开办至今,国际最知名的黑客赛事Pwn2Own已经走到第九个年头。Pwn2Own 以高额奖金著称,由ZDI 主办,另由Google、Microsoft、Apple和Adobe 等科技公司提供支持。主办方ZDI归属 hp TippingPoint项目组,是五角大楼的网络安全服务商。
常规赛程里包含对用户权限和系统权限的提取和控制,其中运行硬件、运行系统及版本、对象软件及版本,及其它安全措施都由举办方决定。
一般而言,黑客们需要在比赛中攻破(括号内为今年设定的奖金):
Windows 环境下:
Chrome 浏览器(7.5 万美元)
Internet Explorer 浏览器(6.5 万美元)
Mozilla Firefox 浏览器(3 万美元)
运行在Internet Explorer 中的 Adobe Reader (6 万美元)
运行在Internet Explorer 中的 Adobe Flash (6 万美元)
Mac OS X 环境下:
Safari 浏览器(5 万美元)
此外,攻破相应程序获取用户权限后,进一步获取系统权限还能获得2.5 万美元的额外奖金。
今年举办方设定的标准待攻破环境里,除Windows下的 Mozilla Firefox 外全部为64位版本软件,其中Windows 下开启 EPM (IE 的沙箱机制)安全防护及 EMET 防漏洞软件。这些几乎都是往期赛事中可以获得额外奖金的条件,所以今年某种意义上而言奖金总额较去年有所下降,以至于赛事的四连冠法国团队Vupen 选择退出比赛。
Vupen 素有“军火商”之称,因其漏洞挖掘和利用能力极强而已出售相关信息、方案获利。所以本次他们退出比赛,在业内人士看来更多的是难度增加前提下奖金减少,而不是条件受限。
然而Vupen 的退出对本届Pwn2Own 赛事“观赏性”和顶尖程度的影响并没有那么严重,因为参赛队伍中还有国内的 Keen Team 和来自 360 的安全研究团队,以及首次亮相本届赛事的韩国队伍,而 Vupen 两名成员也以个人名义化名参与到比赛中。
Keen Team 曾在东京Pwn2Own Mobile 2013 中远程攻破 iOS 7.0.3,从而成为中国安全领域的第一个该项赛事世界冠军,Vupen 也通过其官方微博向 Keen Team 表示祝贺。他们在两年内共获得三项冠军。至于韩国队,目前并没有公开资料表明背后成员的身份和实际水平,但国内安全界依然表现出相当的重视,并有猜测可能参赛的是所谓“国家队”。
从报名信息上看,国内的360和Keen Team 两支团队在参与项目方面刚好错开:360 团队参与 IE11 的攻破,而 Keen Team 则选择Windows平台下的 Adobe Reader 和 Flash。此前 Keen Team 的主攻方向为移动领域,而 360 虽然因为产品方向更了解 PC 环境,但属首次参赛。
如上文所述,目前让参赛者最没把握的还是“韩国队”。信息安全在韩国有很高的地位:黑客竞赛成果可抵高考成绩,信息安全公司雇员可免服兵役。因为上届比赛出现过部分选手在赛程中电话求助,所以有人猜测该韩国参赛者JungHoon Lee 背后有多名安全高手支持,即“以举国之力”塑造一个强者。不过也不排除这名参赛者本人能力精湛。
比赛条件变得严苛,奖金一定程度缩减,和顶尖业内“军火商”的退出不免让一部分人感到本届Pwn2Own 在安全技术领域的象征意义有所减少,而更像是一场“电子竞技”。更有趣的是,中国、韩国团队即将到来的交锋让“电子竞技”这个定义添上深一步的色彩。
经历2014 年多个大公司的安全事件,多种关键产品的漏洞曝光,在越来越多线下信息、资产被信息化的当下,数字安全变得像社会治安一样严重的领域。各国在互联网和数字科技发展进程中都在储备这一领域的人才和技术能力,比赛只是这个过程的商业化缩影。
玩笑归玩笑,说“电子竞技”终究只是像,今年的 Pwn2Own 依然代表国际安全界最顶尖的水平,尊重每一个参赛队伍,祝他们顺利。