開辦至今，國際最知名的黑客賽事Pwn2Own已經(jīng)走到第九個年頭。Pwn2Own 以高額獎金著稱，由ZDI 主辦，另由Google、Microsoft、Apple和Adobe 等科技公司提供支持。主辦方ZDI歸屬 hp TippingPoint項目組，是五角大樓的網(wǎng)絡(luò)安全服務(wù)商。

[[129818]]

常規(guī)賽程里包含對用戶權(quán)限和系統(tǒng)權(quán)限的提取和控制，其中運行硬件、運行系統(tǒng)及版本、對象軟件及版本，及其它安全措施都由舉辦方?jīng)Q定。

一般而言，黑客們需要在比賽中攻破(括號內(nèi)為今年設(shè)定的獎金)：

Windows 環(huán)境下：

Chrome 瀏覽器(7.5 萬美元)

Internet Explorer 瀏覽器(6.5 萬美元)

Mozilla Firefox 瀏覽器(3 萬美元)

運行在Internet Explorer 中的 Adobe Reader (6 萬美元)

運行在Internet Explorer 中的 Adobe Flash (6 萬美元)

Mac OS X 環(huán)境下：

Safari 瀏覽器(5 萬美元)

此外，攻破相應(yīng)程序獲取用戶權(quán)限后，進一步獲取系統(tǒng)權(quán)限還能獲得2.5 萬美元的額外獎金。

今年舉辦方設(shè)定的標準待攻破環(huán)境里，除Windows下的 Mozilla Firefox 外全部為64位版本軟件，其中Windows 下開啟 EPM (IE 的沙箱機制)安全防護及 EMET 防漏洞軟件。這些幾乎都是往期賽事中可以獲得額外獎金的條件，所以今年某種意義上而言獎金總額較去年有所下降，以至于賽事的四連冠法國團隊Vupen 選擇退出比賽。

Vupen 素有“軍火商”之稱，因其漏洞挖掘和利用能力極強而已出售相關(guān)信息、方案獲利。所以本次他們退出比賽，在業(yè)內(nèi)人士看來更多的是難度增加前提下獎金減少，而不是條件受限。

然而Vupen 的退出對本屆Pwn2Own 賽事“觀賞性”和頂尖程度的影響并沒有那么嚴重，因為參賽隊伍中還有國內(nèi)的 Keen Team 和來自 360 的安全研究團隊，以及首次亮相本屆賽事的韓國隊伍，而 Vupen 兩名成員也以個人名義化名參與到比賽中。

Keen Team 曾在東京Pwn2Own Mobile 2013 中遠程攻破 iOS 7.0.3，從而成為中國安全領(lǐng)域的第一個該項賽事世界冠軍，Vupen 也通過其官方微博向 Keen Team 表示祝賀。他們在兩年內(nèi)共獲得三項冠軍。至于韓國隊，目前并沒有公開資料表明背后成員的身份和實際水平，但國內(nèi)安全界依然表現(xiàn)出相當(dāng)?shù)闹匾?，并有猜測可能參賽的是所謂“國家隊”。

從報名信息上看，國內(nèi)的360和Keen Team 兩支團隊在參與項目方面剛好錯開：360 團隊參與 IE11 的攻破，而 Keen Team 則選擇Windows平臺下的 Adobe Reader 和 Flash。此前 Keen Team 的主攻方向為移動領(lǐng)域，而 360 雖然因為產(chǎn)品方向更了解 PC 環(huán)境，但屬首次參賽。

如上文所述，目前讓參賽者最沒把握的還是“韓國隊”。信息安全在韓國有很高的地位：黑客競賽成果可抵高考成績，信息安全公司雇員可免服兵役。因為上屆比賽出現(xiàn)過部分選手在賽程中電話求助，所以有人猜測該韓國參賽者JungHoon Lee 背后有多名安全高手支持，即“以舉國之力”塑造一個強者。不過也不排除這名參賽者本人能力精湛。

比賽條件變得嚴苛，獎金一定程度縮減，和頂尖業(yè)內(nèi)“軍火商”的退出不免讓一部分人感到本屆Pwn2Own 在安全技術(shù)領(lǐng)域的象征意義有所減少，而更像是一場“電子競技”。更有趣的是，中國、韓國團隊即將到來的交鋒讓“電子競技”這個定義添上深一步的色彩。

經(jīng)歷2014 年多個大公司的安全事件，多種關(guān)鍵產(chǎn)品的漏洞曝光，在越來越多線下信息、資產(chǎn)被信息化的當(dāng)下，數(shù)字安全變得像社會治安一樣嚴重的領(lǐng)域。各國在互聯(lián)網(wǎng)和數(shù)字科技發(fā)展進程中都在儲備這一領(lǐng)域的人才和技術(shù)能力，比賽只是這個過程的商業(yè)化縮影。

玩笑歸玩笑，說“電子競技”終究只是像，今年的 Pwn2Own 依然代表國際安全界最頂尖的水平，尊重每一個參賽隊伍，祝他們順利。