寻找网络漏洞漏洞中有大财富
【菜科解读】
自由人 吴石
在2010年6月的一次安全更新中,苹果公司针对iPhone操作系统发布了64个新补丁,在这之中,有15个漏洞都是由吴石发现的,而由苹果内部研究人员发现的漏洞只有6个。
美国《福布斯》杂志在一篇文章中写道: 自2007年以来,这位家住上海的35岁研究员已经发现并报告了IE、Safari和Chrome等浏览器中存在的100多个严重漏洞 这表明吴石一年汇报给ZDI和iDefense的漏洞比全世界任何一个研究人员都多。
漏洞里有财富
吴石很强大。
他的技术好,基本功很扎实,他发现的漏洞价值也大。
美国VeriSign网络安全公司东亚地区总监周铭这样评价吴石。
我们有一个评测的系统来评判漏洞的商用价值,这跟它的普遍性、普及性、感染力都有关系的,然后给予数额不同的奖金。
评测下来,他发现的漏洞级别就比较高。
再一个,这个工作有一定的运气成分在里头,有的人,一辈子可能只发现一两个漏洞,你没法预计自己在多长的时间内能发现漏洞。
但是,吴石发现的漏洞的确很多。
吴石将他发现的漏洞大多数卖给了像Zero Day Initiativ(简称ZDI)和VeriSign这样的美国网络安全公司,这些公司会将这些数据运用在它们的安全产品之中,并且将数据发送给受到影响的软件厂商。
吴石最开始接触的美国ZDI公司。
刚开始每个漏洞只有两三千美元,现在稍微涨了一点,大概有三四千美元。
但也不是所有的漏洞都能卖得出去,倒不是我发现的漏洞价值大小的问题,这要看ZDI有多少经费,如果当年的奖金经费已经用得差不多了,他们就不会再继续收购我的漏洞,基本上每年卖给他们10个左右。
在吴石看来,ZDI的收购价格是目前最合理的,他另有一部分卖给了VeriSign公司, 但他们要求多,要求提供能够成功攻击的代码,这还要花费我三四天的时间,他们给的价格也不具有竞争力。
还有一些剩余的漏洞找不到买家,他就干脆直接发送给出现漏洞的厂商。
Google原来只给500美元,不过现在为了鼓励人们发现了漏洞直接跳过安全公司提交给他们,将奖金提高到3000美元了。
苹果过去压根儿不给钱,现在每个漏洞在两三千美元。
吴石认为出售给出现漏洞的企业是最理想的选择, 感觉这比卖给安全公司更加合法。
跟国内的IT企业做买卖让吴石觉得不划算, 腾讯、迅雷、搜狐也都跟我联系过,希望我帮他们给软件找漏洞。
吴石开价50万元,吓走了这些企业, 其实他们让我做的工作很简单,但是比较繁琐,他们企业的安全人员水平还是和国外的有很大差距,一个程序,我写得清清楚楚,他们还是会不停地问。
偶然中的必然
四川人吴石1994年进入复旦大学数学系就读。
1996年学校有了互联网,这让他产生了浓厚的兴趣。
大学毕业后,吴石到广东东莞的一家企业工作。
2000年,吴石再次回到上海,去复旦大学的一家校办企业做网络安全的防护工作。
那时我的工资只有4000多元,当时莘庄的房价是每平方米2000多元。
后来我的工资涨到1万多元,房价都涨到每平方米两三万元了。
2006年年初,吴石辞职,自己成立了一家小公司。
当时在业余时间帮企业找网络方面的问题,一共做了两单生意,每单能赚十几万元,而且主要干活的人就是我,这样算下来,跟一年的工资都差不多了,而且还不累。
没想到公司开了,客户没了。
吴石说: 运营这样的公司要靠关系。
客户先是包给大公司,大公司再转手包给小公司,有关系的人才能拿到生意。
之前在校办企业干的私活儿也是靠同事的关系。
无事可做的他开始潜心研究网络技术。
那时我注意到国际上刚刚出现的Fuzzing漏洞检查方法,觉得它一定会流行起来。
像微软的Office软件,它内部有几千台机器都在运行着Fuzzing的程序。
Fuzzing对代数功底要求很高,这恰恰是吴石最擅长的。
2007年8月,吴石带着他自己的P2P文件分享技术北上北京参加一个网络安全论坛,虽然推销失败,但吴石听到了新鲜事儿。
有人说,在安全技术最好的网站XFocus上发布了一个漏洞,后来真的收到了网站给的奖金。
这让吴石心头一动。
吴石还未采取行动,这样的事情很快自己找上了门 美国ZDI找到了他。
他们发邮件给我,向我询问关于一个微软的漏洞细节。
吴石为了研究语音编码程序,曾比较了QQ和MSN的视频编码程序, 当时就发现了MSN的一个视频编码的问题。
