Pwn2Own黑客大赛谁最牛？看完这个你就明白

mafali9075

　  这两天Pwn2Own黑客大赛闹得沸沸扬扬，很多参赛团队都号称夺冠。那么问题来了，全世界黑客谁最牛？
　  那么我们要先搞清楚，乔丹和马拉多纳谁更强？答案是无解的。因为在黑客届，研究方向也是五花八门，搞WEB的、搞二进制的，各种平台百花齐放，研究方向、深度和广度都各有侧重，没办法像高考一样比个状元出来。而在Pwn2Own这样的比赛里，包括抽签顺位的运气、有没有“撞洞”等等规则都会对奖金产生影响，也不能简单量化排出个天下第一。
　　现在我们就抛开无谓的纷争，从比赛规则和项目含金量来深入了解下Pwn2Own2015黑客大赛，至于谁是牛人、谁是水货，相信每个人心里都有一杆秤。
　　一、抽签很重要
　　如果你要参加Pwn2Own，记得要从平时开始攒人品。在Pwn2Own比赛场上，如果选择攻打同样的目标，所有选手并不是同时开始比赛，而是抽签决定谁先上。假设选手们同样都能攻打成功，那么手气好的抽到第一个出场则能打赢全奖。手气不好的则只能在后面出场，即使攻打成功，也只能拿到一半的奖金。
      
　　二、难度加大，奖金减少
　　Pwn2Own在所有黑客大赛中，一直以高额奖金著称，虽然其对技术的要求近乎苛刻，还得交万元人民币的报名费，但还是有众多顶尖黑客团队从世界各地慕名而来。但是让很多黑客不满的是，今年Pwn2Own的比赛难度明显加大，尤其是IE，攻破难度已经超过去年价值15万美金的“独角兽”大奖（去年无人获奖），奖金却少了一大半。VUPEN创始人ChaoukiBekrar为此公开吐槽并宣布退赛。
      
　　三、IE难度史上最高
　　Pwn2Own以Chrome、IE、Safari、Firefox等常见浏览器以及IE的Flash和PDF插件作为主要攻击目标。今年奖金最多的仍然是Chrome，7.5万美金；其次是IE，奖金6.5万美金。
　　但是今年Pwn2Own 对IE增加了几个特殊要求——不仅要攻破IE11的增强沙箱保护和64位进程，还要突破微软最新版本的EMET漏洞防御工具（这些都是非默认配置），同时禁止通过注销或重启实现攻击，可以说这次IE的攻击难度史无前例。
      
　　四、[b]亚洲团队首次攻破IE
　　Pwn2Own自2007年创办以来，至今已经第九年。但是九年来，没有亚洲团队在比赛上攻破IE，欧美国家在该项目上占有绝对统治地位。
　　不过让人惊喜的是，今年首次参赛的360Vulcan Team在17秒内一举攻破IE11，给中国黑客圈大大的长了脸，让老外也知道中国安全技术顶呱呱。
      
　　五、前“VUPEN主攻手”暴打Adobe刷奖
　　VUPEN虽然没有来，但之前VUPEN团队的主攻手Nicolas Joly却从VUPEN离职，以个人名义参加了此次比赛。从参赛项目来看，Nicolas Joly也选择放弃挑战IE，而是把攻击目标锁定在了难度相对较低的Adobe Reader和Adobe Flash上，以两个低难度项目拼更多奖金。最终Nicolas Joly一人打下9万美元奖金。
      
　　六、腾讯猛抱KeenTeam大腿
　　前些天大赛主办方ZDI公布参赛名单时，中国两支团队360Vulcan Team和Keen Team格外引人瞩目，当时并没有腾讯的影子。
　　然而令人诧异的是，就在比赛正式打响后，Adobe Reader的挑战者忽然变成Keen Team和腾讯管家联队。业内传闻，腾讯看到360组队参赛后，立刻向其投资过的Keen Team施压，要求在比赛里把腾讯的名字也带上。而在比赛过程中，腾讯的“参赛人员”全程都在一旁围观，并没有对Keen Team攻破Adobe Reader做出任何贡献。只是在赛事结束拍照时，腾讯人员才举着广告合影。这也算是抱着Keen Team的大腿刷下存在感了。
      
　　七、XX秒攻破真靠谱吗？
　　上面吐槽了腾讯，再说360高调宣传的“17秒攻破IE”。事实上业内都明白，Pwn2Own的比赛就是个演示，攻击代码是赛前早已经准备好的，上场就是操作一下。手快的十几秒搞定，手慢的几十秒搞定，没有本质差别。
　　俗话说得好，台上一分钟，台下十年功。挖掘漏洞和深入研究漏洞的原理、攻击方式、防护方案，都需要长时间的积累。17秒，您找屏幕坏点呐？
      
　　八、Firefox赤膊上阵
　　Firefox可以说是Pwn2Own比赛中安全性最差的浏览器。在2014年Pwn2Own上，Firefox就被打成了“筛子”，总共被四组参赛选手用四种方法轮流攻陷。
　　其实，Firefox最大的短板是没有沙箱，基本相当于赤膊上阵，堪称本次比赛头号“软柿子”。
      
　　九、韩国“神童”以一敌三
　　传说中的韩国黑客“神童”JungHoon Lee一口气报名参加了Chrome、IE和Safari三个项目。而这三款浏览器，也被公认为本届比赛难度最高的三个目标。
　　不过这个被冠以“神童”的韩国人，背景可能没有那么单纯。业内传说JungHoon Lee单挑三大浏览器只是韩国政府的“造神”伎俩，这个“神童”背后站着的其实是庞大的韩国黑客“国家队”。
　　实际上，韩国、日本都格外重视对安全攻防人才的培养，培养黑客从娃娃抓起，一路保送上大学，先是打CTF攻防比赛成为职业选手，如今又力图在Pwn2Own黑客大赛上扬名立万。
      
　　十、被攻破的软件厂商才是大赢家
　　很多人都很关心比赛利用的0day漏洞是否会泄密？实际上完全不必有这种担心。无论是Pwn2Own，还是其他有奖金的黑客比赛，在比赛结束后，所有选手找到的漏洞都会一并提交给厂商进行修复。这也是包括微软、苹果、谷歌这些互联网巨头举办黑客比赛的目的之一，花小钱补大漏洞，何乐而不为。
      
         原文地址：http://mt.sohu.com/20150320/n410071897.shtml

hddcn

我是第一个把帖子看完的？

这样痴痴爱着你

。。。。。。。

zmyx279323199

我没猜错，俩家又开始撕逼了

feelingdld23

想不到开源的firefox安全性那么差

花月

西贝上也有这个文章

HEMM

剧情那么多，偶的小脑袋瓜都转不开了。
总之获奖了是好事儿，加油！

【乱】

http://city.chinadaily.com.cn/qi ... 15-03-20/87964.html

国内就喜欢玩媒体效应
据说腾讯也就跟keen 上去赚眼球的  
然后数字天天宇宙第一 真欢乐 互联网又不是北朝鲜 干嘛各家拿个奖项就宣传下 全球第一  国内第一 云云

白露为霜

360不错啊，就希望慢慢的去掉oem

renjiaqi

root1605 发表于 2015-3-22 07:57
360不错啊，就希望慢慢的去掉oem

为什么要去掉oem啊？oem别人家的引擎和发展自己的技术又不冲突，还能提高查杀和防御能力