近日,世界知名黑客团队Vupen退出Pwn2Own大赛的消息在IT圈内引起了轩然大波,关于其退赛的猜测、讨论异常火爆。Vupen几乎是世界范围内最强大的黑客组织之一,有着网络世界“战争之王”的显赫称号。此次Vupen突然宣布退赛,业内的声音主要分成两派:一是Pwn2Own比赛难度太高,二是奖金太少了。
图1:最强黑客团队Vupen成员
“无孔不入”的黑客传奇Vupen
Vupen团队简直只能够用“业内传奇”这四个字来形容。因为现在该团队几乎已经完全摆脱黑客恶名,成为北约、澳新美、东盟等国家的“座上客”,化身正式的“国家公务人员”。如今Vupen的职责就是继续挖掘chrome、iOS等系统的漏洞,并以一定价格卖给国家政府或其它同级执法机构,牟取收益。要知道不论是Google的chrome、亦或是Apple的iOS,防护系统都是非一般的缜密,从他们的手中找到漏洞可实在不是易事。
不过这些对于Vupen来说都算不上问题,Vupen领袖贝克拉曾在惠普黑客大赛上夸口,称他已经掌握了市面上六大浏览器的漏洞,想要发起攻击简直易如反掌。事实也并无二致,Vupen团队曾在某大赛上数度攻破Chrome及苹果Mac操作系统,堪称黑客攻击界的“最强之矛”。
铜墙铁壁的黑客大赛Pwn2Own
“伟大的勇士总不缺乏伟大的对手”,Vupen与Pwn2Own大赛的多年纠葛,堪称是黑客界的“特洛伊战争”。实际上,Vupen早年的成名战也正是Pwn2Own大赛:初出茅庐便在最短时间内找到Mac漏洞并成功夺冠。正如古龙所说,“出名也很简单,只要你杀掉现在最有名的那一个就够了”。
而Pwn2Own就是黑客界最富盛名的赛事,其赞助商也是声名显赫的安全巨头:美国五角大楼入侵防护系统供应者TippingPoint。Pwn2Own的赛制也非常苛刻,黑客只有绕过多道防护及权限后才有机会,完成对系统的破解。在Pwn2Own身上折戟的黑客大牛数不胜数,即便是强如Vupen也不曾在Pwn2Own赛事上将所有项目悉数攻破。
并且,本届Pwn2Own大赛再度增加了难度,其中不仅包括“攻破开启EMET、开启增强沙箱保护、启用64位进程的IE”的传统“独角兽”奖,另额外新增“隔离堆、延迟释放,CFG”等安全机制,且禁止注销、重启系统。对于此次比赛的难度,黑客界诞生了一个非常贴切的比喻,那就是“闭着眼睛打移动靶”。
黑客界攻防德比或成绝唱
对于黑客迷来说,Vupen与Pwn2Own的每次碰撞,其纠结、精彩程度绝不亚于巴萨和皇马的世纪德比。但此次Vupen的退赛声明却给围观群众泼了一盆凉水。从过往参赛赛经历来看,Vupen连取四届冠军,虽没有染指“独角兽奖”,但也绝对是Pwn2Own大赛上的第一主角。
图2:Vupen团队放弃本届Pwn2Own大赛
于是网上对Vupen为何要退出Pwn2Own的猜测层出不穷。有知乎网友分析,Pwn2Own虽然大幅提高了比赛难度,但Vupen此次退赛的主要原因却是奖金数额无法与攻破难度相匹配,与其费心竭力的找到漏洞并提供给赛事举办方,还不如直接卖掉来的实惠。
Vupen团队核心人员的推特中也提到了钱的问题:“难度大幅增加还减少奖金的Pwn2Own比赛已经无异于一个笑话,64位、EMET、增强沙箱、禁止注销/重启系统……呵呵,还是明年再见吧”。除了奖金,推特中额外提到的专业术语全部都是本届Pwn2Own的攻破条件。在经历多年Pwn2Own大赛扬名立万后,Vupen已经不需要再参赛博取名声,自然也没必要为65000元美金暴露其价值珍贵的攻击技术。
放弃Pwn2Own是到底出于何种考虑,想必也只有Vupen自己了解;而2016年的Pwn2Own大赛Vupen是否回归,也是个未知数。但对于安全爱好者来说,Vupen与Pwn2Own的巅峰之战或许只能化作一曲绝唱汇于记忆深处,纵时光流逝,历久弥新。
恐怕自此Pwn2Own大赛只有坚盾,再无利矛。