亚洲精品一二三,无码一区二区一级二级毛片,欧美日韩国产激情,侵犯人妻在线

中國(guó)安全研究員吳石

導(dǎo)讀：美國(guó)《福布斯》雜志網(wǎng)絡(luò)版今天撰文稱，中國(guó)安全研究員吳石發(fā)現(xiàn)的瀏覽器漏洞中，有半數(shù)都來(lái)自蘋果Safari瀏覽器。他認(rèn)為，蘋果借助較小的市場(chǎng)份額而免受安全問(wèn)題的困擾的日子將一去不復(fù)返。

以下為文章概要：

無(wú)名英雄吳石

如果說(shuō)“嚴(yán)厲的愛(ài)”是解決軟件故障的最佳方法，那么吳石（Wu Shi，音譯）或許就是信息安全領(lǐng)域眾多的無(wú)名英雄之一。

自2007年以來(lái)，這位家住上海的35歲研究員已經(jīng)發(fā)現(xiàn)并報(bào)告了IE、Safari和Chrome等瀏覽器中存在的100多個(gè)嚴(yán)重漏洞。當(dāng)用戶瀏覽被感染的網(wǎng)頁(yè)時(shí)，黑客可以借助這些漏洞劫持用戶的電腦。僅去年一年，他就將其中50多個(gè)漏洞出售給了Zero Day Initiative（以下簡(jiǎn)稱“ZDI”）和iDefense等漏洞懸賞項(xiàng)目。這兩個(gè)項(xiàng)目分別歸屬于惠普和VeriSign，他們專門花錢從研究人員那里購(gòu)買漏洞信息，并在安全產(chǎn)品中使用這些數(shù)據(jù)，隨后再將其交給受影響的軟件廠商。

這表明吳石一年匯報(bào)給ZDI和iDefense的漏洞比全世界任何一個(gè)研究人員都多，其中超過(guò)半數(shù)都來(lái)自蘋果Safari瀏覽器。

例如，在上月的一次安全更新中，蘋果針對(duì)iPhone操作系統(tǒng)發(fā)布了64個(gè)新補(bǔ)丁，其中只有6個(gè)是蘋果內(nèi)部研究人員自己發(fā)現(xiàn)的，12個(gè)由谷歌研究人員發(fā)現(xiàn)，還有15個(gè)是由吳石發(fā)現(xiàn)的。

安全專家查理•米勒（Charlie Miller）說(shuō)：“或許蘋果應(yīng)當(dāng)聘請(qǐng)吳石來(lái)幫助他們，因?yàn)樗�發(fā)現(xiàn)的漏洞是蘋果整個(gè)安全團(tuán)隊(duì)的兩倍還多�！�

獨(dú)特fuzzing算法

吳石通過(guò)即時(shí)通訊和電子郵件解釋了他是如何使用一種名為“fuzzing”的方法來(lái)收集這些漏洞的。使用這種方法時(shí)，需要向軟件中輸入大批經(jīng)過(guò)修改的文件，以便查看哪些文件會(huì)導(dǎo)致軟件崩潰。之后再對(duì)這些崩潰事件進(jìn)行分析，以便了解哪些情況會(huì)允許黑客注入代碼并控制瀏覽器。

吳石使用他自己的獨(dú)特算法來(lái)生成這些測(cè)試文件，然后將他們拋入Apache Tomcat服務(wù)器。通過(guò)這種方法，他就可以獲得更快的頻率，從而比普通研究人員測(cè)試更多的樣本。與以往只更改文件中的單一變量不同，吳石表示，他的方法會(huì)更改整個(gè)樣本，而且能夠在進(jìn)行盡可能多的更改的同時(shí)，仍然讓瀏覽器將文件識(shí)別為HTML文檔�！拔业膄uzzing框架關(guān)注的是軟件架構(gòu)，而不是細(xì)節(jié)�！眳鞘�說(shuō)。

ZDI研究經(jīng)理亞倫•波托尼（Aaron Portnoy）對(duì)吳石發(fā)現(xiàn)的漏洞進(jìn)行了研究，他表示，吳石不會(huì)對(duì)他所發(fā)現(xiàn)的漏洞進(jìn)行深入分析。但他認(rèn)為，這名中國(guó)研究員使用的方法可以捕捉到其他方法無(wú)法發(fā)現(xiàn)的漏洞�！斑@些文件中的相關(guān)項(xiàng)目有著復(fù)雜的層次結(jié)構(gòu)。他可以改變關(guān)系樹(shù)結(jié)構(gòu)的工作方式，而不僅僅是其中的一個(gè)項(xiàng)目�！辈ㄍ心嵴f(shuō)，“很多人只是fuzz數(shù)據(jù)，而他則是fuzz關(guān)系�！�

