加拿大温哥华——说到奖金总额高达数百万美元的黑客技术挑战赛,似乎“贪婪”带来的“效益”也是相当划算的。四大主流桌面浏览器、加上两个Adobe浏览器插件,均在两场不同的挑战赛中,倒在了黑客社区的“掠夺者”们的脚下。而来自国内Keen团队,亦在CanSecWest的Pwn2Own挑战赛中,拿下了苹果Safari浏览器的“一血”。 Pwn2Own是由惠普赞助、Zero-Day Initiative组织的一项赛事,奖金高达108.5万美元。 在历时两天的比赛中,安全研究人员们在Adobe Flash和Reader,以及四大桌面浏览器——苹果Safari、谷歌Chrome、微软IE、Mozilla Firefox中——不断寻找“突破点”。 最终成绩是,八支队伍获得了85万美元的奖金,另外8.25万美元则捐给了Pwn4Fun做慈善。作为CanSecWest大会的一部分,本次比赛地点在Sheraton Wall Hotel。 惠普已经汇总出了Day One和Day Two的比赛结果。 在新的Pwn4Fun慈善挑战赛中,我们见到Google Chrome给Apple Safari好好地“上了一课”,因为后者被人攻破并领取了3.2500万美元奖金;而作为Pwn2Own的组织者,Zero-Day Initiative攻破了微软IE,并夺走了5万美元奖金。 两支队伍均将奖金捐给了加拿大红十字会。 Vupen Security的Chaouki Bekrar用手挡住了一个文本编辑器窗口。 为何安全黑客变得愈加有利可图? 来自Vupen Security的Vupen团队,拿下了最大的一笔奖金——40万美元。该公司首席执行官兼首席研究员Chaouki Bekrar表示:“别让高额的奖金欺骗了你的双眼,其实浏览器的安全性已经大有改善了。Pwn2Own的最大价值在于,让大家知道,即使是最安全的软件,亦有受到威胁的可能”。 当然,对于比赛来说,除了丰厚的奖励,还有更重要的事情。他们会将这些漏洞汇报给软件开发商,让他们修复缺陷并强化自己的浏览器,以避免未来可能遭受到的攻击。 “微软、[Adobe]Flash、以及Google,都在比赛前为自家产品打上了补丁,因此它们绝对是已经把压箱底的(最好的产品)都拿出来了。不断增长的奖金,只是吸引书呆子(极客)们的糖果点心”。 来自主办方Zero-Day Initiative的Brian Gorenc。 台上一分钟,台下十年功 Vupen团队拿下了40万美元的奖金,而中国团队(Keen Team)亦凭借攻破Apple Safari和联手攻下Adobe Flash而拿到了65000美元。 不过,他们将这些都捐给了国内的一家慈善机构,用于帮助搜寻在马航MH370失联事件中失踪的人们。 虽然比赛的时间很短,但是在幕后,参赛队伍的工作其实要漫长枯燥且乏味得多。为了拿下这笔奖金,Vupen花费了差不多4到6周的时间。 Keen团队的高级研究员Liang Chen表示,为了开发和利用这个漏洞,他们花费了三个月的时间:“桌面平台的Safari浏览器,要比难搞得多,因为苹果会经常地部署上最新的安全增强功能”。(该团队曾30秒内攻破iOS 7.0.3) 至于最高的单笔奖金——15万美元的“漏洞之王”,则需要特定的技巧:系统要运行Windows 8.1 x64和IE 11 x64,并且需要绕过EMET(Enhanced Mitigation Experience Toolkit)。 然而,并不是所有团队都在挑战中有收获。Bekrar的Vupen就在Oracle的Java和Apple Safari上面品尝到了遗憾的滋味,虽然他们可能也绕过了Safari,但是Keen团队却比他们早了一个小时。 抱着一台Chromebook的Google安全工程师CHris Evans。 [编译自:Cnet]
