最近有两场赛事备受瞩目,一是李世石大战阿法狗,二是俗称黑客“世界杯”的Pwn2Own 2016。当然比起前者,Pwn2Own的曝光量就差太多了,可能主要原因是这比赛太特么迅猛了,11秒赛一局,直播?设备还没架起来就已经结束了!
不知大家今天有没有看到这样一则新闻:黑客“世界杯”上中国用时11秒攻破谷歌浏览器。这里说的黑客,正是在加拿大温哥华参加今年Pwn2Own的中国团队360 Vulcan Team。一看参赛名单才发现,本届比赛基本上给中国队承包了。全部参赛团队中除了之前提到的360 Vulcan Team,还有腾讯的三支安全团队(Sniper、Shield以及玄武安全实验室),均来自中国,此外就只有一只孤伶伶的韩国欧巴JungHoon Lee。
在安全领域,Pwn2Own一直是世界上各路顶尖黑客的荣誉圣殿。历届大赛上,来自世界各国的参赛队或个人会对包括IE、Chrome、Safari、Firefox、Adobe Flash在内,我们经常使用的各种软件展开攻击,用时最短者获胜。
对安全研究人员来说,在Pwn2Own上获奖,不仅意味着可以拿到丰厚的奖金,而且意味着其安全技术已经达到世界领先水平。
膜拜完大神,你一定以为他们就是Pwn2Own的最大赢家。NO!谷歌、苹果、微软都躲在幕后偷笑呢,因为比赛结束后,选手找到的所有漏洞都会一并提交给厂商进行修复。你别看攻破一个Chrome就奖7.5万美元,一个IE 6.5万美元,但漏洞的实际价值远不止那么多。花小钱办大事,还能赚点人气,这就是科技大佬的小算盘。要不然,李世石同学也不会被称作“谷歌高级软件测试工程师”。
当然,Pwn2Own的比赛就是个演示,我们所听到的“5秒攻破Safari,11秒攻破Chrome”,其实只是上场操作时间,攻击代码赛前早已准备好。台上一分钟,台下十年功,秒杀安全系统的背后,是安全研究员日日夜夜的刻苦钻研。
曾看到过这样一个问题:“国家队的黑客水平如何?”有人回答写道:“出名的都在安全公司,无名的都在自己的圈子,匿名的都在国家人才库。”