谈xp挑战赛——人生如戏 全靠演技

hddu

                                             谈xp挑战赛——人生如戏 全靠演技


好久没熬夜，夜深了好像才能静下心写点东西。每周都会发一篇关于互联网、电商、黑客的文章，本周是黑客话题。

　　微软停止对xp更新这事持续火了好多天，xp的高占有率使得哪家也不愿放下这块肥肉。4.9号是最后一天，由于时差应该是10号最后一次更新漏洞。各路新闻的狂轰乱炸导致有许多人问我xp停止更新还能继续使用否，答案是肯定的，国内用户极少用正版xp，即使停止更新影响不大。当然还是建议更换win7或者win8系统，操作和安全都有很大程度提高。

　　4.5日晴，清明节。微博突然炸开锅式的狂转xp挑战赛的战况，一家业内不太知名的安全公司(合天智汇)挑起了保卫xp的网络安全比赛，有三个安全公司参与，n个挑战者，但是活动没有进行充分宣传(反正我跟多数人一样是当天才知道)。情景是360的员工狂转(此处归纳为企业文化和企业自豪感)，而同参赛金山和腾讯都没啥反应，问金山李铁军和腾讯安全的lake2都表示未曾知晓此事。当然现实也是腾讯管家最先被攻破，几乎是秒破;金山卫士次之;360未被攻破。这里解释一下秒破不丢人，苹果OS不也被吴石团队秒破么?所以坚持到最后也不见得多厉害，XP大赛用的360盾甲不是目前360安全卫士中自带的版本，而是一个需要独立安装的新版，当然不可否认360近几年在网络安全方面的人才储备是全国首屈一指的。另一个是这次活动入侵途径有限制，没有发挥出各路黑客的才能，5w的奖金也不足以吸引各大黑牛放大招，不过写个小病毒木马过三家的免杀几乎是个必须的事。

　　tk教主也点评到：国外类似Pwn2Own这种比赛，选手是来参赛的个人，而不是Microsoft、Google这些厂商，当然厂商们也会非常关注。合天智汇办这个比赛可能主要是为了宣传自己的“在线开放实验”平台，操作上也借鉴了Pwn2Own的方式，但因为可以想象的原因，最后更多意义上变成了目标厂商间的比赛。

　　黑幕和阴谋我也怀疑过，比赛前就怀疑过。事实上我知道这个比赛后做的第一件事就是查举办方的工商注册信息，查法人的信息，查该公司前身的信息。不过没找到证据。有兴趣的人可以继续找，但没找到证据之前，最好仅限于怀疑。

　　比赛的设计确实有点问题，导致了一些质疑(当然，良好设计的比赛，其结果也可能会有人质疑，跑步都还可以怀疑兴奋剂)。我建议，再搞类似比赛，应以“模拟真实环境”为第一要旨。比如，时间可选在XP停止支持后若干月后，用打了最4月8日前所有补丁的XP，分别装上几家的主力安全软件，即当前绝大多数用户安装的那个，进行默认安装，不作任何配置，模拟大多数用户机器的环境。如果这样比赛，可能异议会少一些，至少会更无力一些。

　　尽管这次比赛在设计上有些问题，但我觉得还是值得鼓励。在腾讯、奇虎、阿里等公司的先后努力下，国内的漏洞奖励计划做得已经不输国外，但还没有“Pwn2Own”。我希望这场不成熟的比赛能成为一个起点;希望将来有更成熟的比赛出现;希望这类比赛能成为新人崭露头角的机会;希望厂商能借助比赛更好地和安全社区沟通合作，也许还能收获一些人才;希望聪明而又努力的年轻人能有正当的名利双收的机会，而不必投身网络犯罪。

　　整个过程中言论分3种：1誓死挺360派，以360员工为主;2自动数字黑，这个人群多了去不乏牛人，比较有意思的是腾讯安全发了一条意味深长的微博大概意思是：小辛巴问狮子为什么不跟恶狗决斗，狮子说赢了一条狗会被说欺负狗，而狗却获得敢于挑战狮子的美誉;3中立派，tk教主等都站着哲学立场看待此问题为行业带来的新动力，零我等佩服。有几个插曲，一个插曲是中午到下午三点合天智汇公布战况的官网被ddos致无法访问。另一个插曲是新浪等的新闻虽然是八点多正常发出，但百度服务器可能默认美国时间，把采集的新闻发布时间改成0点，刚好被黑公关利用导致部分不明真相的群众以为这事是内幕操作。百度在此躺着也中枪。插曲三是某黑客在其他网站放出360被秒破，后被说这只是盾甲1.0，非比赛用版本。

　　当天凌晨三点，把网上关于xp攻防赛的观点重新看了一遍。360合理利用了不完善的规则，配合重视和响应能力，本身实力又高于对手，赢得这次比赛从程序而言没有问题。问题在于举办方缺乏从整体考量。由阴谋论、技术战变成pr口水战，最后升华为网络安全从业人员的三观层面，言外之意闭嘴是具有普世价值的，停止空谈，开始行动。

　　总结：360网络安全储备国内首屈一指;360是一家优秀的网络营销公司。

http://www.sootoo.com/content/488657.shtml

cst8899

随着这场“戏”的偃旗息鼓，几位甚是活跃的人物也不见了踪影。。。

One_self

难道一场比赛，是要看时间，看地点，看参赛的人员？

zhang_qiabc

国内厂商都那个德行，无语

【乱】

3家中只有1家参与 其余2家是被参与的（那一家在开始前很活跃）

另外看我签名

我是UD

其实真正活跃的是百度搜索相关结果的网页编辑

有妖气

TK这么牛，自己当天都承认攻不破360了，仅引发了一次蓝屏。


不 知道那些三脚猫们天天都吱吱歪歪说自己能攻破360，到底意欲何为？？？

有妖气

【乱】 发表于 2014-4-13 18:09
3家中只有1家参与 其余2家是被参与的（那一家在开始前很活跃）

另外看我签名

黑客们纷纷表示：攻破腾讯qq升级管家之前，没记得先通知一声，很是遗憾。。。

有妖气

cst8899 发表于 2014-4-13 10:38
随着这场“戏”的偃旗息鼓，几位甚是活跃的人物也不见了踪影。。。

腾讯，赛后表示黑客没提前通知就攻破了QQ升级管家，死不承认。
金山，赛后官方微博禁止评论。

【乱】

有妖气 发表于 2014-4-13 18:41
黑客们纷纷表示：攻破腾讯qq升级管家之前，没记得先通知一声，很是遗憾。。。

黑客们们 有本事把信息公开掉啊 呵呵搞一堆匿名
这种手段任何企业都会啊

看签名，发起商虚假宣传很给力