電腦店訊:英國人詹姆斯·福肖(James Forshaw)剛剛獲得微軟的一筆獎金——整整10萬美元。
今年6月,Windows 8.1和IE11預覽版發布後,為了更好地測試產品,微軟宣布了一項獎勵計劃:任何在Win8.1預覽版中發現重大安全漏洞的用戶,都可以獲得10萬美元獎金。10月8日,微軟在博客上宣布,福肖成為首個獲得10萬美元獎金的人。
現年34歲的詹姆斯·福肖住在倫敦,地道的英式口音讓他有點像老式的英倫紳士。福肖是科技安全公司Context的研究員,同時還是名“白帽黑客”——這個帶有濃重“江湖色彩”的稱謂指的是通過測試網絡安全性能賺取傭金的黑客群體,蘋果創始人沃茲尼亞克(Stephen Wozniak)和Linux系統之父林納斯·托瓦茲(Linus Torvalds)都是個中高手。
這次發現的漏洞可以讓黑客繞過Windows 8.1設置的安全防護,進而侵入整個系統。不過福肖沒有透露具體的漏洞細節。
主要原因是微軟不願透露。微軟安全部門主管凱蒂·穆索瑞斯(Katie Moussouris)說,公司希望在解決這問題後再予以公開,以防黑客據此侵入用戶系統。微軟工程師托馬斯·加尼爾(Thomas Garnier)也發現了這個漏洞,眼下正在緊鑼密鼓地修補。
至於為何要為一次安全漏洞支付如此昂貴的費用?微軟在博客上解釋說,了解新的緩解繞行漏洞可以幫助公司抵御惡意攻擊,強化整個平台。黑客越來越難利用系統的Bug進行攻擊,從中受益的的不僅僅是微軟。
福肖說,發現這個漏洞花去了他整整三周半時間。“最早冒出這個想法時,我正盤腿坐在家裡,考慮自己能做點什麼。整個(漏洞查找)過程中充滿太多的絆腳石,它們完全可以把你卡在半道上。(記住)一定不要太興奮、太快速。”
成功後的福肖目前正在趕去參加一項安全會議。在發現Windows 8.1安全漏洞之前,福肖已經是查找系統Bug的高手,曾經在惠普系統中發現的大型安全故障還讓他獲了獎。
這次經歷給他帶來了更大的曝光度,《衛報》兩次報道了他。不過福肖沒有因此沾沾自喜,謙虛的福肖說,微軟安全部門也在積極地查找產品漏洞,但有時因為距離太近反而看不到全部。“你需要走回去,重新審視整套產品以及它的交互設計,然後再尋找隱藏的漏洞。”
“人是不可能不犯錯的,沒有人能寫出完美的代碼。”福肖說,“我和微軟的關系很友好,在此之前已經向他們提交過多款Bug。”
在談到如何處理10萬美元的巨額獎金時,福肖說如果因此退休還為時尚早。類似的獎賞要交出大部分給公司,即便公司不要,稅收也會扣除很多獎金。“它真的不是一筆能夠改變生活的巨款。”
過去十年在安全發展和研究領域,福肖已經和若干重大問題交過手,其中需要的探究技術和創造力讓福肖沉醉不已,這才是讓他深深著迷的東西。