关于Pwn2Own 2015必须知道的10件事

今天被Pwn2Own的新闻刷屏了。也难怪,Pwn2Own是全球最负盛名的黑客大赛,Pwn2Own 2015又被业内称为史上最难的黑客大赛,因此引发了圈内圈外强烈的关注和讨论。但是我们在讨论Pwn2Own的时候,很多人恐怕都不知道以下这10件事——

关于Pwn2Own 2015必须知道的10件事的照片 - 1

1、抽签很重要

如果你要参加Pwn2Own,记得要从平时开始攒人品。在Pwn2Own比赛场上,如果选择攻打同样的目标,所有选手并不是同时开始比赛,而是抽签决定谁先上。假设选手们同样都能攻打成功,那么手气好的抽到第一个出场则能打赢全奖。手气不好的则只能在后面出场,即使攻打成功,也只能拿到一半的奖金。

关于Pwn2Own 2015必须知道的10件事的照片 - 2

2、难度加大,奖金减少

Pwn2Own在所有黑客大赛中,一直以高额奖金著称,虽然其对技术的要求近乎苛刻,还得交万元人民币的报名费,但还是有众多顶尖黑客团队从世界各地慕名而来。但是让很多黑客不满的是,今年Pwn2Own的比赛难度明显加大,尤其是IE,攻破难度已经超过去年价值15万美金的“独角兽”大奖(去年无人获奖),奖金却少了一大半。VUPEN创始人ChaoukiBekrar为此公开吐槽并宣布退赛。

关于Pwn2Own 2015必须知道的10件事的照片 - 3

3、IE难度史上最高

Pwn2Own以Chrome、IE、Safari、Firefox等常见浏览器以及IE的Flash和PDF插件作为主要攻击目标,参赛的黑客们通常会以参赛项目的奖金额以及获取权限的程度,也就是最后能够拿到多少奖金,来作为最终评判赛事难易度的一个可量化衡量标准。

今年奖金最多的仍然是Chrome,7.5万美金。第二名是就是IE,6.5万美金。但是今年Pwn2Own对IE增加了几个特殊要求——不仅要攻破IE11的增强沙箱保护和64位进程,还要突破微软最新版本的EMET漏洞防御工具(这些都是非默认配置),同时禁止通过注销或重启实现攻击,因此今年IE的攻击难度史无前例,被业界视为几乎不可能完成的任务。

关于Pwn2Own 2015必须知道的10件事的照片 - 4

4、亚洲团队首次攻破IE

Pwn2Own自2007年创办以来,至今已经第九年。但是九年来,没有亚洲团队在比赛上攻破IE,欧美国家在该项目上占有绝对统治地位。

不过让人惊喜的是,今年首次参赛的360Vulcan Team在17秒内一举攻破IE11,给中国黑客圈大大的长了脸,让老外也知道中国安全技术顶呱呱。

关于Pwn2Own 2015必须知道的10件事的照片 - 5

5、前“VUPEN主攻手”暴打Adobe刷奖

VUPEN虽然没有来,但之前VUPEN团队的主攻手Nicolas Joly却从VUPEN离职,以个人名义参加了此次比赛。从参赛项目来看,Nicolas Joly也选择放弃挑战IE,而是把攻击目标锁定在了难度相对较低的Adobe Reader和Adobe Flash上,以两个低难度项目拼更多奖金。最终Nicolas Joly一人打下9万美元奖金。

关于Pwn2Own 2015必须知道的10件事的照片 - 6

6、腾讯猛抱KeenTeam大腿

前些天大赛主办方ZDI公布参赛名单时,中国两支团队360Vulcan Team和Keen Team格外引人瞩目,当时并没有腾讯的影子。

然而令人诧异的是,就在比赛正式打响后,Adobe Reader的挑战者忽然变成Keen Team和腾讯管家联队。业内传闻,腾讯看到360组队参赛后,立刻向其投资过的Keen Team施压,要求在比赛里把腾讯的名字也带上。而在比赛过程中,腾讯的“参赛人员”全程都在一旁围观,并没有对Keen Team攻破Adobe Reader做出任何贡献。只是在赛事结束拍照时,腾讯人员才举着广告合影。这也算是抱着Keen Team的大腿刷下存在感了。

关于Pwn2Own 2015必须知道的10件事的照片 - 7

7、XX秒攻破真靠谱吗?

