北美地区最具影响力之一的信息安全大会 CanSecWest和世界黑客大赛Pwn2Own在加拿大温哥华落下了帷幕,因为难度的极大提高,最终这个世界黑客大赛变成了亚洲中韩之间的“乒乓”大战。
中国黑客军团除了在Pwn2Own破解大赛中斩获了28.5万美元的奖金之外,还先后攻破了Chrome浏览器、Adobe Flash Player和微软Edge浏览器,其中360Vulcan团队在所有参赛团队中独家攻破了此次大赛中难度最高的项目Chrome,而腾讯派出的三支安全团队展现了多人作战的集团力量,让韩国神童黯然失色。
此次有5个队伍参加了此次比赛,他们分别是来自中国的360Vulcan Team、腾讯Shield安全战队、腾讯Sniper安全战队、腾讯玄武实验室和个人出战的韩国神童黑客JungHoon Lee (去年他一人攻破IE11、Chrome和Safari浏览器,独揽22W美元大奖)。
以下是参赛队伍参加比赛项目和比赛结果:
在本次开赛前,网络安全行业知名媒体Freebuf就对此次设立的比赛项目难度进行了排名,从比赛结果也印证了Freebuf的判断。Chrome成为本次比赛中难度最高项目,只有360 Vulcan Team一支团队成功,就连以往战无不胜的韩国神童黑客也失手了。
Adobe Flash相对难度比较低,360和腾讯的3支队伍总共有4支队伍都选择了这个项目。
谷歌Chrome之所以这么难,很容易让人联想到上周刚刚在围棋人机大战中战胜了李世石的AlphaGO,作为AlphaGO的同门兄弟,谷歌Chrome一直代表着谷歌安全防御技术的最高水平。除了全球闻名的“黑客天团”GoogleProject Zero以外,谷歌还拥有上千台服务器以深度挖掘技术对Chrome等产品进行漏洞测试,其计算能力完全不亚于AlphaGo,此举大大降低了Chrome漏洞被外界发现的概率。
同时,Chrome还拥有全球唯一能够锁定Windows内核攻击面的沙箱系统。当沙箱上锁后,攻击代码对外部的资源不再具有访问权限,Chrome也因此在历届Pwn2Own大赛都成为黑客面临的终极挑战,最新版Chrome的安全系数相比往年更是有着飞跃提升,攻破Chrome并获得系统控制权几乎被认为是“不可能完成的任务”。
360 Vulcan Team成功突破谷歌Chrome一定程度上印证了这支来自360的黑客团队的技术能力已经处于国内甚至全球的领先水平。
最后不得不提一下《瓦森纳协定》,之前有报道说可能是瓦森纳协议导致了欧美选手不来参赛,但其实并不是这样。
2015年新添的《瓦森纳协定》条款禁止出口,包括“特殊设计”的或是修改以逃避“监视工具”检测的软件,以及令“保护措施”无效的软件。这也就意味禁止在协议国和非协议国之间互通漏洞信息。
目前《瓦森纳协定》共有包括美国、日本、英国、俄罗斯等41个成员国,以Pwn2own为例,比赛在加拿大举办,加拿大本身就是协议国,此外无论是协议国(韩国),还是非协议国(中国)都有人参加,这就说明了瓦森纳体系根本不是限制欧美选手参加这类比赛的原因。
再举个例子,瓦森纳体系在去年就已经通过了漏洞限制,而在去年的Pwn2own大赛上,依然有欧洲选手参与了一些低难度的项目,Firefox、Pdf等。真正的原因在于目前这些比赛的难度非常高,只有在该领域具备全球顶尖实力的亚洲选手才能够顺利挑战。因此,事实上从2013年开始,就再也没有欧美选手能够攻破Chrome浏览器了。