在李世石和AlphaGo的圍棋人機大戰中,人類開局不利,李世石目前以一比三落后于谷歌打造的人工智能“機器人”AlphaGo。此時在大洋彼端,另外一場人機大戰也蓄勢待發,對決雙方是谷歌Chrome、微軟Edge等最新產品和來自全球的頂級黑客。
加拿大溫哥華當地時間3月16日至17日,一年一度的黑客大賽Pwn2Own又將上演,眾多人類黑客團隊將在極為苛刻的條件下參與Chrome、Edge等項目的破解。究竟是機器的防御固若金湯,亦或是人類的攻擊無堅不摧呢?
Pwn2Own大賽,堪稱安全界影響最大的比賽盛會,相當于足球的世界杯、dota2的Ti、LOL的S賽……雖然在安全圈內已經享譽盛名,但在普通人看來,Pwn2Own賽事仍然很神秘,對其知之甚少。那么,Pwn2Own究竟有什么魅力,吸引如此之多的頂級黑客團隊前來參賽呢?
Pwn2Own 2016上,共有5個項目等待黑客團隊破解,分別是VMware Workstation、Chrome、Flash、Edge、Safari。
一、Chrome難度最高
根據以往賽事經驗和網絡軍火商的漏洞交易價格,本屆賽事項目難度的排名分別是Chrome、Edge、Flash、Safari;而VMware Workstation首次參賽,是大賽上一個相對神秘的X因素。
之所以Chrome位列頭名,主要在于兩點。首先,Chrome的沙盒是目前世界上最堅固的,即使攻擊者發現了Chrome的可利用漏洞,也很難突破其沙箱;并且沙箱在上鎖后,對外部的任何資源都不再有任何訪問權限,內核攻擊面被鎖死,其余絕大部分可能的操作系統漏洞攻擊將難以施展。
誰能攻破難度最高的Chrome
其次,谷歌使用上千臺機器針對Chrome產品進行漏洞測試,同時結合了大量新的漏洞發現措施,大大降低了遠程代碼執行漏洞的發現幾率。這個套路是不是很眼熟?沒錯,該方法與最近大出風頭的AlphaGo如出一轍,全部都是利用機器深度挖掘。所以破解Chrome,也是名副其實的一場人類與機器的角力。
作為Google安全防御技術的集大成者,Chrome不僅是本次大賽難度最高,甚至達到了有史以來難度最高的巔峰。面對全副武裝的機器代表Chrome,黑客們是否有機會捍衛人類的驕傲呢?
二、VMware Workstation首度擺擂,難度叵測
本屆的Pwn2Own大賽上,迎來了一個新的擺擂者——VMware Workstation。VMware Workstation是一款桌面虛擬計算機軟件,多用于 IT開發和系統管理,并非大眾普及型產品,因此相對冷門,大多數黑客攻擊者不會將穿透VMware作為重點研究對象。
VMware Workstation成最神秘項目
由于首次參賽,大多選手對于VMware Workstation項目缺乏足夠準備,VMware Workstation也成為整個大賽上最難以推測破解情況的項目。被打成篩子或者保住不壞金身,都存在一定可能。
三、Flash大補丸效果如何
說起篩子,不得不提到安全性飽受詬病的Flash:每年都會爆出大量漏洞,其中高危漏洞不勝枚舉。但是,自從Flash同微軟、谷歌專業安全團隊展開合作后,于去年做出了諸多安全更新,引入了諸多防護機制。
新版Flash能否帶來驚喜
此外,由于本屆比賽的Flash依托于Edge瀏覽器,其“雙沙箱機制”比之前的IE擁有更高的突破難度。自Edge面世一年來,微軟總共只發現了兩個針對沙箱接口的漏洞,安全性可以用飛躍式提升來形容。
而最大的懸念是,就在Pwn2Own大賽的前5天,Flash又引入了一個新的堆管理機制。引入該機制后,Flash漏洞比率將降低到約20%以下。因此,Flash漏洞最新的黑市價格立即水漲船高,漏洞販子Zerodium對能夠繞過堆隔離特性和沙箱機制的手段懸賞10萬美金。對參賽選手來說,時間已成為最大的敵人,重新尋找漏洞并突破防御的時間只剩5天。
那么問題來了,鳥槍換炮的Flash,此次能一夫當關,萬夫莫開嗎?補藥好不好,還要看療效。
四、不拼獎金拼積分
不同于其它賽事,Pwn2Own大賽有一個極其坑爹的設定,那就是只有第一個破解項目的團隊才能獲得全額獎金;而破解順序的先后,全看抽簽結果,獎金的多少很大程度上取決于抽簽結果。
積分機制讓比賽更為公平
好在今年的Pwn2Own引入了全新積分機制,為所有項目設立破解積分,并且將系統提權和繞過沙箱等結果也計算到綜合評分內。這樣不論抽簽先后,只要成功破解就能得到相同的積分,總分最高分者自然也就代表著擁有最強的綜合攻擊力。
五、中國戰隊組團參賽
除了精彩的比賽環節,Pwn2Own大賽上的中國團隊也是另一看點。在各大國際廠商的漏洞致謝榜上,360和BAT都有著相當亮眼的表現。相信在本屆Pwn2Own上,來自國內的戰隊將再次向世界展現中國在網絡攻防領域的技術實力。
中國安全技術獲得肯定
近兩年國內的安全技術發展迅猛,網絡安全的核心技術也逐漸由歐美制造變為國內獨立研發,以BlackHat、DEFCON等安全盛會為例,華人研究員和中國企業也嶄露頭角,與美國、東歐等地區的黑客高手并列成為重要的一極。
六、廠商被攻破,心里卻偷著樂
谷歌、微軟等公司,都是Pwn2Own大賽的主要贊助者。他們要花費重金,請全世界最頂級的黑客來Pwn2Own,難道就是為了打自己的臉嗎?
巨頭們又不傻!按照規定,比賽結束后,參賽者使用的漏洞將悉數提交給廠商修復。要知道,這些漏洞的實際價值,可遠不止獎金那么多啊!所以,Pwn2Own大賽的最大贏家,仍然是谷歌、微軟那些贊助者。
李世石被稱為“谷歌高級軟件測試工程師”
如今距Pwn2Own大賽正式開幕還有不足兩天。不論是難度最高的Chrome,還是第一次登上舞臺的VMware Workstation,都將輪流面對最頂尖的人類黑客的進攻,證明人類智力的重任,只能靠溫哥華的你們了!
京公網安備 11010502049343號