吴石　寻找网络漏洞的人

吴丽玮《人民日报海外版》（ 2010年09月08日第 07 版）

　　“自由人”吴石

　　在2010年6月的一次安全更新中，苹果公司针对iPhone操作系统发布了64个新补丁，在这之中，有15个漏洞都是由吴石发现的，而由苹果内部研究人员发现的漏洞只有6个。美国《福布斯》杂志在一篇文章中写道：“自2007年以来，这位家住上海的35岁研究员已经发现并报告了IE、Safari和Chrome等浏览器中存在的100多个严重漏洞……这表明吴石一年汇报给ZDI和iDefense的漏洞比全世界任何一个研究人员都多。”

　　漏洞里有财富

　　“吴石很强大。他的技术好，基本功很扎实，他发现的漏洞价值也大。”美国VeriSign网络安全公司东亚地区总监周铭这样评价吴石。“我们有一个评测的系统来评判漏洞的商用价值，这跟它的普遍性、普及性、感染力都有关系的，然后给予数额不同的奖金。评测下来，他发现的漏洞级别就比较高。再一个，这个工作有一定的运气成分在里头，有的人，一辈子可能只发现一两个漏洞，你没法预计自己在多长的时间内能发现漏洞。但是，吴石发现的漏洞的确很多。”　　

　　吴石将他发现的漏洞大多数卖给了像Zero Day Initiativ（简称ZDI）和VeriSign这样的美国网络安全公司，这些公司会将这些数据运用在它们的安全产品之中，并且将数据发送给受到影响的软件厂商。

　　吴石最开始接触的美国ZDI公司。“刚开始每个漏洞只有两三千美元，现在稍微涨了一点，大概有三四千美元。但也不是所有的漏洞都能卖得出去，倒不是我发现的漏洞价值大小的问题，这要看ZDI有多少经费，如果当年的奖金经费已经用得差不多了，他们就不会再继续收购我的漏洞，基本上每年卖给他们10个左右。”在吴石看来，ZDI的收购价格是目前最合理的，他另有一部分卖给了VeriSign公司，“但他们要求多，要求提供能够成功攻击的代码，这还要花费我三四天的时间，他们给的价格也不具有竞争力。”

　　还有一些剩余的漏洞找不到买家，他就干脆直接发送给出现漏洞的厂商。“Google原来只给500美元，不过现在为了鼓励人们发现了漏洞直接跳过安全公司提交给他们，将奖金提高到3000美元了。苹果过去压根儿不给钱，现在每个漏洞在两三千美元。”吴石认为出售给出现漏洞的企业是最理想的选择，“感觉这比卖给安全公司更加合法。”

　　跟国内的IT企业做买卖让吴石觉得不划算，“腾讯、迅雷、搜狐也都跟我联系过，希望我帮他们给软件找漏洞。”吴石开价50万元，吓走了这些企业，“其实他们让我做的工作很简单，但是比较繁琐，他们企业的安全人员水平还是和国外的有很大差距，一个程序，我写得清清楚楚，他们还是会不停地问。”

　　偶然中的必然

　　四川人吴石1994年进入复旦大学数学系就读。1996年学校有了互联网，这让他产生了浓厚的兴趣。大学毕业后，吴石到广东东莞的一家企业工作。2000年，吴石再次回到上海，去复旦大学的一家校办企业做网络安全的防护工作。“那时我的工资只有4000多元，当时莘庄的房价是每平方米2000多元。后来我的工资涨到1万多元，房价都涨到每平方米两三万元了。”

　　2006年年初，吴石辞职，自己成立了一家小公司。“当时在业余时间帮企业找网络方面的问题，一共做了两单生意，每单能赚十几万元，而且主要干活的人就是我，这样算下来，跟一年的工资都差不多了，而且还不累。”

　　没想到公司开了，客户没了。吴石说：“运营这样的公司要靠关系。客户先是包给大公司，大公司再转手包给小公司，有关系的人才能拿到生意。之前在校办企业干的私活儿也是靠同事的关系。”无事可做的他开始潜心研究网络技术。“那时我注意到国际上刚刚出现的Fuzzing漏洞检查方法，觉得它一定会流行起来。像微软的Office软件，它内部有几千台机器都在运行着Fuzzing的程序。”Fuzzing对代数功底要求很高，这恰恰是吴石最擅长的。

　　2007年8月，吴石带着他自己的P2P文件分享技术北上北京参加一个网络安全论坛，虽然推销失败，但吴石听到了新鲜事儿。“有人说，在安全技术最好的网站XFocus上发布了一个漏洞，后来真的收到了网站给的奖金。”这让吴石心头一动。

　　吴石还未采取行动，这样的事情很快自己找上了门——美国ZDI找到了他。“他们发邮件给我，向我询问关于一个微软的漏洞细节。”吴石为了研究语音编码程序，曾比较了QQ和MSN的视频编码程序，“当时就发现了MSN的一个视频编码的问题。”吴石回复了ZDI的请求，ZDI进而鼓励他，以后可以将发现的漏洞卖给ZDI专门做收购、分析的项目小组。

　　从此吴石开始了专业的漏洞挖掘之路。ZDI研究经理亚伦·波托尼（Aaron Portnoy）这样评价吴石的漏洞挖掘方法：“这些文件中的相关项目有着复杂的层次结构。他可以改变关系树结构的工作方法，而不仅仅是其中的一个项目。很多人只是Fuzz数据，而他则是Fuzz关系。”

　　吴石发现的Office漏洞和IE浏览器的漏洞分别有十几个，但更多的是关于苹果Safari浏览器的漏洞。吴石在年终时获得了ZDI颁发的“白金奖”，可以获得额外的两万美元的奖金。

　　“现在像我这样独立做漏洞挖掘的人越来越少了，因为难以竞争得过大公司。比如微软，他们的安全人员可以拿到内部的文档，同时Fuzzing要求的计算量特别大，大公司机器多显然有优势。”不过吴石对自己的技术相当自信，他说：“单纯依靠企业内部，或者安全公司，总是会有漏网之鱼出现。一个漏洞很可能就会造成上亿美元的损失。2002年的‘红色代码’病毒出现，大企业一半的工程师都跑去接电话，听用户的投诉去了，网络直接堵塞，甚至瘫痪。”

　　美国VeriSign网络安全公司东亚地区总监周铭说：“在他身上，我看到了另外一面的自己。他自由的生活是我的一种向往。”

　　的确，习惯了自由自在生活的吴石不愿意为了稳定的收入而委身于大企业。“现在的收入每年在三四十万元，我打算结婚，但还没买房子。现在一座100平方米的房子要300万元。”

　　（摘自《三联生活周刊》2010年第32期）