以Win8.1漏洞之名，從微軟拿走10萬(wàn)美元獎(jiǎng)金的人

Win7之家（ afsion.com.cn）：以Win8.1漏洞之名，從微軟拿走10萬(wàn)美元獎(jiǎng)金的人

英國(guó)人詹姆斯·福肖(James Forshaw)剛剛獲得微軟的一筆獎(jiǎng)金——整整10萬(wàn)美元。

今年6月，Windows 8.1和IE11預(yù)覽版發(fā)布后，為了更好地測(cè)試產(chǎn)品，微軟宣布了一項(xiàng)獎(jiǎng)勵(lì)計(jì)劃：任何在Win8.1預(yù)覽版中發(fā)現(xiàn)重大安全漏洞的用戶，都可以獲得10萬(wàn)美元獎(jiǎng)金。10月8日，微軟在博客上宣布，福肖成為首個(gè)獲得10萬(wàn)美元獎(jiǎng)金的人。

現(xiàn)年34歲的詹姆斯·福肖住在倫敦，地道的英式口音讓他有點(diǎn)像老式的英倫紳士。福肖是科技安全公司Context的研究員，同時(shí)還是名“白帽黑客”——這個(gè)帶有濃重“江湖色彩”的稱謂指的是通過測(cè)試網(wǎng)絡(luò)安全性能賺取傭金的黑客群體，蘋果創(chuàng)始人沃茲尼亞克(Stephen Wozniak)和Linux系統(tǒng)之父林納斯·托瓦茲(Linus Torvalds)都是個(gè)中高手。

這次發(fā)現(xiàn)的漏洞可以讓黑客繞過Windows 8.1設(shè)置的安全防護(hù)，進(jìn)而侵入整個(gè)系統(tǒng)。不過福肖沒有透露具體的漏洞細(xì)節(jié)。

主要原因是微軟不愿透露。微軟安全部門主管凱蒂·穆索瑞斯(Katie Moussouris)說，公司希望在解決這問題后再予以公開，以防黑客據(jù)此侵入用戶系統(tǒng)。微軟工程師托馬斯·加尼爾(Thomas Garnier)也發(fā)現(xiàn)了這個(gè)漏洞，眼下正在緊鑼密鼓地修補(bǔ)。

至于為何要為一次安全漏洞支付如此昂貴的費(fèi)用？微軟在博客上解釋說，了解新的緩解繞行漏洞可以幫助公司抵御惡意攻擊，強(qiáng)化整個(gè)平臺(tái)。黑客越來越難利用系統(tǒng)的Bug進(jìn)行攻擊，從中受益的的不僅僅是微軟。

福肖說，發(fā)現(xiàn)這個(gè)漏洞花去了他整整三周半時(shí)間�！白钤缑俺鲞@個(gè)想法時(shí)，我正盤腿坐在家里，考慮自己能做點(diǎn)什么。整個(gè)（漏洞查找）過程中充滿太多的絆腳石，它們完全可以把你卡在半道上。（記�。┮欢ú灰�太興奮、太快速。”

成功后的福肖目前正在趕去參加一項(xiàng)安全會(huì)議。在發(fā)現(xiàn)Windows 8.1安全漏洞之前，福肖已經(jīng)是查找系統(tǒng)Bug的高手，曾經(jīng)在惠普系統(tǒng)中發(fā)現(xiàn)的大型安全故障還讓他獲了獎(jiǎng)。

這次經(jīng)歷給他帶來了更大的曝光度，《衛(wèi)報(bào)》兩次報(bào)道了他。不過福肖沒有因此沾沾自喜，謙虛的福肖說，微軟安全部門也在積極地查找產(chǎn)品漏洞，但有時(shí)因?yàn)榫嚯x太近反而看不到全部�！澳阈枰�走回去，重新審視整套產(chǎn)品以及它的交互設(shè)計(jì)，然后再尋找隱藏的漏洞。”

“人是不可能不犯錯(cuò)的，沒有人能寫出完美的代碼。”福肖說，“我和微軟的關(guān)系很友好，在此之前已經(jīng)向他們提交過多款Bug�！�

在談到如何處理10萬(wàn)美元的巨額獎(jiǎng)金時(shí)，福肖說如果因此退休還為時(shí)尚早。類似的獎(jiǎng)賞要交出大部分給公司，即便公司不要，稅收也會(huì)扣除很多獎(jiǎng)金。“它真的不是一筆能夠改變生活的巨款。”

過去十年在安全發(fā)展和研究領(lǐng)域，福肖已經(jīng)和若干重大問題交過手，其中需要的探究技術(shù)和創(chuàng)造力讓福肖沉醉不已，這才是讓他深深著迷的東西。