作为世界上最负盛名的黑客大赛,Pwn2Own从2007年举办至今刚好是第十个年头。在2017年Pwn2Own即将举办之际,主办方ZDI发布了一篇名为”Pwn2Own—The Root of Research”的博客,回顾了十年间Pwn2Own在推动网络安全方面所做的贡献。中国安全团队360Vulcan在2016年攻破最难项目Chrome,全过程使用了谷歌、微软和Adobe三家厂商的三款产品的四个0day漏洞,成功完成了看似不可能完成的任务,成为唯一被ZDI在十周年总结中点名提到的参赛团队。
每年3月,安全圈的目光都会聚焦在加拿大温哥华举办的Pwn2Own黑客破解大赛上。就像时尚圈里迷人的巴黎T台一样,Pwn2Own这个赛场引领着安全圈下一个年度的漏洞研究风向,也检阅着各国参赛队伍的安全内功。
参赛者对微软、谷歌、苹果等主流厂商的最新浏览器和操作系统产品,使用0day漏洞进行现场破解演示,使用的漏洞将提供给相关厂商进行修复。由赛事掀起的一场场漏洞研究热潮,将持续敦促厂商出台漏洞缓和措施,提升产品的安全性,更好地保护用户的安全。
主办方ZDI透漏,相较于2007年只用一个简单的漏洞就能攻破目标,如今漏洞利用难度逐步提高,想要攻破比赛中的高难项目,没有几个0day漏洞傍身几乎是不可能的。对于普通用户来说,软件和系统的安全性提升当然是好事;但对于参赛者而言,压力却是一年比一年大。2015年,曾经在Pwn2Own上实现四连冠的法国“网络军火商”VUPEN就因比赛难度增大而奖金减少而公开退赛。
ZDI在博客中提到,360Vulcan团队利用一个Chrome浏览器渲染引擎漏洞、两个Flash的UAF漏洞、再加上一个微软内核漏洞,成为攻破Chrome并获得系统权限。这也证明了比赛难度在过去十年间正在与日俱增。
“台上一分钟,台下十年功”,这句话用来形容安全研究人员一点也不过分。赛场上执行攻击代码也许只要短短的几十秒,但电光火石的背后却是动辄几百个小时的专项研究和多年来苦修的坚持。