這兩年，Pwn2Own在中國的出境率并不低，從中國黑客組團(tuán)參賽Pwn2Own并連連奪冠，到2015年P(guān)wn2Own組織者首次來華……然而，對(duì)于大眾而言，這似乎還是一個(gè)“無關(guān)痛癢”的名詞，但在安全圈內(nèi)，已掀起不小的波瀾。

　　每年3月，全球黑客的目光都會(huì)齊刷刷看向加拿大溫哥華，參賽Pwn2Own的團(tuán)隊(duì)(個(gè)人)大多背負(fù)著奪得“最高榮譽(yù)”的使命。在即將到來的16日，騰訊科恩實(shí)驗(yàn)室、騰訊電腦管家團(tuán)隊(duì)將再次出征Pwn2Own。這一國際黑客大賽被業(yè)內(nèi)人士喻為“世界杯”。那么，今年P(guān)wn2Own有哪些挑戰(zhàn)?為何全球黑客對(duì)它蜂擁不已、另眼相看?

　　(在Pwn2Own上獲獎(jiǎng)象征著安全研究已達(dá)到世界領(lǐng)先水平)

　　高額報(bào)名費(fèi)VS高額獎(jiǎng)金，比拼的是什么?

　　Pwn2Own黑客大賽自2007年舉辦至今，已第十個(gè)年頭，其破解目標(biāo)專注于主流桌面操作系統(tǒng)和最新版瀏覽器及其插件。與國際上其他的黑客大賽(如Defcon CTF)相比，其參賽門檻相對(duì)高了許多，據(jù)了解，僅僅注冊報(bào)名就需上萬人民幣。高額的獎(jiǎng)金或是吸引國際黑客參賽的動(dòng)因之一。日前，2016年P(guān)wn2Own獎(jiǎng)金額度分配公布，新增的VMWare Workstation Escape項(xiàng)目獎(jiǎng)金達(dá)7.5萬美金，而谷歌Chrome與微軟Edge項(xiàng)目獎(jiǎng)金同為6.5萬美金。然而，對(duì)于全球的頂級(jí)黑客而言，即便獎(jiǎng)金充滿誘惑力，他們在沒有充分準(zhǔn)備的情況下也不敢貿(mào)然參賽，這場人機(jī)對(duì)抗的“靶心”正對(duì)全球著名互聯(lián)網(wǎng)公司的安全團(tuán)隊(duì)傾力打造的安全體系，考驗(yàn)可見一斑。此外，Pwn2Own的抽簽規(guī)則也是相當(dāng)重要，相較于第一個(gè)出場的團(tuán)隊(duì)(個(gè)人)，后來者即便攻破成功也只能獎(jiǎng)金減半，可見，這場黑客“世界杯”除了比拼技術(shù)，還得拼人品。

　　首增VMware破解項(xiàng)目，誰將奪得最高獎(jiǎng)勵(lì)?

　　2015年，韓國神童黑客憑借贏得Pwn2Own歷史上最高的單次利用獎(jiǎng)金11萬美元、一天內(nèi)共贏得22.5萬美元，成為全球媒體關(guān)注的焦點(diǎn)。2016年，Pwn2Own新增VMWare Workstation Escape破解項(xiàng)目，攻擊目標(biāo)操作系統(tǒng)和應(yīng)用都是運(yùn)行在虛擬機(jī)上，并以額外7.5萬美金的高額獎(jiǎng)金被設(shè)定為今年最為關(guān)注的領(lǐng)域。概念的新穎與項(xiàng)目的高難度，無疑成為參賽團(tuán)隊(duì)(個(gè)人)角逐的重點(diǎn)，而花落誰家也成為安全圈茶余飯后熱議的話題。從歷年P(guān)wn2Own參賽團(tuán)隊(duì)(個(gè)人)的實(shí)力與戰(zhàn)績來看，中、美、韓、法、澳等國家隊(duì)均可能摘得今年最高獎(jiǎng)勵(lì)，而以騰訊科恩實(shí)驗(yàn)室、騰訊電腦管家團(tuán)隊(duì)為代表的中國安全研究團(tuán)隊(duì)成為冠軍的熱門。

　　(在2015年P(guān)wn2Own上中國安全研究團(tuán)隊(duì)奪得世界冠軍)

　　Pwn2Own項(xiàng)目兩大變化或另有隱情?