上面吐槽了腾讯,再说360高调宣传的“17秒攻破IE”。事实上业内都明白,Pwn2Own的比赛就是个演示,攻击代码是赛前早已经准备好的,上场就是操作一下。手快的十几秒搞定,手慢的几十秒搞定,没有本质差别。

俗话说得好,台上一分钟,台下十年功。挖掘漏洞和深入研究漏洞的原理、攻击方式、防护方案,都需要长时间的积累。17秒,您找屏幕坏点呐?

关于Pwn2Own 2015必须知道的10件事的照片 - 8

8、Firefox赤膊上阵

Firefox可以说是Pwn2Own比赛中安全性最差的浏览器。在2014年Pwn2Own上,Firefox就被打成了“筛子”,总共被四组参赛选手用四种方法轮流攻陷。

其实,Firefox最大的短板是没有沙箱,基本相当于赤膊上阵,堪称本次比赛头号“软柿子”。

关于Pwn2Own 2015必须知道的10件事的照片 - 9

9、韩国“神童”以一敌三

传说中的韩国黑客“神童”JungHoon Lee一口气报名参加了Chrome、IE和Safari三个项目。而这三款浏览器,也被公认为本届比赛难度最高的三个目标。

不过这个被冠以“神童”的韩国人,背景可能没有那么单纯。业内传说JungHoon Lee单挑三大浏览器只是韩国政府的“造神”伎俩,这个“神童”背后站着的其实是庞大的韩国黑客“国家队”。

实际上,韩国、日本都格外重视对安全攻防人才的培养,培养黑客从娃娃抓起,一路保送上大学,先是打CTF攻防比赛成为职业选手,如今又力图在Pwn2Own黑客大赛上扬名立万。

关于Pwn2Own 2015必须知道的10件事的照片 - 10

10、被攻破的软件厂商才是大赢家

很多人都很关心比赛利用的0day漏洞是否会泄密?实际上完全不必有这种担心。无论是Pwn2Own,还是其他有奖金的黑客比赛,在比赛结束后,所有选手找到的漏洞都会一并提交给厂商进行修复。这也是包括微软、苹果、谷歌这些互联网巨头举办黑客比赛的目的之一,花小钱补大漏洞,何乐而不为。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:5   其中:访客  5   博主  0

  1. 望星湖畔 4
    Google Chrome 41.0.2272.101 Google Chrome 41.0.2272.101 Windows 8.1 Windows 8.1

    缘来腾讯是这么得奖的啊!!差点就对电脑管家另眼相看了呢!!

    河南省三门峡市义马市 移动
  2. 街角.遗忘 5
    Android Webkit 4.0 Android Webkit 4.0 Android 4.4.4 Android 4.4.4

    看着好像很厉害的样子

    江西省赣州市 电信
  3. ╰MI恋ゝ黑曜色の阳光ミ 5
    Google Chrome 31.0.1650.63 Google Chrome 31.0.1650.63 Windows 8.1 x64 Edition Windows 8.1 x64 Edition

    感觉这种技术比赛已经沦为商业宣传了

    山东省济南市 联通
  4. 真爱8023永恒 5
    uBrowser 4.0.4368.102 uBrowser 4.0.4368.102 Windows 8.1 x64 Edition Windows 8.1 x64 Edition

    求视频地址的传送门

    广西南宁市 移动
  5. >3<知足$_$ 5
    Internet Explorer 11.0 Internet Explorer 11.0 Windows 8.1 x64 Edition Windows 8.1 x64 Edition

    呵呵 谢谢分享

    福建省厦门市 电信