周 報
雜 志
吳石 尋找網絡漏洞的人
|
| 「自由人」吳石html |
在2010年6月的一次安全更新中,蘋果公司針對iPhone操做系統發佈了64個新補丁,在這之中,有15個漏洞都是由吳石發現的,而由蘋果內部研究人員發現的漏洞只有6個。美國《福布斯》雜誌在一篇文章中寫道:「自2007年以來,這位家住上海的35歲研究員已經發現並報告了IE、Safari和Chrome等瀏覽器中存在的100多個嚴重漏洞……這代表吳石一年彙報給ZDI和iDefense的漏洞比全世界任何一個研究人員都多。」node
漏洞裏有財富瀏覽器
「吳石很強大。他的技術好,基本功很紮實,他發現的漏洞價值也大。」美國VeriSign網絡安全公司東亞地區總監周銘這樣評價吳石。「咱們有一個評測的系統來評判漏洞的商用價值,這跟它的廣泛性、普及性、感染力都有關係的,而後給予數額不一樣的獎金。評測下來,他發現的漏洞級別就比較高。再一個,這個工做有必定的運氣成分在裏頭,有的人,一生可能只發現一兩個漏洞,你無法預計本身在多長的時間內能發現漏洞。可是,吳石發現的漏洞的確不少。」 安全
吳石將他發現的漏洞大多數賣給了像Zero Day Initiativ(簡稱ZDI)和VeriSign這樣的美國網絡安全公司,這些公司會將這些數據運用在它們的安全產品之中,而且將數據發送給受到影響的軟件廠商。網絡
吳石最開始接觸的美國ZDI公司。「剛開始每一個漏洞只有兩三千美圓,如今稍微漲了一點,大概有三四千美圓。但也不是全部的漏洞都能賣得出去,倒不是我發現的漏洞價值大小的問題,這要看ZDI有多少經費,若是當年的獎金經費已經用得差很少了,他們就不會再繼續收購個人漏洞,基本上每一年賣給他們10個左右。」在吳石看來,ZDI的收購價格是目前最合理的,他另有一部分賣給了VeriSign公司,「但他們要求多,要求提供可以成功攻擊的代碼,這還要花費我三四天的時間,他們給的價格也不具備競爭力。」jsp
還有一些剩餘的漏洞找不到買家,他就乾脆直接發送給出現漏洞的廠商。「Google原來只給500美圓,不過如今爲了鼓勵人們發現了漏洞直接跳過安全公司提交給他們,將獎金提升到3000美圓了。蘋果過去壓根兒不給錢,如今每一個漏洞在兩三千美圓。」吳石認爲出售給出現漏洞的企業是最理想的選擇,「感受這比賣給安全公司更加合法。」網站
跟國內的IT企業作買賣讓吳石以爲不划算,「騰訊、迅雷、搜狐也都跟我聯繫過,但願我幫他們給軟件找漏洞。」吳石開價50萬元,嚇走了這些企業,「其實他們讓我作的工做很簡單,可是比較繁瑣,他們企業的安全人員水平仍是和國外的有很大差距,一個程序,我寫得清清楚楚,他們仍是會不停地問。」編碼
偶然中的必然spa
四川人吳石1994年進入復旦大學數學系就讀。1996年學校有了互聯網,這讓他產生了濃厚的興趣。大學畢業後,吳石到廣東東莞的一家企業工做。2000年,吳石再次回到上海,去復旦大學的一家校辦企業作網絡安全的防禦工做。「那時個人工資只有4000多元,當時莘莊的房價是每平方米2000多元。後來個人工資漲到1萬多元,房價都漲到每平方米兩三萬元了。」操作系統
2006年年初,吳石辭職,本身成立了一家小公司。「當時在業餘時間幫企業找網絡方面的問題,一共作了兩單生意,每單能賺十幾萬元,並且主要幹活的人就是我,這樣算下來,跟一年的工資都差很少了,並且還不累。」
沒想到公司開了,客戶沒了。吳石說:「運營這樣的公司要靠關係。客戶先是包給大公司,大公司再轉手包給小公司,有關係的人才能拿到生意。以前在校辦企業乾的私活兒也是靠同事的關係。」無事可作的他開始潛心研究網絡技術。「那時我注意到國際上剛剛出現的Fuzzing漏洞檢查方法,以爲它必定會流行起來。像微軟的Office軟件,它內部有幾千臺機器都在運行着Fuzzing的程序。」Fuzzing對代數功底要求很高,這偏偏是吳石最擅長的。
2007年8月,吳石帶着他本身的P2P文件分享技術北上北京參加一個網絡安全論壇,雖然推銷失敗,但吳石聽到了新鮮事兒。「有人說,在安全技術最好的網站XFocus上發佈了一個漏洞,後來真的收到了網站給的獎金。」這讓吳石心頭一動。
吳石還未採起行動,這樣的事情很快本身找上了門——美國ZDI找到了他。「他們發郵件給我,向我詢問關於一個微軟的漏洞細節。」吳石爲了研究語音編碼程序,曾比較了QQ和MSN的視頻編碼程序,「當時就發現了MSN的一個視頻編碼的問題。」吳石回覆了ZDI的請求,ZDI進而鼓勵他,之後能夠將發現的漏洞賣給ZDI專門作收購、分析的項目小組。
今後吳石開始了專業的漏洞挖掘之路。ZDI研究經理亞倫·波託尼(Aaron Portnoy)這樣評價吳石的漏洞挖掘方法:「這些文件中的相關項目有着複雜的層次結構。他能夠改變關係樹結構的工做方法,而不只僅是其中的一個項目。不少人只是Fuzz數據,而他則是Fuzz關係。」
吳石發現的Office漏洞和IE瀏覽器的漏洞分別有十幾個,但更多的是關於蘋果Safari瀏覽器的漏洞。吳石在年終時得到了ZDI頒發的「白金獎」,能夠得到額外的兩萬美圓的獎金。
「如今像我這樣獨立作漏洞挖掘的人愈來愈少了,由於難以競爭得過大公司。好比微軟,他們的安全人員能夠拿到內部的文檔,同時Fuzzing要求的計算量特別大,大公司機器多顯然有優點。」不過吳石對本身的技術至關自信,他說:「單純依靠企業內部,或者安全公司,老是會有漏網之魚出現。一個漏洞極可能就會形成上億美圓的損失。2002年的‘紅色代碼’病毒出現,大企業一半的工程師都跑去接電話,聽用戶的投訴去了,網絡直接堵塞,甚至癱瘓。」
美國VeriSign網絡安全公司東亞地區總監周銘說:「在他身上,我看到了另一面的本身。他自由的生活是個人一種嚮往。」
的確,習慣了自由自在生活的吳石不肯意爲了穩定的收入而委身於大企業。「如今的收入每一年在三四十萬元,我打算結婚,但還沒買房子。如今一座100平方米的房子要300萬元。」
(摘自《三聯生活週刊》2010年第32期)