今天被Pwn2Own的新聞刷屏了。也難怪，Pwn2Own是全球最負(fù)盛名的黑客大賽，Pwn2Own 2015又被業(yè)內(nèi)稱為史上最難的黑客大賽，因此引發(fā)了圈內(nèi)圈外強(qiáng)烈的關(guān)注和討論。但是我們?cè)谟懻揚(yáng)wn2Own的時(shí)候，很多人恐怕都不知道以下這10件事——

1、抽簽很重要

如果你要參加Pwn2Own，記得要從平時(shí)開(kāi)始攢人品。在Pwn2Own比賽場(chǎng)上，如果選擇攻打同樣的目標(biāo)，所有選手并不是同時(shí)開(kāi)始比賽，而是抽簽決定誰(shuí)先上。假設(shè)選手們同樣都能攻打成功，那么手氣好的抽到第一個(gè)出場(chǎng)則能打贏全獎(jiǎng)。手氣不好的則只能在后面出場(chǎng)，即使攻打成功，也只能拿到一半的獎(jiǎng)金。

2、難度加大，獎(jiǎng)金減少

Pwn2Own在所有黑客大賽中，一直以高額獎(jiǎng)金著稱，雖然其對(duì)技術(shù)的要求近乎苛刻，還得交萬(wàn)元人民幣的報(bào)名費(fèi)，但還是有眾多頂尖黑客團(tuán)隊(duì)從世界各地慕名而來(lái)。但是讓很多黑客不滿的是，今年P(guān)wn2Own的比賽難度明顯加大，尤其是IE，攻破難度已經(jīng)超過(guò)去年價(jià)值15萬(wàn)美金的“獨(dú)角獸”大獎(jiǎng)(去年無(wú)人獲獎(jiǎng))，獎(jiǎng)金卻少了一大半。VUPEN創(chuàng)始人ChaoukiBekrar為此公開(kāi)吐槽并宣布退賽。

3、IE難度史上最高

Pwn2Own以Chrome、IE、Safari、Firefox等常見(jiàn)瀏覽器以及IE的Flash和PDF插件作為主要攻擊目標(biāo)，參賽的黑客們通常會(huì)以參賽項(xiàng)目的獎(jiǎng)金額以及獲取權(quán)限的程度，也就是最后能夠拿到多少獎(jiǎng)金，來(lái)作為最終評(píng)判賽事難易度的一個(gè)可量化衡量標(biāo)準(zhǔn)。

今年獎(jiǎng)金最多的仍然是Chrome，7.5萬(wàn)美金。第二名是就是IE，6.5萬(wàn)美金。但是今年P(guān)wn2Own對(duì)IE增加了幾個(gè)特殊要求——不僅要攻破IE11的增強(qiáng)沙箱保護(hù)和64位進(jìn)程，還要突破微軟最新版本的EMET漏洞防御工具(這些都是非默認(rèn)配置)，同時(shí)禁止通過(guò)注銷(xiāo)或重啟實(shí)現(xiàn)攻擊，因此今年IE的攻擊難度史無(wú)前例，被業(yè)界視為幾乎不可能完成的任務(wù)。

4、亞洲團(tuán)隊(duì)首次攻破IE

Pwn2Own自2007年創(chuàng)辦以來(lái)，至今已經(jīng)第九年。但是九年來(lái)，沒(méi)有亞洲團(tuán)隊(duì)在比賽上攻破IE，歐美國(guó)家在該項(xiàng)目上占有絕對(duì)統(tǒng)治地位。

不過(guò)讓人驚喜的是，今年首次參賽的360Vulcan Team在17秒內(nèi)一舉攻破IE11，給中國(guó)黑客圈大大的長(zhǎng)了臉，讓老外也知道中國(guó)安全技術(shù)頂呱呱。

5、前“VUPEN主攻手”暴打Adobe刷獎(jiǎng)

VUPEN雖然沒(méi)有來(lái)，但之前VUPEN團(tuán)隊(duì)的主攻手Nicolas Joly卻從VUPEN離職，以個(gè)人名義參加了此次比賽。從參賽項(xiàng)目來(lái)看，Nicolas Joly也選擇放棄挑戰(zhàn)IE，而是把攻擊目標(biāo)鎖定在了難度相對(duì)較低的Adobe Reader和Adobe Flash上，以兩個(gè)低難度項(xiàng)目拼更多獎(jiǎng)金。最終Nicolas Joly一人打下9萬(wàn)美元獎(jiǎng)金。

