【全球獨家】專訪戴夫寇爾首席資安研究員Orange Tsai：微軟 ... | 全台藥局網

2021年3月18日—在2年前，曾經拿下資安圈漏洞奧斯卡獎PwnieAwards「最佳伺服器漏洞獎」戴夫寇爾首席資安研究員OrangeTsai（蔡政達），漏洞通報記錄 ...

在2年前，曾經拿下資安圈漏洞奧斯卡獎Pwnie Awards「最佳伺服器漏洞獎」戴夫寇爾首席資安研究員Orange Tsai（蔡政達），漏洞通報記錄不勝枚舉，後來因為針對企業常用的SSL VPN進行漏洞研究與通報，更是在全球資安圈聲名大噪。

不過，在今年3月2日卻發生讓Orange Tsai錯愕不已的事情。那就是，他在今年一月跟微軟通報的2個Exchange漏洞，微軟原訂在3月9日對外釋出修補程式，卻突然提前一週，在3月2日便緊急釋出修補程式。原來是因為，在2月26日到2月28日，這個週五下班後到週末這段期間，全球各地發生許多利用微軟Exchange漏洞發動攻擊的資安事件。

電子郵件伺服器已經是許多企業對外溝通聯繫的主要命脈，當駭客透過Exchange漏洞的攻擊程式，可以輕易窺視並偷取企業的電子郵件，更嚴重者，甚至可能影響企業的生存。因此，這也迫使微軟不得不提前一週，對外釋出4個Exchange零時差漏洞的修補程式。

Orange Tsai除了對微軟提前一週釋出修補程式感到錯愕，更讓他不解的事情則是：這個針對微軟Exchange郵件伺服器的攻擊程式，究竟從何而來？經歷各種搜尋後發現，這個在外面流傳的攻擊程式，為什麼和他提供給微軟的攻擊程式，相似度如此之高？

甚至於，還有許多對於資安漏洞研究與通報流程不清楚的大眾媒體，在沒有與當事人確認的情況下，將發現並通報漏洞的研究者，視為對全世界Exchange伺服器發動惡意攻擊的黑帽駭客，更讓他承受無比巨大的壓力。

「包括公司主管和我在內，大家已經有一個多禮拜沒有辦法好好睡一覺，每天大概只有睡3、4個鐘頭，睡醒第一件事情就是，看看有沒有人在推特標註他，或是有沒有人發信給他，詢問關於Exchange漏洞的任何疑問，就必須儘速的回應對方。」他說道。

「對一個白帽駭客而言，可以沉浸在純技術的領域中，就是最大的快樂。」Orange Tsai在接受iThome專訪時表示，對他而言，漏洞挖掘這件事：找到漏洞、通報原廠等待修補後、再分享漏洞挖掘的過程，一方面可以拯救世界，另一方面，也可以幫助這些廠商，提升產品或服務的安全性，甚至在分享漏洞挖掘思維的過程，還能同時回饋到整個資安社群。因此，對Orange Tsai來說，挖掘漏洞就是最有趣的工作。