日前,美国NBC环球集团旗下的全球性财经有线电视卫星新闻台CNBC对一场在加拿大温哥华举行的黑客大赛Pwn2Own进行了报道,CNBC报道称,来自中国的一支安全研究团队360Vulcan Team在本届Pwn2Own黑客大赛中,因仅耗时17秒即率先攻破微软Win8.1系统和最新的IE11浏览器,而受到来自主办方ZDI安全专家的称赞。
据CNBC报道,本届Pwn2Own大赛IE的挑战难度极大,较以往有较大幅度的提升,而除了IE以外的Adobe Flash和Adobe Reader的挑战难度则相对较低。360Vulcan Team选择高难度的IE进行挑战,就好象高台跳水,起评分就比挑战其他项目的团队要高。
随着360的安全研究团队在Pwn2Own大赛中夺冠,欧美国家在该项目上长期统治地位亦被360打破。今年的Pwn2Own,IE项目夺冠的含金量更远远超过2014年的“独角兽”大奖,因为除了也要完成“独角兽”大奖的要求,还需要挑战新增隔离堆、延迟释放、CFG等微软新增的安全机制,并遵守禁止重启/注销的规则。业内比喻本届攻击IE的难度就如同“蒙上眼睛打移动靶”。CNBC报道称,360研究团队成为亚洲9年来首次在世界黑客大赛中攻破IE的团队。
另一只中国团队Keen Team,也成功拿下了浏览器插件Adobe Flash和Adobe Reader的项目。开赛30秒,Keen Team的捷克籍外援选手Peter就攻破了Adobe Flash。在随后的Adobe Reader PDF阅读器项目中,Keen Team的全能选手陆吉辉又用时60秒攻破Adobe Reader。相比攻破IE浏览器来说,攻破Adobe这两个插件的难度要低得多。
微软安全响应中心负责人褚诚云对这两支来自中国的技术团队都表示“点赞”,他说:“这次Pwn2own上,360Vulcan Team和KEEN Team提交的攻击都非常精彩!”
美国科技网站Tomsguide援引HP ZDI安全专家Bryan Gorenc的话称:360Vulcan Team攻破了64位机器上完全开启了微软EMET的IE浏览器,简直太神奇了。HP ZDI是Pwn2Own的主办方,连美国五角大楼等军方机构都出资向其购买漏洞,因此,ZDI既是黑客界不折不扣的顶尖高手。
据悉,360Vulcan Team今年首次参加比赛,就成功拿下了攻破IE这个高难度的项目,另一支参赛的中国团队KEEN Team虽已是第三年参加比赛,但选择了难度相对较低的项目进行,或是为了在比赛中保持成绩。尽管两支团队都在Pwn2Own比赛中获得了奖项,但360安全研究团队的水平基本代表了中国网络攻防的最高水准。
CNBC报道称,360Vulcan Team负责人MJ0011接受采访时表示,选择攻击高难度的IE,是考虑到IE是中国主流的应用软件,而且本届64位的IE11也极具挑战性。360Vulcan希望通过比赛证明,攻防无止境,只有不断创新和进步才是最好的安全解决方案。