黑客“世界杯”Pwn2Own 2016四大看點 為何國際黑客都青睞Pwn2Own?
責編:mhshi |2016-03-10 13:43:49這兩年,Pwn2Own在中國的出境率并不低,從中國黑客組團參賽Pwn2Own并連連奪冠,到2015年Pwn2Own組織者首次來華……然而,對于大眾而言,這似乎還是一個“無關痛癢”的名詞,但在安全圈內,已掀起不小的波瀾。
每年3月,全球黑客的目光都會齊刷刷看向加拿大溫哥華,參賽Pwn2Own的團隊(個人)大多背負著奪得“最高榮譽”的使命。在即將到來的16日,騰訊科恩實驗室、騰訊電腦管家團隊將再次出征Pwn2Own。這一國際黑客大賽被業內人士喻為“世界杯”。那么,今年Pwn2Own有哪些挑戰?為何全球黑客對它蜂擁不已、另眼相看?
(在Pwn2Own上獲獎象征著安全研究已達到世界領先水平)
高額報名費VS高額獎金,比拼的是什么?
Pwn2Own黑客大賽自2007年舉辦至今,已第十個年頭,其破解目標專注于最新版瀏覽器及其插件。與國際上其他的黑客大賽(如Defcon CTF)相比,其參賽門檻相對高了許多,僅僅注冊報名就需上萬人民幣。高額的獎金或是吸引國際黑客參賽的動因之一。僅2015年,主辦方惠普共發出55.75萬美元的獎金,而從已公布的獎金額度分配來看,2016年的獎金池大致也在這個范圍。然而,即便是頂級黑客在沒有充分準備的情況下也不會貿然參賽,這場人機對抗的“靶心”是全球著名互聯網公司的安全團隊傾力打造的安全體系,考驗可見一斑。此外,Pwn2Own的抽簽規則也是相當重要,手氣好的抽到第一個出場能打贏全獎,而后來者即便攻破成功也只能獎金減半,看來,這場“世界杯”除了比拼技術,還得拼人品。
首增VMware破解項目,誰將奪得最高獎勵?
2015年,韓國黑客Jung Hoon Lee贏得Pwn2Own歷史上最高的單次利用獎金–11萬美元,而他在一天內共贏得22.5萬美元,一度成為媒體關注的焦點。2016年,Pwn2Own新增VMWare Workstation Escape破解項目,攻擊目標操作系統和應用都是運行在虛擬機上,并以額外7.5萬美金的高額獎金被設定為今年最為關注的領域。虛擬化技術是云計算的核心技術之一,對虛擬化安全的關注代表了行業對日益普及和廣泛應用的云計算平臺安全的高度關注。概念的新穎與項目的高難度,無疑成為參賽團隊(個人)角逐的重點,而花落誰家也成為安全圈茶余飯后熱議的話題。
(在2015年Pwn2Own上中國安全研究團隊奪得世界冠軍)
Firefox瀏覽器退出比賽另有隱情?
“史上最難黑客大賽”常常被用來形容Pwn2Own,并引發了圈內外強烈的關注和討論。2015年,Pwn2Own四連冠得主VUPEN CEO公開吐槽Pwn2Own 2015的IE挑戰難度高、獎金卻變少,并因此毅然放棄參賽。從近兩年Pwn2Own項目設置上看,全球流行的桌面系統如微軟Windows和蘋果的Mac OS,互聯網應用如瀏覽器應用與插件仍是比賽關注重點。而曾經以高難度引發選手激烈角逐的Firefox破解項目卻出人意料地退出Pwn2Own舞臺,主辦方給出的理由是“Pwn2Own只關注在安全方面做出很大改善的瀏覽器”, 很顯然,Firefox沒有做到這一點。
世界破解大師(Master of Pwn)如何誕生?
較之往年,Pwn2Own 2016的最大看點莫過于引入比賽積分制,除單項冠軍外,設立了綜合總冠軍的獎項(Master of Pwn) ,代表了國際范圍內軟件和互聯網行業對綜合安全研究能力最強的參賽團隊的最高認可。也就是說,沿用近十年的靠獎金說話變成了靠積分說話,而只要達到比賽要求的漏洞利用展示都可以贏取積分。積分最高的冠軍選手還將贏得ZDI漏洞獎勵計劃的6.5萬分,價值約2.5萬美元的額外獎勵。