站長資訊網繼今年年初中韓黑客在加拿大Pwn2own黑客比賽上包攬所有項目冠軍后,新一代Pwn類型的黑客比賽就在東半球此起彼伏,大有替代老牌Pwn2own之勢。從三月新加坡舉辦的Pwn0rama移動黑客比賽,到八月北京舉辦的第二屆HackPwn硬件挑戰賽,轉眼到了十一月,在韓國首爾又一場高獎金、高規模的黑客大賽PwnFest要就開賽了。
據PwnFest官網消息公布,11月10日至11日,全平臺黑客破解大賽PwnFest將在韓國首爾舉行。PwnFest采用的賽制和Pwn2wn類似,選手需要使用0day漏洞,對微軟、谷歌、蘋果、VMWare等主流廠商的最新瀏覽器、操作系統和虛擬機產品進行現場破解。比賽獎金總額高達170萬美元,創史上Pwn類型黑客破解大賽獎金數目之最。
五大操作系統、六大熱門軟件 哪個能保持不敗金身?
PwnFest比賽平臺覆蓋了目前最新的主流軟件作為破解目標。操作系統包括最新的Windows 10 RS1、Windows Server 2016、macOS Sierra、iOS10/iPhone7、Android 7.0;軟件則包括微軟Edge瀏覽器、Adobe Flash播放器、谷歌Chrome瀏覽器、微軟Hyper-V虛擬化軟件、VMWare workstation虛擬化軟件、蘋果Safari瀏覽器等。這是目前為止,國際黑客大賽上選手挑戰目標數量最全面的一次。
與廣泛的挑戰目標相對應的,是極為苛刻的破解條件。PwnFest比賽選取的都是目前挑戰難度最高、含金量最高的軟件和平臺,對于攻破的選手給出了每個目標10~15萬美元不等的高額獎勵。重賞之下,這些破解目標是否還能保持不敗金身呢?
先說說iOS10 + iPhone7項目吧,它的挑戰難度有多大呢?關注網絡安全的朋友可能還記得此前攻擊中東iPhone用戶的“三叉戟漏洞”,想破解該項目需要使用的漏洞和“三叉戟”十分相似,而這個漏洞在黑市上價格已經接近百萬美元。當然,PwnFest對于能攻破iOS目標的選手也毫不吝嗇,給出了最高18萬美元的高價,比同類比賽的對應項目獎金高出了近4倍,相比蘋果剛剛公布的號稱”土豪賞金”的邀請制漏洞獎勵計劃,也是高出了一大截。
再來看看Edge、Chrome和Safari等老牌破解項目,此前的大賽上這些項目就讓不少黑客望而卻步。對這些瀏覽器,PwnFest給出了最高14萬美金的高額獎勵,是同類比賽的近兩倍,遠遠高出廠商自身給出的漏洞賞金數額數倍之多,著實令人眼熱,也讓人忍不住猜測,到底黑客們能不能在PwnFest上再次上演“秒破超難目標”的奇跡呢?
說到這兒,不得不提傳說中的“頂級黑客神技”——虛擬化軟件的逃逸和破解。拿VMWare workstation來說,除了在七年前的6.X版本曾被黑客攻破外,至今為止它還未曾有過被公開逃逸破解的記錄。在今年的Pwn2Own上,主辦方對該項目給出了75000美金的懸賞,但仍未有選手挑戰成功。本次PwnFest比賽對VMware Workstation 12.0版本的攻破獎金提高到了Pwn2Own的兩倍(15萬美元),是否有黑客能夠成功破解這一傳說中的不敗神話?這著實吊人胃口。
而微軟力推的新一代Hyper-V虛擬化平臺,更是從未有黑客得手過。著名的Windows黑客Alex Ionescu曾在2015年的演講中驚嘆Hyper-V發布十年來僅被發現了兩個不太嚴重的漏洞;微軟更是一改此前對漏洞獎金的吝嗇和“不付現金”策略,在BlueHat賞金計劃中將攻破Hyper-V的逃逸漏洞獎勵定為了十萬美金,足見對其安全性的信心。重金懸賞下,尚未有人能撼動Hyper-V,不知在PwnFest 同樣是15萬美金的獎勵下,會不會出現打破Hyper-V金身的奇跡?
五大互聯網廠商首次聯合坐鎮 誰是最大的贏家?
對比一些收購漏洞的軍火商例如Zerodium、ExodusIntel,PwnFest的獎金已經接近甚至超過這些黑市價格。很多人可能會關心這次比賽利用的0day漏洞是否會泄密,被網絡軍火商用于灰色地帶?實際上,和Pwn2Own一樣,該比賽挖掘漏洞的目的,是期待與軟件廠商合作,共享漏洞信息,協助廠商及時修復選手們在比賽中使用的安全漏洞,提高普通用戶使用的主流軟件的安全性。
正因此,包括微軟、谷歌、蘋果、Adobe和VMware在內的目標軟件廠商,都將積極參與到PwnFest比賽中,他們將派出技術人員同主辦方一起作為比賽的裁判,檢查和分享選手的漏洞和攻擊技術,探究選手是如何挖掘到廠商難以發現的漏洞,學習黑客是如何突破層層安全防護的重圍,從而及時修復漏洞、增強軟件產品的安全性、更好地保護用戶的安全。
值得一提的是,這次比賽是上述五大廠商首次聚集在一起,共同裁定、研究和學習最新的攻擊技術。無論對于各大廠商、參賽選手或是普通的安全從業者來說,PwnFest都是一次難得的學習和交流機會。“花小錢補大漏洞”,很多互聯網巨頭都是樂在其中,可到底哪個廠商能成為最大的贏家,還要看現場選手們的表現。
純金打造的終極大獎“Lord of Pwn” 究竟花落誰家?
提到世界級的黑客大賽,大家想到的一定是黑白灰的色調配上嚴肅緊張的氛圍,這回的PwnFest比賽獎金雖然令人眼熱,但難度也著實令人望而退步。不過,PwnFest的主辦方還是花了不少心思,活躍現場氛圍并增加看點。
對于普通用戶來說,除了炫酷的破解秀值得一看外,最大的看點就是純金打造的終極大獎“Lord of Pwn”(破解之王)了。據了解,PwnFest比賽引入了一個類似游戲的“獎章系統”,在選手挑戰成功任意一個項目后,會根據項目的難度、攻破的程度不同拿到不同數量的金色獎章,最后拿到獎章數量最多的選手,會得到這個純金打造的獎牌。究竟哪個天才黑客能拿到這個讓人眼紅、代表了最高榮譽的獎杯呢?還是讓我們期待PwnFest破解盛宴的到來吧。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