吴石回复了ZDI的请求,ZDI进而鼓励他,以后可以将发现的漏洞卖给ZDI专门做收购、分析的项目小组。
从此吴石开始了专业的漏洞挖掘之路。
ZDI研究经理亚伦 波托尼(Aaron Portnoy)这样评价吴石的漏洞挖掘方法: 这些文件中的相关项目有着复杂的层次结构。
他可以改变关系树结构的工作方法,而不仅仅是其中的一个项目。
很多人只是Fuzz数据,而他则是Fuzz关系。
吴石发现的Office漏洞和ie浏览器的漏洞分别有十几个,但更多的是关于苹果Safari浏览器的漏洞。
吴石在年终时获得了ZDI颁发的 白金奖 ,可以获得额外的两万美元的奖金。
现在像我这样独立做漏洞挖掘的人越来越少了,因为难以竞争得过大公司。
比如微软,他们的安全人员可以拿到内部的文档,同时Fuzzing要求的计算量特别大,大公司机器多显然有优势。
不过吴石对自己的技术相当自信,他说: 单纯依靠企业内部,或者安全公司,总是会有漏网之鱼出现。
一个漏洞很可能就会造成上亿美元的损失。
2002年的 红色代码 病毒出现,大企业一半的工程师都跑去接电话,听用户的投诉去了,网络直接堵塞,甚至瘫痪。
美国VeriSign网络安全公司东亚地区总监周铭说: 在他身上,我看到了另外一面的自己。
他自由的生活是我的一种向往。
的确,习惯了自由自在生活的吴石不愿意为了稳定的收入而委身于大企业。
现在的收入每年在三四十万元,我打算结婚,但还没买房子。
现在一座100平方米的房子要300万元。
寻找,网络,漏洞,漏,洞中,有大,财富,自由人,
99不88是网络用语99不88是什么意思
那么,99不88是什么意思?网络用语99不88是什么意思?99不88是什么意思九九,代表永远,八八,代表再见,即永远不再见,永远在一起…99 网络流行用语,表祝福一直在一起。
男生给女生说99不88那要看什么关系,如果只是普通朋友,就是希望友谊长久,如果是男女朋友关系,就是希望爱情久久。
网络流行用语数字体现阿拉伯数字在聊天中的应用更为普遍,网民借助数字字符的谐音和寓意,将很多生活用语以数字组合的形式表达出来,写起来简单,看起来也一目了然,如:886(拜拜啦)、9494(就是就是)等。
一般情况下,10个阿拉伯数字所指代的意思如下:
笔记本无线网络连接不可用办?笔记本无线网络找不到处理
本文目录1、2、3、1笔记本无线网络连接无法启用笔记本无线网络连接无法启用的原因有:1、无线网卡开关控制出现问题,检查笔记本是否有键盘开关控制无线网卡,或者硬件开关控制,点击打开即可;2、无线驱动异常,如果异常,点击修复即可;3、无线网卡不能使用,用新的无线网卡代替笔记本自身的无线网卡即可使用。
3笔记本无线网络找不到怎么处理1、路由器问题。
我们先检查一下路由器等网线是否没有插好,路由器的指示灯是否亮了,如果宽带线路没有问题,接下来我们检查一下手机能否上网,如果不可以,则说明路由器的无线功能没有打开,我们可以重新设置好路由器之后,再将它重启就可以了。
2、安装无线网卡驱动程序。
我们安装系统的时候,如果没有安装无线网卡驱动程序,那么会出现找不到无线网络的情况。
我们可以根据电脑的型号,到官方网站上下载安装好相应的程序。
或者先下载好需要的无线网卡驱动程序,在将它移到电脑上安装好。
3、网卡没有打开。
找不到无线网络也有可能是因为电脑的无线网卡没有打开,一般同时按住键盘上的FN和无线开关键,笔记本上的无线网络指示灯就会亮,这就表示无线网络打开了。
或者点结菜单中的控制面板选项,在类别中选择小图标,然后选择移动中心,打开无线就可以了。
4、无线网卡被禁用。
如果笔记本找不到无线网络,也有可能是因为无线网络被禁用了。
我们可以选择网络软件,点击鼠标右键,选择属性选项,在网络共享页面中选择更改适配器,选择好无线网络,点击鼠标右键,选择启用选项就可以了。
5、版本过低。
如果无线网卡没有被禁用,无线网卡驱动也正常的话,我们可以检查一下是不是因为它的版本比较低。
可以打开驱动精灵等软件,如果无线网卡要更新,我们将它升级到最新版本。
6、无线网卡损坏。
我们可以打开设备管理器,检查设备驱动是否出现损坏的情况,我们可以通过重新安装驱动来解决,如果还是不行,有可能是因为无线网卡损坏,我们最好请专业人员来维修。