　　“史上最難黑客大賽”常常被用來形容Pwn2Own，并引發(fā)了圈內(nèi)外強(qiáng)烈的關(guān)注和討論。2015年，Pwn2Own四連冠得主VUPEN CEO公開吐槽Pwn2Own 2015的IE挑戰(zhàn)難度高、獎(jiǎng)金卻變少，并因此毅然放棄參賽。從近兩年P(guān)wn2Own項(xiàng)目設(shè)置上看，全球流行的桌面系統(tǒng)如微軟Windows和蘋果的Mac OS，互聯(lián)網(wǎng)應(yīng)用如瀏覽器應(yīng)用與插件仍是比賽關(guān)注重點(diǎn)。值得注意的是，和去年相比，項(xiàng)目設(shè)置上出現(xiàn)兩大變化，一是減少了Adobe的PDF Reader項(xiàng)目，二是減少或取消Firefox瀏覽器項(xiàng)目。關(guān)于前者官方解釋是因?yàn)楦鞔鬄g覽器都已內(nèi)置PDF閱讀模塊，不再需要第三方插件支持，所以各大廠商對(duì)PDF Reader的安全性關(guān)注度下降;而對(duì)于后者，眾說紛紜，認(rèn)為可能因?yàn)榻衲闒irefox瀏覽器在安全方面沒有作出很大的改善，因此被迫退出Pwn2Own舞臺(tái)。

　　蘋果、微軟仍是Pwn2Own最大挑戰(zhàn)?

　　全球著名的微軟、谷歌、蘋果、Adobe等互聯(lián)網(wǎng)巨頭，歷來是全球黑客挖漏洞的重點(diǎn)目標(biāo)，每年的Pwn2Own也都會(huì)將其列為破解重點(diǎn)。今年的挑戰(zhàn)也不例外，仍然來自系統(tǒng)權(quán)限的獲取，Pwn2Own對(duì)獲取Windows系統(tǒng)權(quán)限(SYSTEM-Level)或Mac OS ROOT權(quán)限(ROOT-Level)的團(tuán)隊(duì)(個(gè)人)將給予額外獎(jiǎng)勵(lì)。此外，近年來在安全性方面提升不小的微軟公司仍然會(huì)使用安全加固和防護(hù)包EMET對(duì)其系統(tǒng)進(jìn)行額外安全加固和防護(hù)，相較去年，今年EMET增加了多項(xiàng)保護(hù)，讓攻擊難度大大提高，對(duì)參賽者來說挑戰(zhàn)之余增添了人機(jī)對(duì)戰(zhàn)的樂趣。

　　世界破解大師(Master of Pwn)如何誕生?

　　較之往年，Pwn2Own 2016的最大看點(diǎn)莫過于引入比賽積分制，除單項(xiàng)冠軍外，設(shè)立了綜合總冠軍的獎(jiǎng)項(xiàng)(Master of Pwn)，也就是所謂的世界破解大師，這代表了國際范圍內(nèi)軟件和互聯(lián)網(wǎng)行業(yè)對(duì)綜合安全研究能力最強(qiáng)的參賽團(tuán)隊(duì)的最高認(rèn)可。也就是說，沿用近十年的靠獎(jiǎng)金說話變成了靠積分說話，而只要達(dá)到比賽要求的漏洞利用展示都可以贏取積分。這一規(guī)則的變化也增加了Pwn2Own的戲劇性與可看性。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。