàn)一兩個(gè)漏洞，你沒法預(yù)計(jì)自己在多長(zhǎng)的時(shí)間內(nèi)能發(fā)現(xiàn)漏洞。但是，吳石發(fā)現(xiàn)的漏洞的確很多。”

吳石將他發(fā)現(xiàn)的漏洞大多數(shù)賣給了像Zero Day Initiativ（簡(jiǎn)稱ZDI）和VeriSign這樣的美國(guó)網(wǎng)絡(luò)安全公司，這些公司會(huì)將這些數(shù)據(jù)運(yùn)用在它們的安全產(chǎn)品之中，并且將數(shù)據(jù)發(fā)送給受到影響的軟件廠商。

吳石最開始接觸的美國(guó)ZDI公司。“剛開始每個(gè)漏洞只有兩三千美元，現(xiàn)在稍微漲了一點(diǎn)，大概有三四千美元。但也不是所有的漏洞都能賣得出去，倒不是我發(fā)現(xiàn)的漏洞價(jià)值大小的問題，這要看ZDI有多少經(jīng)費(fèi)，如果當(dāng)年的獎(jiǎng)金經(jīng)費(fèi)已經(jīng)用得差不多了，他們就不會(huì)再繼續(xù)收購(gòu)我的漏洞，基本上每年賣給他們10個(gè)左右。”在吳石看來，ZDI的收購(gòu)價(jià)格是目前最合理的，他另有一部分賣給了VeriSign公司，“但他們要求多，要求提供能夠成功攻擊的代碼，這還要花費(fèi)我三四天的時(shí)間，他們給的價(jià)格也不具有競(jìng)爭(zhēng)力。”

還有一些剩余的漏洞找不到買家，他就干脆直接發(fā)送給出現(xiàn)漏洞的廠商。“Google原來只給500美元，不過現(xiàn)在為了鼓勵(lì)人們發(fā)現(xiàn)了漏洞直接跳過安全公司提交給他們，將獎(jiǎng)金提高到3000美元了。蘋果過去壓根兒不給錢，現(xiàn)在每個(gè)漏洞在兩三千美元。”吳石認(rèn)為出售給出現(xiàn)漏洞的企業(yè)是最理想的選擇，“感覺這比賣給安全公司更加合法。”

跟國(guó)內(nèi)的IT企業(yè)做買賣讓吳石覺得不劃算，“騰訊、迅雷、搜狐也都跟我聯(lián)系過，希望我?guī)退麄兘o軟件找漏洞。”吳石開價(jià)50萬(wàn)元，嚇走了這些企業(yè)，“其實(shí)他們讓我做的工作很簡(jiǎn)單，但是比較繁瑣，他們企業(yè)的安全人員水平還是和國(guó)外的有很大差距，一個(gè)程序，我寫得清清楚楚，他們還是會(huì)不停地問。”

偶然中的必然

四川人吳石1994年進(jìn)入復(fù)旦大學(xué)數(shù)學(xué)系就讀。1996年學(xué)校有了互聯(lián)網(wǎng)，這讓他產(chǎn)生了濃厚的興趣。大學(xué)畢業(yè)后，吳石到廣東東莞的一家企業(yè)工作。2000年，吳石再次回到上海，去復(fù)旦大學(xué)的一家校辦企業(yè)做網(wǎng)絡(luò)安全的防護(hù)工作。“那時(shí)我的工資只有4000多元，當(dāng)時(shí)莘莊的房?jī)r(jià)是每平方米2000多元。后來我的工資漲到1萬(wàn)多元，房?jī)r(jià)都漲到每平方米兩三萬(wàn)元了。”

2006年年初，吳石辭職，自己成立了一家小公司。“當(dāng)時(shí)在業(yè)余時(shí)間幫企業(yè)找網(wǎng)絡(luò)方面的問題，一共做了兩單生意，每單能賺十幾萬(wàn)元，而且主要干活的人就是我，這樣算下來，跟一年的工資都差不多了，而且還不累。”