曲折從業(yè)經(jīng)歷

吳石說(shuō)，他是在職業(yè)發(fā)展經(jīng)歷了一系列挫折后才在漏洞尋找領(lǐng)域?qū)崿F(xiàn)突破的。當(dāng)中國(guó)股市2006年開(kāi)始一輪波瀾壯闊的大牛市時(shí)，當(dāng)時(shí)在一家小型IT公司任職的吳石感覺(jué)他的職業(yè)像是一艘逐漸沉沒(méi)的船。他說(shuō)：“我感覺(jué)正在逐漸陷入絕望。以我的工資，甚至無(wú)法糊口�！�

他后來(lái)離開(kāi)了那家IT公司，并且創(chuàng)建了一家基于P2P文件分享技術(shù)的企業(yè)。但是當(dāng)一家大客戶拒絕履行承諾為一個(gè)主要項(xiàng)目支付報(bào)酬時(shí)，他的合作伙伴找了另外一份工作，公司也破產(chǎn)了。

吳石開(kāi)始組建一家安全咨詢公司，并實(shí)驗(yàn)他早年在復(fù)旦大學(xué)讀書時(shí)想到的一個(gè)fuzzing方法。他發(fā)現(xiàn)了微軟的一些安全漏洞，并且直接將其報(bào)告給微軟。后來(lái)，他從朋友那里得知了ZDI這樣的“漏洞購(gòu)買”項(xiàng)目。“從那以后，我就變成了一名全職漏洞獵手�！彼�說(shuō)。

這一決定已經(jīng)有所收獲。ZDI從吳石那里購(gòu)買了50個(gè)漏洞，每個(gè)都至少價(jià)值5000美元，而iDefense某些情況下支付的費(fèi)用甚至超過(guò)1萬(wàn)美元。吳石并沒(méi)有透露具體收益，但通過(guò)簡(jiǎn)單計(jì)算便可獲知，他的收益超過(guò)25萬(wàn)美元，這在中國(guó)可是很大一筆錢。ZDI還為吳石授予“白金”（platinum status）獎(jiǎng)，該獎(jiǎng)項(xiàng)的獲得者可以拿到2萬(wàn)美元的獎(jiǎng)金，并免費(fèi)參加在美國(guó)拉斯維加斯舉行的“黑帽”（Black Hat）安全大會(huì)。

蘋果安全性低下

一個(gè)中國(guó)研究員手中握有數(shù)百個(gè)重要漏洞，會(huì)使某些人感到擔(dān)憂。但是吳石表示，他只會(huì)將漏洞賣給那些“不作惡”的企業(yè)，而且會(huì)直接將漏洞報(bào)告給受影響的軟件公司。他表示，某些黑市買家給出十倍于ZDI的出價(jià)購(gòu)買他發(fā)現(xiàn)的一些IE漏洞。且不說(shuō)是否存在道德問(wèn)題，吳石并不希望卷入任何犯罪行為。

即便如此，如此多的漏洞被吳石發(fā)現(xiàn)仍然可能產(chǎn)生麻煩，對(duì)蘋果軟件而言尤其如此。吳石表示，他之所以關(guān)注蘋果的漏洞，是因?yàn)樘O果自己不關(guān)注這一問(wèn)題。

蘋果尚未對(duì)此置評(píng)。

微軟十年來(lái)一直在與網(wǎng)絡(luò)攻擊做斗爭(zhēng)，也因此而變得堅(jiān)固。例如“紅色代碼”蠕蟲病毒曾于2001年感染了數(shù)萬(wàn)臺(tái)電腦，還有很多網(wǎng)站因此被黑，并被掛上了“Hacked By Chinese！”（被中國(guó)人黑了）的標(biāo)語(yǔ)。而蘋果則因?yàn)槎嗄暌詠?lái)一直被網(wǎng)絡(luò)犯罪分子忽略而變得有些自滿。

但吳石認(rèn)為，這種安逸的狀況不會(huì)延續(xù)下去。隨著有針對(duì)性的攻擊越來(lái)越多，蘋果無(wú)法再因?yàn)槭袌?chǎng)份額較小而免受安全問(wèn)題的困擾。他說(shuō)：“iPhone和Mac OS比Windows 7更容易攻擊。我認(rèn)為，未來(lái)將有很多針對(duì)蘋果軟件的攻擊。”（鼎宏）