一個最早發現 Windows 8.1 漏洞的男人

一個最早發現 Windows 8.1 漏洞的男人

今年 6 月,Windows  8.1 和 IE11 預覽版發佈後,為了更好地測試產品,微軟宣佈了一項獎勵計畫:任何在 Windows 8.1 預覽版中發現重大安全性漏洞的使用者,都可以獲得 10 萬美元獎金。10 月 8 日,微軟在部落格上宣佈,福蕭成為首個獲得 10 萬美元獎金的人。

一個最早發現 Windows 8.1 漏洞的男人

英國人詹姆士·福蕭(James Forshaw)  剛剛獲得微軟的一筆獎金——整整 10 萬美元。

今年 6 月,Windows  8.1 和 IE11 預覽版發佈後,為了更好地測試產品,微軟宣佈了一項獎勵計畫:任何在 Windows 8.1 預覽版中發現重大安全性漏洞的使用者,都可以獲得 10 萬美元獎金。10 月 8 日,微軟在部落格上宣佈,福蕭成為首個獲得 10 萬美元獎金的人。

現年 34 歲的詹姆士·福蕭住在倫敦,地道的英式口音讓他有點像老式的英倫紳士。福蕭是科技安全公司 Context 的研究員,同時還是名「白帽駭客」——這個帶有濃重「江湖色彩」的稱謂指的是透過測試網路安全性能賺取傭金的駭客群體,蘋果創始人沃茲尼克 (Stephen Wozniak) 和 Linux 系統之父林納斯·托瓦茲 (Linus Torvalds) 都是個中高手。

這次發現的漏洞可以讓駭客繞過 Windows 8.1 設置的安全防護,進而侵入整個系統。不過福蕭沒有透露具體的漏洞細節。

主要原因是微軟不願透露。微軟安全部門主管凱蒂·穆索瑞斯 (Katie Moussouris) 說,公司希望在解決這問題後再予以公開,以防駭客據此侵入使用者系統。微軟工程師湯瑪士·加尼爾 (Thomas Garnier) 也發現了這個漏洞,目前正在緊鑼密鼓地修補。

至於為何要為一次安全性漏洞支付如此昂貴的費用?微軟在部落格上解釋說,瞭解新的繞行漏洞可以幫助公司抵禦惡意攻擊,強化整個平台。駭客越來越難利用系統的 Bug 進行攻擊,從中受益的的不僅僅是微軟。

一個最早發現 Windows 8.1 漏洞的男人
福蕭說,發現這個漏洞花去了他整整三周半時間。「最早冒出這個想法時,我正盤腿坐在家裡,考慮自己能做點什麼。整個找漏洞的過程中充滿太多的絆腳石,它們完全可以把你卡在半路上。記住,一定不要太興奮、太快速。」

成功後的福蕭目前正在趕去參加一項安全會議。在發現 Windows 8.1 安全性漏洞之前,福蕭已經是尋找系統 Bug 的高手,曾經在HP系統中發現的大型安全故障還讓他獲了獎。

這次經歷給他帶來了更大的曝光度,《衛報》兩次報導了他。不過福蕭沒有因此沾沾自喜,謙虛的福蕭說,微軟安全部門也在積極地查找產品漏洞,但有時因為距離太近反而看不到全部。「你需要走回去,重新審視整套產品以及它的互動設計,然後再尋找隱藏的漏洞。」

「人是不可能不犯錯的,沒有人能寫出完美的程式碼。」福蕭說,「我和微軟的關係很友好,在此之前已經向他們提報過多次 Bug。」

在談到如何處理 10 萬美元的巨額獎金時,福蕭說如果因此退休還為時尚早。類似的獎賞要交出大部分給公司,即便公司不要,稅收也會扣除很多獎金。「它真的不是一筆能夠改變生活的鉅款。」

過去十年在安全發展和研究領域,福蕭已經和若干重大問題交過手,其中需要的探究技術和創造力讓福蕭沉醉不已,這才是讓他深深著迷的東西。
 
題圖來自 Mirror

一個最早發現 Windows 8.1 漏洞的男人

ifanr
作者

ifanr依托於中國移動互聯網的發展大潮,用敏銳的觸覺、出色的內容,聚焦 TMT 領域資訊,迅速成為中國最為出色的新銳科技Blog 媒體。

使用 Facebook 留言
液態氮
1.  液態氮 (發表於 2013年10月14日 11:01)
千金買馬骨~
良性的互動,
要讓其他人不利用漏洞獲利,
就讓他有更好的利基。
redcell6
3人給推

2.  redcell6 (發表於 2013年10月14日 12:18)
(≧▽≦)人是不可能不犯錯的,沒有人能寫出完美的程式碼。以後的機會還多的是XD!(≧▽≦)
FUCXSOP
4.  FUCXSOP (發表於 2013年10月15日 04:15)
※ 引述《Thomas Shan》的留言:
> 微軟擺明是來送錢的..那天要是他家軟體沒漏洞可發現, 人類應該已經移民火星了..

微軟的軟體沒漏洞可發現的那一天
就是微軟已經倒閉不再推出軟體的那一天
而那一天相信不會太遠
這麼短的時間內人類要移民火星?恐怕是很拼 ╮(╯_╰)╭
宸宸
5.  宸宸 (發表於 2013年10月15日 11:25)
瞬間覺得微軟筆facebook的態度好很多,願意為這些白帽駭客給點酬勞,真的是值得稱讚~
發表回應
謹慎發言,尊重彼此。按此展開留言規則