作為世界上最負盛名的黑客大賽,Pwn2Own從2007年舉辦至今剛好是第十個年頭。在2017年Pwn2Own即將舉辦之際,主辦方ZDI發布了一篇名為”Pwn2Own—The Root of Research”的博客,回顧了十年間Pwn2Own在推動網絡安全方面所做的貢獻。中國安全團隊360Vulcan在2016年攻破最難項目Chrome,全過程使用了谷歌、微軟和Adobe三家廠商的三款產品的四個0day漏洞,成功完成了看似不可能完成的任務,成為唯一被ZDI在十周年總結中點名提到的參賽團隊。
每年3月,安全圈的目光都會聚焦在加拿大溫哥華舉辦的Pwn2Own黑客破解大賽上。就像時尚圈里迷人的巴黎T臺一樣,Pwn2Own這個賽場引領著安全圈下一個年度的漏洞研究風向,也檢閱著各國參賽隊伍的安全內功。
參賽者對微軟、谷歌、蘋果等主流廠商的最新瀏覽器和操作系統產品,使用0day漏洞進行現場破解演示,使用的漏洞將提供給相關廠商進行修復。由賽事掀起的一場場漏洞研究熱潮,將持續敦促廠商出臺漏洞緩和措施,提升產品的安全性,更好地保護用戶的安全。
主辦方ZDI透漏,相較于2007年只用一個簡單的漏洞就能攻破目標,如今漏洞利用難度逐步提高,想要攻破比賽中的高難項目,沒有幾個0day漏洞傍身幾乎是不可能的。對于普通用戶來說,軟件和系統的安全性提升當然是好事;但對于參賽者而言,壓力卻是一年比一年大。2015年,曾經在Pwn2Own上實現四連冠的法國“網絡軍火商”VUPEN就因比賽難度增大而獎金減少而公開退賽。
ZDI在博客中提到,360Vulcan團隊利用一個Chrome瀏覽器渲染引擎漏洞、兩個Flash的UAF漏洞、再加上一個微軟內核漏洞,成為攻破Chrome并獲得系統權限。這也證明了比賽難度在過去十年間正在與日俱增。
“臺上一分鐘,臺下十年功”,這句話用來形容安全研究人員一點也不過分。賽場上執行攻擊代碼也許只要短短的幾十秒,但電光火石的背后卻是動輒幾百個小時的專項研究和多年來苦修的堅持。
