在安全领域,Pwn2Own一直是世界上各路顶尖黑客的荣誉圣殿,这不仅仅是因为其奖金最丰厚,更为重要的是,对安全研究人员来说,如果能在Pwn2Own上获奖,意味着其安全技术已经达到世界领先水平。
除了个人荣誉,Pwn2Own还是各国家队的角逐场。对于各国参赛团队来说,Pwn2Own上的表现可直观反映该国的网络攻防技术实力,其意义如足球赛事中的“世界杯”。
历届黑客“世界杯“Pwn2Own大赛上,美国、中国、法国、韩国、澳大利亚等安全技术强国都是赛事常客,且均有斩获。如果不出意外,在3月16日至17日的Pwn2Own 2016上,这些国家的队伍将如期参赛,向比赛项目发起最强冲击,争夺巨额奖金和“世界破解大师”称号。
各国的实力究竟如何,谁最可能成为本届大赛的“世界破解大师”?
美国队:“神奇小子”George Hotz
对于美国来说,George Hotz一人足矣,要什么团队。
“神奇小子”George Hotz展示他攻破的苹果手机
1989年出生的George Hotz年少疯狂,如大神一般屹立在黑客世界中,他曾因第一个攻破第一代iPhone、iPhone 3GS、索尼PS3而名声大噪。要知道,在2007年8月攻破第一代iPhone时,他才17岁,当时他用破解的手机换到了一部日产350Z跑车(07北美款售价55-58万RMB左右)和三部未破解的iPhone手机。
George Hotz以个人名义代表美国至少参加了2013和2014两届Pwn2Own,并成功攻破Firefox和Adobe Reader获得冠军。此外他还经常单枪匹马横扫国际CTF赛事刷分,一人单挑来自世界各地的黑客强队。
2015年,神奇小子George Hotz在自家车库亲手打造了一台无人自驾驶汽车。
中国队:“全明星阵容”腾讯安全战队
腾讯安全战队已确定征战今年的Pwn2Own, 与美国、法国、韩国等强队同台竞技。此次出征的腾讯安全战队由新成立的科恩实验室成员和电脑管家安全研究员组成。
参加此届Pwn2Own的腾讯安全团队可谓全明星阵容。其中科恩实验室团队是腾讯安全新成立的一支专注于云计算与移动终端安全研究的白帽黑客队伍,核心成员多来自原Keen Team。这支队伍的核心成员曾经三年夺得五个Pwn2Own冠军,攻破过iOS、Windows、MacOS X等系统,以及Flash与Reader插件。电脑管家队员去年第一次参加该赛事便大放异彩,一举攻破IE浏览器PDF插件拿到该项目世界冠军,今年是第二年征战Pwn2Own。
腾讯安全战队成员Pwn2Own 2015夺冠
腾讯安全的科恩实验室核心成员也是最早参加Pwn2Own,并夺冠的中国黑客,此后在国内推广Pwn2Own大赛模式和参战经验,引导更内更多安全团队一同走向世界舞台,展示中国安全实力,与国际强队切磋交流。
法国队:最强“漏洞供应商”Vupen Security
法国的Vupen Security堪称网络安全领域最强的漏洞供应商,这家公司其中一项主要的业务就是挖掘漏洞,并进行合法交易。因为Vupen Security内部安全研究团队能够独自完成高难度的漏洞挖掘工作,然后与北约、澳新美、东盟的成员国或合作伙伴的执法机构、政府以及国防部进行合法交易。
Vupen主力队员与腾讯安全科恩实验室成员陈良、方家宏
自2011年开始,Vupen Security每年都会出现在Pwn2Own赛场上,且战绩彪炳。在2012年和2013年Pwn2Own上,Vupen Security连续登顶第一名位置。2015年,由于对项目奖金不满,Vupen Security宣布放弃惨赛,或许今年会重返战场。
韩国队:举国打造的“黑客神童”JungHoonLee
韩国黑客“神童”JungHoon Lee在比赛中
去年,黑客“神童”JungHoon Lee以一己之力报名参加了Chrome、IE和Safari三个高难度项目,最终全部拿下,一战成名,轰动业界,成为韩国的明星。之后,JungHoon Lee又在同年的DEFCON CTF黑客大赛上助力DEFKOR团队力压上届冠军团队PPP,成为首个赢得DEFCON CTF冠军的韩国黑客团队。
虽然业内普遍认为,“神童” JungHoon Lee是由背后庞大的韩国黑客“国家队”在支持,其本人是韩国造神的结果,但一年内两个世界黑客大赛上的不凡表现足以证明其拥有一流的技术实力,绝对不容小觑。
澳大利亚:微软十万奖金获得者James Forshaw
来自澳大利亚墨尔本的James Forshaw是一名名副其实的白帽黑客,以提供网络防御技术为职业,在Pwn2Own 2013上,James Forshaw个人参赛,成功攻破Windows 8 Java项目,当年也获得了微软高达100,000美元的高额漏洞奖金。2015年,James Forshaw发现了TrueCrypt中的两个重要漏洞,被全球媒体关注和报道。
虽然目前还不知道James Forshaw是否参加今年的Pwn2Own,但如果其参赛,将是巨额奖金的有力争夺者。
除以上常见的国家团队外,每年还有其他不同国家的黑客团队参赛,竞争十分激烈。
纵观历届比赛冠军,以总项目冠军数量对比来看,中国的科恩实验室和法国的Vupen Security无疑是最强阵容,也最具有争夺“世界破解大师”的可能。但由于Pwn2Own比较特殊的赛制,让每个项目的最终胜出者存在一定的“运气”成分。
这个特殊的赛制是:多个团队同时攻破一个项目,会通过抽签决定比赛的先后顺序,而不是同时进行比赛,且只要攻破就视为成功。关键在于,抽签第一个上场,且成功攻破的团队会获得全额奖金,视为获胜,而后面上场的、成功攻破的其他团队只能拿到一半的奖金。这也就是说即使成功攻破参赛目标,但由于抽签原因会影响奖金和排名。
当今网络安全的本质是攻防对抗,主动防御,而非过去被动的安全思维。谷歌、微软、苹果、Adobe等厂商便是通过这种方式悬赏黑客帮助其发掘漏洞,并及时提供补丁,升级系统,以确保用户的安全。事实上,Pwn2Own就是在政府机构和厂商的支持下,鼓励和吸引全球最顶尖的黑客团队研究并发现最新版的系统漏洞,在比赛现场进行攻击演示,帮助厂商第一时间修复漏洞,完善产品、提高系统安全性。