北京时间3月17日凌晨,代表全球最顶尖水平的黑客攻破大赛Pwn2Own在加拿大温哥华开幕,腾讯安全战队代表中国参加微软 Edge浏览器、苹果Safari浏览器和Adobe Flash等项目,与美国、法国、韩国等网络安全强国同场竞技。
腾讯安全此次以联队的形式参加Pwn2Own大赛,联队由Sniper和Shield两支战队构成,队员均来自腾讯新成立的科恩实验室和电脑管家安全研究团队。其中,Sniper将挑战微软 Edge浏览器、苹果Safari浏览器、Adobe Flash插件三个高难度项目,而Shield战队也参加苹果Safari浏览器项目比赛。虽然两支战队都报选了苹果Safari浏览器项目,但彼此技术差异并未透露。
腾讯安全战队成员Pwn2Own 2015夺冠
Pwn2Own比赛的基本规则是:黑客需发现目标软件及其对应操作系统的未知漏洞,并利用漏洞实现攻破,符合比赛规定的胜出者会获得一定的奖金和积分。
与往届相比,此届Pwn2Own发生了不小的改变。组织方首次设立了“世界破解大师”称号,取消了PDF Reader和Firefox浏览器项目,首次将VMware虚拟机列为破解对象。值得一提的是,VMware项目的攻击目标操作系统和应用都是运行在虚拟机上的,所以此项目也是最值得期待的。
奖金方面,今年的Pwn2Own总奖金池保持在55.75万美元的超高水平线上,额度依然为各赛事之最。其中VMware项目为最高破解奖励项目,奖金高达7.5万美元,谷歌Chrome浏览器和微软Edge浏览器并列其次,都为6.5万美元。
Pwn2Own 2016比赛项目及对应积分
在今年的比赛中,参赛者将被要求在完全补丁版本的64位Windows 10上利用微软Edge浏览器或谷歌Chrome浏览器,以及在OS X El Capitan上利用苹果Safari浏览器,发现和揭露可利用的未知漏洞。
Pwn2Own组织方此前特意强调了近乎苛刻的比赛规则:每个攻击中使用的漏洞都必须是未知的、未发表的,一个特定的漏洞只能使用一次。对目标进行成功的攻击不能需要用户浏览恶意内容,不能重新启动、注销和登录。
作为最具含金量和技术挑战难度的国际舞台,Pwn2Own不仅是每一位顶尖黑客的梦想圣地,也是各参赛国网络安全实力的测试标尺。
参加此届Pwn2Own的腾讯安全战队中的科恩实验室是腾讯新成立的一支专注于云计算与移动终端安全研究的白帽黑客队伍,核心成员多来自原Keen Team团队,此次出征的成员有陈良、Peter Hlavaty、冯震、何淇丹、金龙、许文、傅裕斌与Marco Grassi。与科恩实验室携手参赛的电脑管家团队今年则是连续第二次参加Pwn2Own,参赛队员包括邓欣,尹亮,毛军等。
科恩实验室核心成员是亚洲最早参加Pwn2Own,并夺冠的世界超一流黑客。在今年之前,其核心成员已连续三年参加Pwn2Own,共计赢得五个世界冠军,今年是连续第四年参赛。实验室负责人吴石连续三年获得ZDI全球漏洞计算机挖掘白金贡献奖,被福布斯杂志评价“发现的漏洞是苹果整个安全团队的两倍还多”。
与此同时,去年首次参加Pwn2Own的电脑管家团队实力也不可小觑,其团队成员毛军第一次参加该赛事便一举攻破IE浏览器PDF插件拿到该项目世界冠军,大放异彩。值得一提的是, 2014年腾讯电脑管家就凭借国际权威安全软甲评测机构AV-Comparatives的最佳评级。而作为微软MAPP计划成员,腾讯电脑管家在去年成为微软Win10官方合作伙伴,并推出Win10免费升级服务。
一直以来,Pwn2Own被业内喻为黑客“世界杯”,之所以能吸引全球黑客的目光,不仅因为它是各国技术实力比拼的全球顶级舞台,而且通过选手的较量,能将隐蔽的漏洞挖掘出来,并报给厂商以修复,改进产品的安全性,从而保障广大用户的网络安全。微软、苹果、谷歌、Adobe等互联网科技巨头积极支持赛事的初衷也是希望通过黑客的挑战来完善自身产品。