沒想到公司開了，客戶沒了。吳石說：“運(yùn)營(yíng)這樣的公司要靠關(guān)系�？蛻粝仁前�給大公司，大公司再轉(zhuǎn)手包給小公司，有關(guān)系的人才能拿到生意。之前在校辦企業(yè)干的私活兒也是靠同事的關(guān)系。”無(wú)事可做的他開始潛心研究網(wǎng)絡(luò)技術(shù)。“那時(shí)我注意到國(guó)際上剛剛出現(xiàn)的Fuzzing漏洞檢查方法，覺得它一定會(huì)流行起來。像微軟的Office軟件，它內(nèi)部有幾千臺(tái)機(jī)器都在運(yùn)行著Fuzzing的程序。”Fuzzing對(duì)代數(shù)功底要求很高，這恰恰是吳石最擅長(zhǎng)的。

2007年8月，吳石帶著他自己的P2P文件分享技術(shù)北上北京參加一個(gè)網(wǎng)絡(luò)安全論壇，雖然推銷失敗，但吳石聽到了新鮮事兒。“有人說，在安全技術(shù)最好的網(wǎng)站XFocus上發(fā)布了一個(gè)漏洞，后來真的收到了網(wǎng)站給的獎(jiǎng)金。”這讓吳石心頭一動(dòng)。

吳石還未采取行動(dòng)，這樣的事情很快自己找上了門——美國(guó)ZDI找到了他。“他們發(fā)郵件給我，向我詢問關(guān)于一個(gè)微軟的漏洞細(xì)節(jié)。”吳石為了研究語(yǔ)音編碼程序，曾比較了QQ和MSN的視頻編碼程序，“當(dāng)時(shí)就發(fā)現(xiàn)了MSN的一個(gè)視頻編碼的問題。”吳石回復(fù)了ZDI的請(qǐng)求，ZDI進(jìn)而鼓勵(lì)他，以后可以將發(fā)現(xiàn)的漏洞賣給ZDI專門做收購(gòu)、分析的項(xiàng)目小組。

從此吳石開始了專業(yè)的漏洞挖掘之路。ZDI研究經(jīng)理亞倫·波托尼（Aaron Portnoy）這樣評(píng)價(jià)吳石的漏洞挖掘方法：“這些文件中的相關(guān)項(xiàng)目有著復(fù)雜的層次結(jié)構(gòu)。他可以改變關(guān)系樹結(jié)構(gòu)的工作方法，而不僅僅是其中的一個(gè)項(xiàng)目。很多人只是Fuzz數(shù)據(jù)，而他則是Fuzz關(guān)系。”

吳石發(fā)現(xiàn)的Office漏洞和IE瀏覽器的漏洞分別有十幾個(gè)，但更多的是關(guān)于蘋果Safari瀏覽器的漏洞。吳石在年終時(shí)獲得了ZDI頒發(fā)的“白金獎(jiǎng)”，可以獲得額外的兩萬(wàn)美元的獎(jiǎng)金。

“現(xiàn)在像我這樣獨(dú)立做漏洞挖掘的人越來越少了，因?yàn)殡y以競(jìng)爭(zhēng)得過大公司。比如微軟，他們的安全人員可以拿到內(nèi)部的文檔，同時(shí)Fuzzing要求的計(jì)算量特別大，大公司機(jī)器多顯然有優(yōu)勢(shì)。”不過吳石對(duì)自己的技術(shù)相當(dāng)自信，他說：“單純依靠企業(yè)內(nèi)部，或者安全公司，總是會(huì)有漏網(wǎng)之魚出現(xiàn)。一個(gè)漏洞很可能就會(huì)造成上億美元的損失。2002年的‘紅色代碼’病毒出現(xiàn)，大企業(yè)一半的工程師都跑去接電話，聽用戶的投訴去了，網(wǎng)絡(luò)直接堵塞，甚至癱瘓。”

美國(guó)VeriSign網(wǎng)絡(luò)安全公司東亞地區(qū)總監(jiān)周銘說：“在他身上，我看到了另外一面的自己。他自由的生活是我的一種向往。”

的確，習(xí)慣了自由自在生活的吳石不愿意為了穩(wěn)定的收入而委身于大企業(yè)。“現(xiàn)在的收入每年在三四十萬(wàn)元，我打算結(jié)婚，但還沒買房子。現(xiàn)在一座100平方米的房子要300萬(wàn)元。”