在刚刚结束的黑客大赛Pwn2Own上,虚拟化软件VMware workstation守擂失败,遭遇360安全战队连环破解打破不败金身。赛后不到一周,VMware官方博客便紧急发布公告表示正着手修复相关漏洞,同时向360等安全团队公开致谢。
Pwn2Own上被攻破的厂商不止一家,微软、苹果、Adobe等产品也纷纷失守。能够在各大巨头中率先宣布补救措施,足见VMware对产品安全性的重视。不过,自家产品被破解,不仅不找黑客的茬,反而向他们致敬,VMware的大厂风范在国际安全行业受到了一致好评。
图:360安全战队成功实现VMware连环破解
VMware是全球虚拟化解决方案的基础组件,可以让一部主机执行多个虚拟化环境。攻破虚拟机意味着黑客从虚拟世界跨到现实世界,并在主机上执行任意代码。该攻击被誉为黑客顶级神技,单独破解虚拟机已十分困难,360在Pwn2Own上攻破Edge、Win10和VMware的连环斩难度更是指数级增长,如果没有精妙的攻防技术根本不可能实现。
正因难度极高,Pwn2Own主办方毫不犹豫地将最难忘一幕颁给了VMware连环破解。而Facebook首席安全官Alex Stamos、Blackhat全球官方评审Daniel Cuthbert等安全大咖也在推特上对该破解表示极为震撼。
图:Blackhat评审、Facebook首席执行官盛赞360
这一被称作“史上最高难度破解”绝技为360赢得了赛事上最高的27个积分和10.5万美元奖金,黑客们奖金和荣誉赚得盆满钵满,厂商则承担着产品被破的风险,这看似不符合逻辑的关系背后,实际上是微妙的利益博弈。
Pwn2Own是全球最知名、含金量最高的黑客大赛,由美国五角大楼网络服务商ZDI主办,各大巨头厂商担当评审。参赛者会将使用的攻击代码提供给厂商,帮助厂商发现未知漏洞,避免恶意攻击。也就是说,VMware可以通过比赛免费收集全球顶尖黑客的“专家反馈”,而黑客的“劳务费”却从ZDI的腰包出,可见,VMware等厂商才是在背后偷笑的最大赢家。
对于黑客来说,Pwn2Own除了能够提供奖金和荣耀,还决定着一个团队或一个国家综合安全实力在国际上的地位。以往,黑客大赛长期被欧美战队所统治,但今年中国战队却异军突起。360安全战队以63分积分、28万美元奖金排名积分榜和奖金榜首位,荣获大赛官方颁发的Master of Pwn,另外两支中国队伍腾讯Sniper团队和长亭实验室分别名列第二和第三名,这是黑客赛事历史上中国团队首次包揽前三名,也标志着中国安全力量迈入世界巅峰。