这两天,关于顶级黑客团队VUPEN退出Pwn2Own2015的新闻在圈里传的沸沸扬扬。无论是VUPEN创始人本人,还是黑客圈内人士,对此的解释都是Pwn2Own2015难度变大,奖金竟然还减少了。这太不科学。
Pwn2Own2015的比赛规则究竟做了哪些调整,以至于VUPEN等赫赫有名的黑客团队都萌生退意呢?我们一起深入了解下。
Pwn2Own是什么?Pwn2Own是世界上最著名的黑客大赛之一,自2007年创办以来一直吸引着全球顶尖黑客的注意。Pwn2Own的背景也十分深厚,主办方是美国五角大楼入侵防护系统供应商TippingPoint,包括微软、谷歌、苹果等在内的一众互联网巨头既是黑客挑战的目标,也相当于比赛的支持单位,Google在本届比赛还将为攻破其Chrome浏览器的黑客额外追加奖金。
今年的Pwn2Own有什么不同?以2014年倀眀渀2Own比赛为例,黑客们只需攻破默认配置的IE就可以获奖,如果能再攻破开启EMET、开启增强沙箱保护、启用64位进程等最高级别保护的IE浏览器,就可以拿到15万美元的“独角兽”(Unicorn)大奖。
所谓“独角兽”,就是传说中存在、但没有人见过的神兽。Pwn2Own以“独角兽”作为奖项名称,形容比赛难度之高达到无人能够染指的程度。事实也确实如此,2014年Pwn2Own上,没有一家黑客团队擒获这只“独角兽”。然而,2015年的Pwn2Own比赛难度竟然远远超过2014年的“独角兽”!
也难怪作为Pwn2Own比赛历史上的最大赢家、首个公开攻破Chrome的顶级黑客团队VUPEN也要宣布放弃。VUPEN团队大佬ChaoukiBekrar在推特吐槽:“削减了奖金,却增大了难度(64位、EMET、增强沙箱保护、禁止注销/重启等),还是等2016年吧。”
挑战目标:斩六将2015年Pwn2Own将于3月18、19日在加拿大举行,具体的比赛安排和平台将会在赛前两天随机安排公布。本届大赛的奖金预计会超过50万美元现金及非现金性奖励。
Pwn2Own黑客挑战目标一共有六个,分别是:Chrome、IE、Safari、Firefox、AdobeFlash和Adobe刀攀愀搀攀爀。除了Safari是在苹果电脑MacOSX夀漀猀攀洀椀琀攀操作系统上运行外,其他都是在64位Windows8.1系统上安装进行的。选手选择目标后按随机顺序排列,最先攻下该目标的队伍获胜。
不同攻击目标的奖金如下:GoogleChrome:7.5万美元
MicrosoftIE11:6.5万美元
Adobe刀攀愀搀攀爀(运行于IE11环境):6万美元
AdobeFlash(运行于IE11环境):6万美元
基于Mac伀匀堀萀卶愀昀愀爀椀:5万美元
MozillaFirefox:3万美元
比赛难度:过五关另外根据日前公布的比赛规则,要想在Pwn2Own2015上攻破IE浏览器,需要面对以下五大难关——
1、微软漏洞防御软件EMET的最新版本对目标软件进行保护。
2、IE开启了默认并不打开的增强沙箱保护(EPM,Enhanced倀爀漀琀攀挀琀攀搀Mode)。
3、IE开启了“针对增强保护模式启用64位进程”选项。
4、新增隔离堆、延迟释放、CFG等微软新的安全机制。
5、禁止重启、注销系统。
看完以上的规则赛制和难点,就不难理解Pwn2Own2015为什么被称为史上最难了。但如有黑客团队能够突破重重障碍,无疑将会获得巨大的荣耀,相信仍有不少顶尖高手为此奋力一搏。究竟结果如何,也只能等待大赛现场揭晓答案了。
