當中國黑客被限制參加Pwn2Own
責編:mhshi |2018-03-20 11:15:36十多年來,Pwn2Own匯集了來自全球各地的安全人才,參加了一場友好的黑客競賽,這是與Black Hat和Def Con相媲美的研究和發展的基石。中國的黑客經常贏得勝利,特別是騰訊Keen Labs和奇虎 360 的 360Vulcan。
但今年,據Pwn2Own經理Brian Gorenc稱,中國不再允許其研究人員參與競爭。 Gorenc在本周開始Pwn2Own之前告訴媒體:“一些國家已經出現了監管方面的變化,不再允許參與Pwn2Own和奪旗競賽等全球剝削競賽。”有一點可以肯定:年度冠軍騰訊的Keen實驗室和奇虎360的360Vulcan團隊無處可尋,而會展組織者趨勢科技已向Engadget證實,在今年的比賽中沒有中國競爭對手。
趨勢科技的一位發言人通過電子郵件告訴我們:“如果監管變化阻止某些國家參與,我們預計它會跨越許多事件,而不僅僅是Pwn2Own,這些監管變化可能適用于其他類型的競爭。” 更廣泛的信息社區令人失望。微軟Edge安全黑客喬納森諾曼在一則推文中表示,將中國黑客從Pwn2Own中解救出來的決定“令人沮喪”,因為他“今年努力做好準備并希望看到結果。”其他人表示,如果沒有Keen參與,它不會是一樣的,他們也沒有錯。 人們可以爭辯說,Pwn2Own讓每個人更安全。這是一場比賽,在微軟,谷歌,蘋果,VMware,Mozilla等胖男孩身上引發火災,在事件發生之前,他們會定期發布大型安全補丁。此外,Pwn2Own背后的人士指出:“在比賽前曾有供應商向供應商提交錯誤報告,希望能夠殺死競爭對手的漏洞。” Pwn2Own由Trend Micro的Zero Day Initiative組建,該組織旨在“鼓勵向受影響的供應商負責任地報告零日漏洞”。他們在Pwn2Own十周年的博客文章中寫道: 如果沒有Pwn2Own,會發生類似這樣的更安全的軟件嗎?可能,但Pwn2Own可作為供應商的年度強制功能。這是對安全狀態的年度評估,因為我們是最好的供應商必須針對世界上一些最優秀的安全研究人員提供的。
看起來,中國政府希望通過其境內的公民保持良性發現,這也是該國高層人士所表達的看法。中國領先的安全公司奇虎360的首席執行官周鴻祎是中國團隊出國參加Pwn2Own等活動的強烈反對者。 在去年的比賽中,前五名獲獎者來自中國,其中三名來自騰訊。對此,洪毅告訴新浪科技,中國研究人員發現的任何隱患“應該留在中國”。這表明,雖然中國的黑客團隊喜歡參與競爭和技能分享,但該國的高管和經理們不會囤積零日和bug。 對于像Pwn2Own這樣的東西,存在許多錯誤和現金獎勵。去年,為了舉辦十周年紀念活動,Zero Day Initiative向白帽黑客頒發了833,000美元,曝光了51個不同的零日漏洞。大多數是中國研究人員發現的。中國的研究人員成為了日本2013年移動Pwn2Own大賽和騰訊Keen團隊黑客攻擊和遠程控制特斯拉汽車的一支力量,在2017年黑帽美國大會上展示了黑客的演示和演示。 中國隊在Pwn2Own有很好的記錄,但他們在2016年比賽中的工作可能是全球競爭如何為每個人提供更好安全性的最好例子。 2016年,騰訊競爭對手奇虎360以姊妹活動PwnFest的520,000美元獎金走開;感謝他們,谷歌新的Pixel手機的安全性在60分鐘內就被奇虎360的黑客所消除。同一年,Nexus 6p被騰訊“Keen團隊”白帽黑客組織在黑莓手機上闖入了五分鐘。 。 “Google表示,Keen團隊發現的Chrome bug在事件發生后的24小時內得到了修補,Chrome的團隊已經將這些變化發布到了穩定的分支中,”The Register寫道。
劃分我們動搖 讓中國團隊擺脫全球黑客競爭可能看起來像只是在安全研究的喋喋不休中才會注意到的細節。誰在乎這些在推動大牌安全界限方面取得重大進展的人是否被阻止了?讓我們給其他人一個機會吧? 如果只有它那樣工作。一個國家囤積人才和零日的決定向我們展示了社會保障的真正含義。這是一個團體的努力。讓我們暫時擱置一下,讓一個國家的球隊脫離比賽場,這與Pwn2Own的有效性這個更大的想法背道而馳。每個人都在競爭條件條件下攻擊大公司,每個人都受益。 沒有像Keen Labs或360Vulcan這樣的團隊,我們會看到未來的安全形勢,一個倒退,進入長期的信息安全實踐,民族主義和惡意囤積。這是一種病態的感覺,就像看著美國在全球舞臺上屈服于分離主義一樣,或者英國故意用英國脫歐脫離自己的氧氣。它提醒我們,infosec的很多好的部分,其他文化混合的會議正在成為過去。 中國將研究人員從會議中拉出來,讓士兵們能夠為無形的軍備競賽創造更好的武器,完美地捕捉到令我們對信息狀態和全球政治狀態感到絕望的所有事情 – 以及它的所有殘酷的反知識主義,它對于什么的無知工作在更孤立的地方。我只是希望不知怎的,最終,我們可以對付這艘船,向前邁進,為我們一直為之努力的安全。