作为世界上最负盛名的黑客大赛,Pwn2Own从2007年举办至今刚好是第十个年头。在2017年Pwn2Own即将举办之际,主办方ZDI发布了一篇名为”Pwn2Own—The Root of Research”的博客,回顾了十年间Pwn2Own在推动网络安全方面所做的贡献。中国安全团队360Vulcan在2016年攻破最难项目Chrome,全过程使用了谷歌、微软和Adobe三家厂商的三款产品的四个0day漏洞,成功完成了看似不可能完成的任务,成为唯一被ZDI在十周年总结中点名提到的参赛团队。
每年3月,安全圈的目光都会聚焦在加拿大温哥华举办的Pwn2Own黑客破解大赛上。就像时尚圈里迷人的巴黎T台一样,Pwn2Own这个赛场引领着安全圈下一个年度的漏洞研究风向,也检阅着各国参赛队伍的安全内功。
参赛者对微软、谷歌、苹果等主流厂商的最新浏览器和操作系统产品,使用0day漏洞进行现场破解演示,使用的漏洞将提供给相关厂商进行修复。由赛事掀起的一场场漏洞研究热潮,将持续敦促厂商出台漏洞缓和措施,提升产品的安全性,更好地保护用户的安全。
主办方ZDI透漏,相较于2007年只用一个简单的漏洞就能攻破目标,如今漏洞利用难度逐步提高,想要攻破比赛中的高难项目,没有几个0day漏洞傍身几乎是不可能的。对于普通用户来说,软件和系统的安全性提升当然是好事;但对于参赛者而言,压力却是一年比一年大。2015年,曾经在Pwn2Own上实现四连冠的法国“网络军火商”VUPEN就因比赛难度增大而奖金减少而公开退赛。
ZDI在博客中提到,360Vulcan团队利用一个Chrome浏览器渲染引擎漏洞、两个Flash的UAF漏洞、再加上一个微软内核漏洞,成为攻破Chrome并获得系统权限。这也证明了比赛难度在过去十年间正在与日俱增。
“台上一分钟,台下十年功”,这句话用来形容安全研究人员一点也不过分。赛场上执行攻击代码也许只要短短的几十秒,但电光火石的背后却是动辄几百个小时的专项研究和多年来苦修的坚持。
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
