AlphaGo在战胜李世石后,谁会最终战胜它?
或许Pwn2Own会让它望而却步:因......为......狗.......有......漏......洞......
诞生自2007年的Pwn2Own现已经成为奖金额最高的黑客大赛。作为安全界最受瞩目的赛事,今年在加拿大温哥华举办的Pwn2Own首次设立了“破解大师”(Master of Pwn Awarded)的荣誉称号,据说奖品就是下面这件紫色天鹅绒浴袍!
数据大话2016 Pwn2Own
参加本届大赛角逐的团队(或个人)有5个,他们分别是来自中国的360Vulcan Team、腾讯Shield安全战队、腾讯Sniper安全战队、腾讯玄武实验室和个人出战的韩国神童黑客JungHoon Lee (去年他一人攻破IE11、Chrome和Safari浏览器,独揽22W美元巨奖);
报名进行的破解项目共计11个,分2日举行;
每个项目破解可以进行3次尝试;
参赛者/团队每次尝试要在15分钟内完成;
本届比赛奖金总额为60万美元;
最终只产生1个“破解大师”头衔。
报名参赛团队与项目(成功得分)情况
360Vulcan Team
谷歌Chrome(10)+ 系统级访问(5)
Adobe Flash(8)+ 系统级访问(5)
腾讯Shield安全战队(电脑管家与KEEN)
苹果Safari(6)+ Root访问(4)
Adobe Flash(8)+ 系统级访问(5)
腾讯Sniper安全战队(KEEN和电脑管家)
微软Edge(10)+ 系统级访问(5)
Adobe Flash(8)+ 系统级访问(5)
苹果Safari(6)+ Root访问(4)
腾讯玄武实验室
微软Edge中的Adobe Flash(8)+ 微软Edge(10)
JungHoon Lee(又名lokihardt)
谷歌Chrome(10)
微软Edge(10)+ 系统级访问(5)
苹果Safari(6)+ Root访问(4)
比赛首日:东方亮
根据日程安排,韩国小子率先登场,通过Safari中的一个UAF(use after free)漏洞、堆溢出漏洞和其他越权技巧一举攻破苹果Safari,拿到10分和6万美金的奖励,暂居排行榜第一位。
接下来出场的是360Vulcan团队,我们看到照片中360安全专家古河正专注于对Adobe Flash的破解当中。通过一个类型混淆漏洞和Windows内核漏洞,最终不出意料地获得系统最高权限!
随后,360Vulcan Team用时11秒变攻破了谷歌Chrome浏览器,利用供应商已知的一个越界漏洞和三个UAF漏洞拿到系统最高权限。需要提到的一点是因为在破解Chrome时发生“撞洞”(即其中一个chrome漏洞谷歌已知),从而积分减少了3分。不过360Vulcan Team还是以25个积分荣升排行榜首位,累计奖金已达13.25万美元。
腾讯Sniper安全战队3秒攻破Flash插件,利用了Flash中的一个越界漏洞、一个信息泄露漏洞和Windows内核系统中的UAF类型漏洞获得系统访问权限,拿到全额积分。
另一只腾讯安全战队Shield用时5秒攻破了苹果Safari浏览器,这里利用了Safari和系统内核中的两个UAF类型漏洞,因此Shield也在排行榜中获得10个积分。
最后一个出场的是玄武实验室,虽然未能完成对Flash的挑战,但是从着装来看两位黑客欧巴还是深得TK教主真传的。
16日积分榜:360Vulcan Team力压韩国神童
首日的六个挑战告一段落,排行榜上发生了变化。360Vulcan Team因为所有项目已经顺利完成暂居排行榜首位。
“破解大师”花落谁家,17日揭晓
明日凌晨会有5个项目在我们熟睡的时候进行,来自腾讯的两只安全战队Sniper和Shield将于JungHoon Lee同场竞技。
从报名项目来看,韩国神童如果攻破所有项目最高可获得35积分,而腾讯Sniper安全战队则有望以3个积分的优势赢得最终的胜利。
无论结果如何,最终披上那件紫色浴袍的一定会是亚洲人!
番外:阻碍别国黑客参赛《瓦森纳协定》
2015年新添的《瓦森纳协定》条款禁止出口,包括“特殊设计”的或是修改以逃避“监视工具”检测的软件,以及令“保护措施”无效的软件。这也就意味禁止在不同的国家之间互通漏洞信息。
一些参赛选手担心违反协定,选择放弃参加国外的黑客比赛。目前《瓦森纳协定》共有包括美国、日本、英国、俄罗斯等41个成员国,尽管韩国也位列其中,但是这并没有影响Pwn2Own这一全球影响力最大的黑客破解赛事只有中国队和韩国人捧场的局面。
*FreeBuf小编综合整理,部分图片来自360摄影师兼Hacker杨卿,特此感谢,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)