加拿大温哥华——说到奖金总额高达数百万美元的黑客技术挑战赛,似乎“贪婪”带来的“效益”也是相当划算的。四大主流桌面浏览器、加上两个Adobe浏览器插件,均在两场不同的挑战赛中,倒在了黑客社区的“掠夺者”们的脚下。而来自国内Keen团队,亦在CanSecWest的Pwn2Own挑战赛中,拿下了苹果Safari浏览器的“一血”。
Pwn2Own是由惠普赞助、Zero-Day Initiative组织的一项赛事,奖金高达108.5万美元。
在历时两天的比赛中,安全研究人员们在Adobe Flash和Reader,以及四大桌面浏览器——苹果Safari、谷歌Chrome、微软IE、Mozilla Firefox中——不断寻找“突破点”。
最终成绩是,八支队伍获得了85万美元的奖金,另外8.25万美元则捐给了Pwn4Fun做慈善。作为CanSecWest大会的一部分,本次比赛地点在Sheraton Wall Hotel。
在新的Pwn4Fun慈善挑战赛中,我们见到Google Chrome给Apple Safari好好地“上了一课”,因为后者被人攻破并领取了3.2500万美元奖金;而作为Pwn2Own的组织者,Zero-Day Initiative攻破了微软IE,并夺走了5万美元奖金。
两支队伍均将奖金捐给了加拿大红十字会。
Vupen Security的Chaouki Bekrar用手挡住了一个文本编辑器窗口。
为何安全黑客变得愈加有利可图?
来自Vupen Security的Vupen团队,拿下了最大的一笔奖金——40万美元。该公司首席执行官兼首席研究员Chaouki Bekrar表示:“别让高额的奖金欺骗了你的双眼,其实浏览器的安全性已经大有改善了。Pwn2Own的最大价值在于,让大家知道,即使是最安全的软件,亦有受到威胁的可能”。
当然,对于比赛来说,除了丰厚的奖励,还有更重要的事情。他们会将这些漏洞汇报给软件开发商,让他们修复缺陷并强化自己的浏览器,以避免未来可能遭受到的攻击。
“微软、[Adobe]Flash、以及Google,都在比赛前为自家产品打上了补丁,因此它们绝对是已经把压箱底的(最好的产品)都拿出来了。不断增长的奖金,只是吸引书呆子(极客)们的糖果点心”。
来自主办方Zero-Day Initiative的Brian Gorenc。
台上一分钟,台下十年功
Vupen团队拿下了40万美元的奖金,而中国团队(Keen Team)亦凭借攻破Apple Safari和联手攻下Adobe Flash而拿到了65000美元。
不过,他们将这些都捐给了国内的一家慈善机构,用于帮助搜寻在马航MH370失联事件中失踪的人们。
虽然比赛的时间很短,但是在幕后,参赛队伍的工作其实要漫长枯燥且乏味得多。为了拿下这笔奖金,Vupen花费了差不多4到6周的时间。
Keen团队的高级研究员Liang Chen表示,为了开发和利用这个漏洞,他们花费了三个月的时间:“桌面平台的Safari浏览器,要比难搞得多,因为苹果会经常地部署上最新的安全增强功能”。(该团队曾30秒内攻破iOS 7.0.3)
至于最高的单笔奖金——15万美元的“漏洞之王”,则需要特定的技巧:系统要运行Windows 8.1 x64和IE 11 x64,并且需要绕过EMET(Enhanced Mitigation Experience Toolkit)。
然而,并不是所有团队都在挑战中有收获。Bekrar的Vupen就在Oracle的Java和Apple Safari上面品尝到了遗憾的滋味,虽然他们可能也绕过了Safari,但是Keen团队却比他们早了一个小时。
抱着一台Chromebook的Google安全工程师CHris Evans。
相关新闻:以入侵Chrome OS为目的的Pwnium
本周三的时候,Google举办了自家的One Day黑客挑战赛,攻破Chrome OS的安全研究人员,将瓜分总额270万美元的奖金。
尽管Google没有透露参与者的具体数量,但是George Hotz(更牛气的名字叫做"神奇小子-Geohot")在一台HP Chromebook本子上赢得了15万美元的奖金。
有趣的是,第二名获奖者也是在同一款设备上压榨出的奖金。此外,Hotz还在Pwn2Own上拿到了5万美元的Firefox漏洞奖励。
在Google刚开始打造Chrome浏览器的时候,安全工程师Chris Evans就已经在参与了。在本周于温哥华举办的挑战赛上,他拿到了与Gorenc、Bekrar等获奖者类似的奖励。
Evans表示,该公司已经为安全奖励计划和Pwnium挑战赛上的“所犯的错误”而支出了超过300万美元(这自然包括本周在内的Pwnium)。这一趋势仍在加速,7个月前,Google刚刚跨过了200万美元的门槛。
[编译自:Cnet]