6、騰訊猛抱KeenTeam大腿

前些天大賽主辦方ZDI公布參賽名單時(shí)，中國(guó)兩支團(tuán)隊(duì)360Vulcan Team和Keen Team格外引人矚目，當(dāng)時(shí)并沒(méi)有騰訊的影子。

然而令人詫異的是，就在比賽正式打響后，Adobe Reader的挑戰(zhàn)者忽然變成Keen Team和騰訊管家聯(lián)隊(duì)。業(yè)內(nèi)傳聞，騰訊看到360組隊(duì)參賽后，立刻向其投資過(guò)的Keen Team施壓，要求在比賽里把騰訊的名字也帶上。而在比賽過(guò)程中，騰訊的“參賽人員”全程都在一旁圍觀，并沒(méi)有對(duì)Keen Team攻破Adobe Reader做出任何貢獻(xiàn)。只是在賽事結(jié)束拍照時(shí)，騰訊人員才舉著廣告合影。這也算是抱著Keen Team的大腿刷下存在感了。

7、XX秒攻破真靠譜嗎?

上面吐槽了騰訊，再說(shuō)360高調(diào)宣傳的“17秒攻破IE”。事實(shí)上業(yè)內(nèi)都明白，Pwn2Own的比賽就是個(gè)演示，攻擊代碼是賽前早已經(jīng)準(zhǔn)備好的，上場(chǎng)就是操作一下。手快的十幾秒搞定，手慢的幾十秒搞定，沒(méi)有本質(zhì)差別。

俗話說(shuō)得好，臺(tái)上一分鐘，臺(tái)下十年功。挖掘漏洞和深入研究漏洞的原理、攻擊方式、防護(hù)方案，都需要長(zhǎng)時(shí)間的積累。17秒，您找屏幕壞點(diǎn)吶?

8、Firefox赤膊上陣

Firefox可以說(shuō)是Pwn2Own比賽中安全性最差的瀏覽器。在2014年P(guān)wn2Own上，F(xiàn)irefox就被打成了“篩子”，總共被四組參賽選手用四種方法輪流攻陷。

其實(shí)，F(xiàn)irefox最大的短板是沒(méi)有沙箱，基本相當(dāng)于赤膊上陣，堪稱本次比賽頭號(hào)“軟柿子”。

9、韓國(guó)“神童”以一敵三

傳說(shuō)中的韓國(guó)黑客“神童”JungHoon Lee一口氣報(bào)名參加了Chrome、IE和Safari三個(gè)項(xiàng)目。而這三款瀏覽器，也被公認(rèn)為本屆比賽難度最高的三個(gè)目標(biāo)。

不過(guò)這個(gè)被冠以“神童”的韓國(guó)人，背景可能沒(méi)有那么單純。業(yè)內(nèi)傳說(shuō)JungHoon Lee單挑三大瀏覽器只是韓國(guó)政府的“造神”伎倆，這個(gè)“神童”背后站著的其實(shí)是龐大的韓國(guó)黑客“國(guó)家隊(duì)”。

實(shí)際上，韓國(guó)、日本都格外重視對(duì)安全攻防人才的培養(yǎng)，培養(yǎng)黑客從娃娃抓起，一路保送上大學(xué)，先是打CTF攻防比賽成為職業(yè)選手，如今又力圖在Pwn2Own黑客大賽上揚(yáng)名立萬(wàn)。

10、被攻破的軟件廠商才是大贏家

很多人都很關(guān)心比賽利用的0day漏洞是否會(huì)泄密?實(shí)際上完全不必有這種擔(dān)心。無(wú)論是Pwn2Own，還是其他有獎(jiǎng)金的黑客比賽，在比賽結(jié)束后，所有選手找到的漏洞都會(huì)一并提交給廠商進(jìn)行修復(fù)。這也是包括微軟、蘋(píng)果、谷歌這些互聯(lián)網(wǎng)巨頭舉辦黑客比賽的目的之一，花小錢(qián)補(bǔ)大漏洞，何樂(lè)而不為。