繼今年年初中韓黑客在加拿大Pwn2own黑客比賽上包攬所有項(xiàng)目冠軍后，新一代Pwn類型的黑客比賽就在東半球此起彼伏，大有替代老牌Pwn2own之勢(shì)。從三月新加坡舉辦的Pwn0rama移動(dòng)黑客比賽，到八月北京舉辦的第二屆HackPwn硬件挑戰(zhàn)賽，轉(zhuǎn)眼到了十一月，在韓國(guó)首爾又一場(chǎng)高獎(jiǎng)金、高規(guī)模的黑客大賽PwnFest要就開賽了。

　　據(jù)PwnFest官網(wǎng)消息公布，11月10日至11日，全平臺(tái)黑客破解大賽PwnFest將在韓國(guó)首爾舉行。PwnFest采用的賽制和Pwn2wn類似，選手需要使用0day漏洞，對(duì)微軟、谷歌、蘋果、VMWare等主流廠商的最新瀏覽器、操作系統(tǒng)和虛擬機(jī)產(chǎn)品進(jìn)行現(xiàn)場(chǎng)破解。比賽獎(jiǎng)金總額高達(dá)170萬(wàn)美元，創(chuàng)史上Pwn類型黑客破解大賽獎(jiǎng)金數(shù)目之最。

　　五大操作系統(tǒng)、六大熱門軟件 哪個(gè)能保持不敗金身?

　　PwnFest比賽平臺(tái)覆蓋了目前最新的主流軟件作為破解目標(biāo)。操作系統(tǒng)包括最新的Windows 10 RS1、Windows Server 2016、macOS Sierra、iOS10/iPhone7、Android 7.0;軟件則包括微軟Edge瀏覽器、Adobe Flash播放器、谷歌Chrome瀏覽器、微軟Hyper-V虛擬化軟件、VMWare workstation虛擬化軟件、蘋果Safari瀏覽器等。這是目前為止，國(guó)際黑客大賽上選手挑戰(zhàn)目標(biāo)數(shù)量最全面的一次。

　　與廣泛的挑戰(zhàn)目標(biāo)相對(duì)應(yīng)的，是極為苛刻的破解條件。PwnFest比賽選取的都是目前挑戰(zhàn)難度最高、含金量最高的軟件和平臺(tái)，對(duì)于攻破的選手給出了每個(gè)目標(biāo)10~15萬(wàn)美元不等的高額獎(jiǎng)勵(lì)。重賞之下，這些破解目標(biāo)是否還能保持不敗金身呢?

　　先說(shuō)說(shuō)iOS10 + iPhone7項(xiàng)目吧，它的挑戰(zhàn)難度有多大呢?關(guān)注網(wǎng)絡(luò)安全的朋友可能還記得此前攻擊中東iPhone用戶的“三叉戟漏洞”，想破解該項(xiàng)目需要使用的漏洞和“三叉戟”十分相似，而這個(gè)漏洞在黑市上價(jià)格已經(jīng)接近百萬(wàn)美元。當(dāng)然，PwnFest對(duì)于能攻破iOS目標(biāo)的選手也毫不吝嗇，給出了最高18萬(wàn)美元的高價(jià)，比同類比賽的對(duì)應(yīng)項(xiàng)目獎(jiǎng)金高出了近4倍，相比蘋果剛剛公布的號(hào)稱”土豪賞金”的邀請(qǐng)制漏洞獎(jiǎng)勵(lì)計(jì)劃，也是高出了一大截。

　　再來(lái)看看Edge、Chrome和Safari等老牌破解項(xiàng)目，此前的大賽上這些項(xiàng)目就讓不少黑客望而卻步。對(duì)這些瀏覽器，PwnFest給出了最高14萬(wàn)美金的高額獎(jiǎng)勵(lì)，是同類比賽的近兩倍，遠(yuǎn)遠(yuǎn)高出廠商自身給出的漏洞賞金數(shù)額數(shù)倍之多，著實(shí)令人眼熱，也讓人忍不住猜測(cè)，到底黑客們能不能在PwnFest上再次上演“秒破超難目標(biāo)”的奇跡呢?

