北京时间3月14号,来自中国的著名“白帽子”团队连续攻破苹果、微软桌面操作系统,获得在加拿大温哥华举行的全球顶级安全赛事Pwn2Own比赛的双料冠军,成为Pwn2Own比赛历史上第一支把电脑桌面操作系统和移动操作系统全部攻破的世界级安全研究团队,更是历史上中国唯一一支参加Pwn2Own并且两次均夺冠的专业安全研究队伍。
中国安全专家,腾讯副总裁丁珂认为,这表明,中国在漏洞攻防领域,已明显处于世界最尖端水平。“这是中国互联网安全的一件大事。”
获得这一成就的,是来自上海碁震云计算科技有限公司的中国著名安全研究团队“Keen Team”。他们在去年日本东京Pwn2Own Mobile 2013比赛中成功攻破当时苹果最新移动操作系统iOS 7.0.3,轰动全球。因为苹果一直认为其操作系统是最为完美无缺的,但在中国“白帽子”面前却败下阵来。而今年本次大赛,“Keen Team”又将PC操作系统突破,这再一次引起世界互联网安全领域的震惊,国外许多媒体已就此做了大量报道。
“Pwn2Own”大赛,是全球最为著名,也是难度系数最高的大赛,其最大的特征是“不出题”,这给“白帽子”的破题带来极大的难度要求。这吸引了全球最为顶级的“白帽子”团队来参赛,并成为全球“白帽子”的一场盛会。
本次比赛依旧由微软、谷歌、苹果、Zero Day Initiative等全球知名软件厂商和安全解决方案提供商提供赞助,提供最新和最安全的主流桌面操作系统、浏览器及桌面应用作为攻击对象,同时创纪录的为获胜参赛队提供了总计超过100万美金的奖金。
在比赛中,担任本次Keen Team主攻手的陈良研究员,用时15秒攻破MacOS X Mavericks 10.9.2,20秒攻破Windows 8.1。其中MacOS,因为大量采用了业内如微软、谷歌等公司最新的高级安全防护技术,在2011年以来连续三年举行的Pwn2Own比赛中从无人攻破,在业内被专业人士喻为“珠峰”。
“Keen Team”团队,是一支国内尚不知名,但在国际上有相当影响力的“白帽子”团队。这个团队的主要成员大多数来自微软,为了中国互联网安全的大业,组建公司,成立“Keen Team”团队。在国内,其主要工作即为世界最著名的尖端操作系统发现漏洞。在过去5年的时间内,该团队向微软、苹果、谷歌等全球知名厂商提交了数百个“严重”级别的安全漏洞,曾经被福布斯杂志评价为“发现的苹果漏洞是苹果整个安全团队的两倍还多”。
对非业内人士来说,人们对“白帽子”尚无深刻理解。腾讯电脑管家总经理吴波介绍说,“白帽子,描述的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人(例如黑帽子)利用之前来修补漏洞”。
“Keen Team”团队技术核心,碁震云计算首席科学家吴石表示,该公司的核心理念为:“未知攻,焉知防”。即为了打好漏洞的攻防,一定要先知漏洞是怎样发生的,从而才有可能真正做好预防,在遇到漏洞攻击时,才能以最快的时间修补漏洞。而这,也正是全球互联网安全领域,会不遗余力地开展漏洞大赛,以提高全球的漏洞攻防能力。
据吴石介绍,Keen Team的计算机系统漏洞挖掘能力已经实现跨系统平台和跨应用,目前针对全球主流的桌面和移动操作系统及应用都已搭建了成熟的高级研究平台,可以持续高效的进行漏洞挖掘和漏洞利用研究,用以最终研制出最安全的保护机制,保障桌面和移动系统的安全性,使得计算机和智能终端的政府和企业用户可以免受高级持续性威胁APT攻击。
吴石进一步透露说,目前,“Keen Team”与微软、谷歌、安卓定制之父CM(CyanogenMod),以及中国的腾讯等软件和互联网厂商均在洽谈更大范围的安全合作。“‘Keen Team’在全球范围内的漏洞攻防方面的作用必将得到充分体现。”
Pwn2Own组织者ZDI透露,本次比赛各参赛队所使用安全漏洞和攻击手段的技术细节会被及时负责任地反馈给相应的厂商,在各厂商发布漏洞修补方法前,比赛组织方和参赛队皆不会对外公布相关技术细节,确保世界范围内用户的系统和应用安全得以保障。
