这两年,Pwn2Own在中国的出境率并不低,从中国黑客组团参赛Pwn2Own并连连夺冠,到2015年Pwn2Own组织者首次来华……然而,对于大众而言,这似乎还是一个“无关痛痒”的名词,但在安全圈内,已掀起不小的波澜。
每年3月,全球黑客的目光都会齐刷刷看向加拿大温哥华,参赛Pwn2Own的团队(个人)大多背负着夺得“最高荣誉”的使命。在即将到来的16日,腾讯科恩实验室、腾讯电脑管家团队将再次出征Pwn2Own。这一国际黑客大赛被业内人士喻为“世界杯”。那么,今年Pwn2Own有哪些挑战?为何全球黑客对它蜂拥不已、另眼相看?
(在Pwn2Own上获奖象征着安全研究已达到世界领先水平)
高额报名费VS高额奖金,比拼的是什么?
Pwn2Own黑客大赛自2007年举办至今,已第十个年头,其破解目标专注于最新版浏览器及其插件。与国际上其他的黑客大赛(如Defcon CTF)相比,其参赛门槛相对高了许多,仅仅注册报名就需上万人民币。高额的奖金或是吸引国际黑客参赛的动因之一。仅2015年,主办方惠普共发出55.75万美元的奖金,而从已公布的奖金额度分配来看,2016年的奖金池大致也在这个范围。然而,即便是顶级黑客在没有充分准备的情况下也不会贸然参赛,这场人机对抗的“靶心”是全球著名互联网公司的安全团队倾力打造的安全体系,考验可见一斑。此外,Pwn2Own的抽签规则也是相当重要,手气好的抽到第一个出场能打赢全奖,而后来者即便攻破成功也只能奖金减半,看来,这场“世界杯”除了比拼技术,还得拼人品。
首增VMware破解项目,谁将夺得最高奖励?
2015年,韩国黑客Jung Hoon Lee赢得Pwn2Own历史上最高的单次利用奖金——11万美元,而他在一天内共赢得22.5万美元,一度成为媒体关注的焦点。2016年,Pwn2Own新增VMWare Workstation Escape破解项目,攻击目标操作系统和应用都是运行在虚拟机上,并以额外7.5万美金的高额奖金被设定为今年最为关注的领域。虚拟化技术是云计算的核心技术之一,对虚拟化安全的关注代表了行业对日益普及和广泛应用的云计算平台安全的高度关注。概念的新颖与项目的高难度,无疑成为参赛团队(个人)角逐的重点,而花落谁家也成为安全圈茶余饭后热议的话题。
(在2015年Pwn2Own上中国安全研究团队夺得世界冠军)
Firefox浏览器退出比赛另有隐情?
“史上最难黑客大赛”常常被用来形容Pwn2Own,并引发了圈内外强烈的关注和讨论。2015年,Pwn2Own四连冠得主VUPEN CEO公开吐槽Pwn2Own 2015的IE挑战难度高、奖金却变少,并因此毅然放弃参赛。从近两年Pwn2Own项目设置上看,全球流行的桌面系统如微软Windows和苹果的Mac OS,互联网应用如浏览器应用与插件仍是比赛关注重点。而曾经以高难度引发选手激烈角逐的Firefox破解项目却出人意料地退出Pwn2Own舞台,主办方给出的理由是“Pwn2Own只关注在安全方面做出很大改善的浏览器”, 很显然,Firefox没有做到这一点。
世界破解大师(Master of Pwn)如何诞生?
较之往年,Pwn2Own 2016的最大看点莫过于引入比赛积分制,除单项冠军外,设立了综合总冠军的奖项(Master of Pwn) ,代表了国际范围内软件和互联网行业对综合安全研究能力最强的参赛团队的最高认可。也就是说,沿用近十年的靠奖金说话变成了靠积分说话,而只要达到比赛要求的漏洞利用展示都可以赢取积分。积分最高的冠军选手还将赢得ZDI漏洞奖励计划的6.5万分,价值约2.5万美元的额外奖励。
雷锋网原创文章,未经授权禁止转载。详情见转载须知。