　　說(shuō)到這兒，不得不提傳說(shuō)中的“頂級(jí)黑客神技”——虛擬化軟件的逃逸和破解。拿VMWare workstation來(lái)說(shuō)，除了在七年前的6.X版本曾被黑客攻破外，至今為止它還未曾有過(guò)被公開逃逸破解的記錄。在今年的Pwn2Own上，主辦方對(duì)該項(xiàng)目給出了75000美金的懸賞，但仍未有選手挑戰(zhàn)成功。本次PwnFest比賽對(duì)VMware Workstation 12.0版本的攻破獎(jiǎng)金提高到了Pwn2Own的兩倍(15萬(wàn)美元)，是否有黑客能夠成功破解這一傳說(shuō)中的不敗神話?這著實(shí)吊人胃口。

　　而微軟力推的新一代Hyper-V虛擬化平臺(tái)，更是從未有黑客得手過(guò)。著名的Windows黑客Alex Ionescu曾在2015年的演講中驚嘆Hyper-V發(fā)布十年來(lái)僅被發(fā)現(xiàn)了兩個(gè)不太嚴(yán)重的漏洞;微軟更是一改此前對(duì)漏洞獎(jiǎng)金的吝嗇和“不付現(xiàn)金”策略，在BlueHat賞金計(jì)劃中將攻破Hyper-V的逃逸漏洞獎(jiǎng)勵(lì)定為了十萬(wàn)美金，足見對(duì)其安全性的信心。重金懸賞下，尚未有人能撼動(dòng)Hyper-V，不知在PwnFest 同樣是15萬(wàn)美金的獎(jiǎng)勵(lì)下，會(huì)不會(huì)出現(xiàn)打破Hyper-V金身的奇跡?

　　　五大互聯(lián)網(wǎng)廠商首次聯(lián)合坐鎮(zhèn) 誰(shuí)是最大的贏家?

　　對(duì)比一些收購(gòu)漏洞的軍火商例如Zerodium、ExodusIntel，PwnFest的獎(jiǎng)金已經(jīng)接近甚至超過(guò)這些黑市價(jià)格。很多人可能會(huì)關(guān)心這次比賽利用的0day漏洞是否會(huì)泄密，被網(wǎng)絡(luò)軍火商用于灰色地帶?實(shí)際上，和Pwn2Own一樣，該比賽挖掘漏洞的目的，是期待與軟件廠商合作，共享漏洞信息，協(xié)助廠商及時(shí)修復(fù)選手們?cè)诒荣愔惺褂玫陌踩┒?，提高普通用戶使用的主流軟件的安全性?/p>

　　正因此，包括微軟、谷歌、蘋果、Adobe和VMware在內(nèi)的目標(biāo)軟件廠商，都將積極參與到PwnFest比賽中，他們將派出技術(shù)人員同主辦方一起作為比賽的裁判，檢查和分享選手的漏洞和攻擊技術(shù)，探究選手是如何挖掘到廠商難以發(fā)現(xiàn)的漏洞，學(xué)習(xí)黑客是如何突破層層安全防護(hù)的重圍，從而及時(shí)修復(fù)漏洞、增強(qiáng)軟件產(chǎn)品的安全性、更好地保護(hù)用戶的安全。

　　值得一提的是，這次比賽是上述五大廠商首次聚集在一起，共同裁定、研究和學(xué)習(xí)最新的攻擊技術(shù)。無(wú)論對(duì)于各大廠商、參賽選手或是普通的安全從業(yè)者來(lái)說(shuō)，PwnFest都是一次難得的學(xué)習(xí)和交流機(jī)會(huì)。“花小錢補(bǔ)大漏洞”，很多互聯(lián)網(wǎng)巨頭都是樂在其中，可到底哪個(gè)廠商能成為最大的贏家，還要看現(xiàn)場(chǎng)選手們的表現(xiàn)。

　　　純金打造的終極大獎(jiǎng)“Lord of Pwn” 究竟花落誰(shuí)家?

　　提到世界級(jí)的黑客大賽，大家想到的一定是黑白灰的色調(diào)配上嚴(yán)肅緊張的氛圍，這回的PwnFest比賽獎(jiǎng)金雖然令人眼熱，但難度也著實(shí)令人望而退步。不過(guò)，PwnFest的主辦方還是花了不少心思，活躍現(xiàn)場(chǎng)氛圍并增加看點(diǎn)。

　　對(duì)于普通用戶來(lái)說(shuō)，除了炫酷的破解秀值得一看外，最大的看點(diǎn)就是純金打造的終極大獎(jiǎng)“Lord of Pwn”(破解之王)了。據(jù)了解，PwnFest比賽引入了一個(gè)類似游戲的“獎(jiǎng)?wù)孪到y(tǒng)”，在選手挑戰(zhàn)成功任意一個(gè)項(xiàng)目后，會(huì)根據(jù)項(xiàng)目的難度、攻破的程度不同拿到不同數(shù)量的金色獎(jiǎng)?wù)拢詈竽玫姜?jiǎng)?wù)聰?shù)量最多的選手，會(huì)得到這個(gè)純金打造的獎(jiǎng)牌。究竟哪個(gè)天才黑客能拿到這個(gè)讓人眼紅、代表了最高榮譽(yù)的獎(jiǎng)杯呢?還是讓我們期待PwnFest破解盛宴的到來(lái)吧。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。