如果“严厉的爱”是整顿全球软件行业的最佳办法,那么吴石(Wu Shi,音译)可能是信息安全行业的一名无名英雄。
2007年以来,这名35岁的上海研究员总共发现并汇报了100多种网页浏览器的重要漏洞,包括IE、Safari和Chrome浏览器在内。当用户浏览受病毒感染的网页时,这些漏洞可能被黑客用来攻击用户的计算机。仅去年一年中,吴石向诸如Zero Day Initiative 和iDefense等漏洞奖励项目以及惠普和VeriSign等公司机构售出了50多个浏览器漏洞。这些项目或机构向研究员购买漏洞信息,并利用这些信息完善其安全类产品,然后再将此类产品交付给受病毒感染的软件商。
吴石在一年中发现的漏洞数量为Zero Day Initiative 和iDefense接受举报之冠——当然,大部分漏洞都出现在网页浏览器中——比世界上其他任何研究员所发现的都要多。而且,超过半数的漏洞是在苹果的 Safari浏览器中。
比如,在上个月的一份安全更新报告中,苹果发布了iPhone操作系统的64个新补丁。其中,仅有6个安全漏洞是由苹果内部研究人员发现的。 12个漏洞是由谷歌的研究人员发现的。15个漏洞是由吴石发现的。
“或许苹果应该聘用吴石来帮助他们(发现更多漏洞),因为很显然,吴石发现的漏洞数量是苹果整个安全性能研究团队所发现漏洞数量的两倍还多。” 安全研究员查理·米勒(Charlie Miller)对《福布斯》记者这样表示。
在即时通讯和电子邮件对话中,吴石解释了他如何使用一种称之为“模糊测试”的方法来获得这些漏洞。对浏览器进行模糊测试的过程包括在程序中输入调整过的文件流,观察是什么因素导致其崩溃,然后分析这些具体崩溃实例以得出黑客在何种情况下可插入允许其入侵并控制浏览器的代码。
吴石使用自己独创的算法来创建这些测试文件,并将这些文件放在他自己的Apache Tomcat服务器上,这样一来,他就能比一般研究人员以更高的频率测试更多样本。吴石表示,他不采用在一个文件中调换单一变量的办法,而是改变整个样本 ——作出尽可能多的更改,当仍能让浏览器将文本认定为HTML文件。“我的模糊测试框架专注于软件的结构,而不是细节。”他说。
ZDI公司的研究经理艾伦·波特诺伊(Aaron Portnoy)在验证过吴石的发现结果后表示,吴石并不会对他发现的漏洞做深层分析。不过波特诺伊表示,这名中国研究员的全文件模糊测试方法能够找出其他方法不能发现的漏洞。“这些文件的相关项层次非常复杂。他不是去改变其中的一个项,而是改变关系树的工作方式,”波特诺伊表示,“很多人都对将数据模糊化,而吴石进行模糊化处理的对象却是数据之间的关系。”
吴石表示,他是在经历了一系列职场失败之后才找到查找漏洞这个突破口的。2006年,随着中国股市泡沫的膨胀,吴石在一家小型IT公司的工作开始变得愈加没有希望了。“我越来越深地陷入绝望之中,”他说,“我的工资甚至都不能养活我自己。”
于是他离开了IT公司,创办了一家点对点文件分享技术公司。后来,一个大客户拒绝为公司的一个主要项目支付款项,吴石的合伙人接受了另一份工作,公司也倒闭了。
吴石转而专注于安全顾问服务,并开始实践其多年前还在复旦大学念书时就萌生的有关模糊测试的想法。他发现了几个微软的安全性漏洞,并直接报告给了微软,之后他的一朋友告诉他诸如ZDI之类的公司有一种“漏洞购买”项目。“从那个时候开始,我成为了一名全职漏洞搜寻人员。”他表示。
漏洞搜寻的回报相当丰厚。ZDI以每个至少5,000美元的价格向其购买了50个漏洞,而iDefense有时候为某个漏洞支付的价格超过 10,000美元。吴石并没有透露他目前为止总共赚了多少钱,不过稍稍简单计算一下就能知道,这一数目远远超过了25万美元——这在中国可是一笔不小的数目。ZDI同时授予吴石“白金级会员”身份,不仅可获得20,000美元奖金,更可免费前往拉斯维加斯参加黑帽安全大会(Black Hat security conference)。
在发生了几起与中国相关的网络间谍活动之后,中国内地一名研究员手中掌握着数百种重要安全性漏洞这一事实可能会让某些人担心不已。对谷歌、瞻博网络(Juniper)、英特尔、雅虎和其他几家公司的公开攻击似乎就来自于中国,而黑客们正是钻了IE浏览器漏洞的空子——这种漏洞如果采用类似于吴石所采用的技术是能够发现的。
但是吴石表示,他只向那些“不做坏事”的公司和机构出售漏洞,且直接向软件商报告漏洞。他表示,黑市买家曾经愿意出10倍于ZDI的价钱来购买他发现的部分漏洞,但都被他拒绝了。除良心和道德因素之外,吴石也不想面临被卷入犯罪活动的风险。
即便如此,吴石所发现的漏洞数量也足以令人不安,特别是苹果软件的漏洞数量。吴石表示,他之所以专注于查找苹果的漏洞,是因为很显然苹果公司并没有在这方面用心(当记者要求苹果对这种说法给出评价时,公司并没有立即做出回应)。
尽管微软过去十年来都在努力加固软件抵御外来攻击的防线——吴石还是举出了来自诸如红色代码蠕虫(Code Red worm)的例子,这种病毒曾经在2001年攻击了几十万台电脑,并在浏览器上打出“该攻击由中国人发起”的字样。因为被网络罪犯所忽略,苹果过去几年中一直太平无事。
然而,吴石表示,这种平静并不持久。比如说,定向攻击开始冒头,这意味着苹果的小众市场不再能使公司在处理安全问题方面高枕无忧。“攻击 iPhone和 Mac操作系统比攻击Windows 7要容易得多,”他表示,“我认为将来会出现大量针对苹果软件的攻击。”
换言之,苹果被“中国人攻击”的时刻也许马上就要到来了。而黑客之中不是所有人都像吴石这样怀着一颗慈悲之心。