序
第一次見到James Forshaw 時,我正任職於微軟資安應變中心(MSRC),MSRC 的系統安全人員曾在2007 年被《Popular Science》月刊評為科學界十大爛缺之一,而「Microsoft Security Grunt」(微軟資安苦力)是這本雜誌對MSRC
工作人員的統稱。在爛缺排行榜上,我們比「鯨魚糞便研究員」還不如,不過比「大象結紮者」好一些,就在十大爛缺清單的餘波中,伴隨即將到來的微軟產品錯蟲報告(在華盛頓州雷蒙德市受苦受難的人幾乎都知道這份清單,還有人為此印製了T 恤)。
James 在MSRC 時,以他敏銳而又具創造力的眼光看待一些不尋常又常被忽視的事物,就是這種資安戰略家的氣質引起我的注目,他曾提出許多古怪、有趣的安全漏洞報告,以MSRC 每年從安全研究人員收到20 多萬份漏洞報告來看,James 依然成就非凡,他找到的漏洞可不只是一些淺顯易見的弱點,還曾發現.NET
架構底層的根本問題,雖然這些底層問題很難用簡單的修補程式來解決,但對微軟和客戶來說卻極具價值。
將時間快轉到2013 年6 月,我在微軟成立第一個系統臭蟲獵捕獎勵計畫,公司在這一年共發起三項獵蟲獎勵計畫,承諾以高額報酬向James 這類資安研究人員換取微軟軟體的重大錯誤通報,為了證明這些計畫的功效,必須要找出真正有價值的安全漏洞。
如果只是起草一個計畫,無法保證可以吸引臭蟲獵人到來,這是和其他高技能的臭蟲獵捕者在競爭,世上充斥著各種獵蟲獎金,但並不是所有臭蟲交易都是為了防禦目的,政府機關、國家資助的機構和犯罪組織早就為了攻擊目的,建立成熟的臭蟲交易市場,而微軟光靠發現臭蟲者的正義感,每年就得到20
萬份無償的系統錯誤回報,這次的獎勵金計畫是希望能吸起友善、無私的臭蟲獵人所注意,協助微軟徹底解決系統的安全問題。
理所當然,我打電話給James和其他人,期待他們能提供相關的臭蟲資訊。第一回的漏洞通報競賽,MSRC 員工想要找出Internet Explorer(IE)11測試版漏洞,同時也希望建立前所未有的漏洞通報競賽項目:最新的漏洞利用技巧,也就是熟知的Mitigation Bypass Bounty(規避漏洞緩解技巧獎勵),在當時這一規避手法價值10萬美元。
猶記得和James 在倫敦一起喝啤酒的情景,我嘗試激起他尋找IE 漏洞的熱情,他告訴我:從未在瀏覽器的安全問題下過太多心力,要我別抱太大期望。儘管如此,James還是提交了四種逃脫IE 11 beta版沙箱機制的手法。這些沙箱逃脫弱點都發生在IE的程式碼裡,而我們的內部團隊和外部滲透測試人員都沒有找到,想要利用其他漏洞,沙箱逃脫技巧顯得至關重要。
James因這四隻臭蟲,從IE小組贏得獎勵金,及另一筆獎勵計畫之外的5千美元獎金。現在想想,我該多送他5 萬美元,實在太神奇了!對於從未認真看待網頁瀏覽器安全問題的臭蟲獵人來說,簡直出乎意料之外。
就在幾個月後一個秋高氣爽的日子,我從微軟員工餐廳外的電話亭打電話給James,興奮地告知他締造了空前的紀錄,除了他提交的臭蟲被MitigationBypass Bounty 認可,將贏得10 萬美元獎金的殊榮外,實在沒有其他更令人興奮的新聞可以告訴他了,James
發現一種獨特的新手法,可以從最新作業系統的架構底層漏洞繞過此平台的所有防禦機制,並贏得微軟首批10萬美元獎金。
相信讀者在讀完本書之後,一定能感受到James無與倫比的輝煌成就,和我多年前看到一份臭蟲報告或四隻臭蟲的感受相同,只有少數的資安研究員能從一項先進的系統中發現臭蟲,能同時發現多個臭蟲的人簡直鳳毛麟角,然而還是能找到James這等高手,就像精湛的外科醫生準確地找出深埋在架構底層的問題,希望大家把本書當作實踐指南,激發出和他一樣的創造力和輝煌戰績,同時也能閱讀James的其他作品。
在微軟舉辦的獵蟲獎勵會議上,當時IE 小組的成員猛搖頭,納悶為何沒能找到James 提報的錯誤,我直接了當地說:「James 除了看到《駭客任務》裡紅衣正妹的豔麗外表,還能看穿渲染出她模樣的程式碼」,我用這樣的比喻闡述James 的工作態度,整桌的人都接受這種說法,他在工作上所下的心力,足可扭轉乾坤,如果讀者願意敞開胸懷,收納百川,相信也可達到那種境界。
對於世上所有的臭蟲獵人來說,這裡是你們的酒吧,還是高檔酒吧,對於不計其數的資安工作者,你們所提報的系統臭蟲或許也和其他人、甚至和James提交的報告一樣稀奇且價值不斐。
--Katie Moussouris, Luta Security 資安公司的創辦人兼執行長