一套漏洞一套房? 这个让黑客动动鼠标就能赚170万美元的比赛叫做 PwnFest-阿里云开发者社区

开发者社区> 雷锋网> 正文

一套漏洞一套房? 这个让黑客动动鼠标就能赚170万美元的比赛叫做 PwnFest

简介:
   这世界对手艺人往往很残酷。

例如,用葱油饼传承老上海味道的阿大,被一纸执照为难得几乎关张。

例如,在赛博世界如风穿行的黑客们,曾经非要抛弃道德底线才能致富。

然而世界也不算太坏。阿大成了网红,有了新的店铺;而对于和技术死磕的黑客们来说,这些年出现了越来越多的好消息。以 Pwn2Own 为代表的黑客大赛,和各种黑客团队参加的 CTF 夺旗赛,似乎正在让一天有23小时紧盯屏幕的黑客们有了赚钱的机会。

不过,这个机会来得过于生猛。就在今年,即将在韩国举办的 PwnFest 破解大赛,总奖金达到了170万美元。

这个数字有多疯狂,让我来告诉你,这些钱已经可以在帝都买一套相当凑合的房了。

电视机前的黑客们别激动,现在报名可能有点晚了。比赛还有几个小时就要开始了。我们还是先来(含泪)看一下这个比赛是怎么玩的吧。

一套漏洞一套房? 这个让黑客动动鼠标就能赚170万美元的比赛叫做 PwnFest

搞到 170 万美元的正确姿势

在赛博世界里,有让所有黑客都头疼的“三座大山”,如果有黑客可以同时搞定这八座大山,理论上他可以横行于世界上的所有主流设备,像上帝一般一个人控制全世界。

如果他恰好是个反派。。。为了对付他,这个世界可能需要忙活一阵了。

这三座大山是:

PC 设备(包括Mac)、移动设备、虚拟化平台

这170万美元,就将属于能推翻这三座大山的“壮士”。

确切来说,比赛从这三座大山中分出了八个项目,分别是:

微软 Edge(PC)

谷歌 Chrome(PC)

苹果 Safari(PC)

Adobe Flash Player(PC)

苹果 iPhone7(移动)

谷歌 Pixel(移动)

VMware workstation(虚拟化平台)

微软 Hyper-V(虚拟化平台)

一套漏洞一套房? 这个让黑客动动鼠标就能赚170万美元的比赛叫做 PwnFest

老司机都知道,这八个软件或硬件,来自全世界顶级的微软、谷歌、苹果、Adobe、VMware,这些产品几乎凝结了人类网络安全防御技术的最高峰。事实在此,似乎用不着使用什么华丽的辞藻来形容。

所以,规则很简单:

如果你可以仅仅通过一个网页,就可以完整地拿到这八个目标的控制权,钱就都是你的。当然,由于黑客的顶尖攻击本身具有不稳定性,所以依照国际惯例,有三次尝试的机会。

当然真实的情况是,全球最顶级的黑客可能也只能攻破其中的一些,所以项目的奖金是分开设置的。除了基本的奖金之外,还会因为“进阶”的攻击而拿到额外的奖励。

一套漏洞一套房? 这个让黑客动动鼠标就能赚170万美元的比赛叫做 PwnFest

【项目奖金设置/截图来自 PwnFest 官网】

每个项目根据难易程度,会价值不同的奖章数量,而获得奖章数量最多的,还能获得破解之王(Lord of Pwn)的称号。

最关键的问题:谁掏钱

这 170 万谁来出呢?

虽然没有明确标明,但是根据猜测,这些钱应该来自和组委会联合举办大赛的五家企业。

一套漏洞一套房? 这个让黑客动动鼠标就能赚170万美元的比赛叫做 PwnFest

【截图来自 PwnFest 官网】

没错,用脚趾头也应该想到,自己家的孩子自己管,谁会为别人家的漏洞付钱呢?

这“五大金刚”全部派技术人员到达现场,负责监督破解过程,最主要的是,把热乎乎的漏洞带回家赶紧补上。要知道对于厂商来说,这些漏洞会引发灾难性的后果,它们的价值要远远超过帝都一套房吧。

毕竟,这些类型的漏洞在黑市上的价钱可能要数倍于此。

按照比赛规则,如果攻击成功,参赛黑客必须把漏洞详情和利用方法,完整地提交给官方,官方会在第一时间修复漏洞。

更关键的问题:哪些黑客来参赛

根据组委会在门口用贴出的“皇榜”,本次参赛的队伍不多,有三组黑客。分别是来自中国的 360安全联队和盘古&JH 联队,以及韩国黑客神童 Lokihardt。

他们的挑战目标如下:

一套漏洞一套房? 这个让黑客动动鼠标就能赚170万美元的比赛叫做 PwnFest

【PwnFest 各路黑客挑战项目】

在比赛前一晚,雷锋网活捉了一枚参赛黑客,来自中国360安全联队的唐青昊。

唐青昊告诉雷锋网(公众号:雷锋网),他挑战的 VMware Workstation 将会是明天的第一个挑战项目。而来自韩国本土的神童 Lokihardt 同样会挑战这个项目。

让人期待的是,VMware 系列的虚拟化产品,自从诞生以来17年,还没有黑客对外宣布成功破解。

唐青昊说,这次攻击,他会使用四个漏洞,联合攻破虚拟机。而他手里,还有一套更为简单的方案,只需要一个漏洞就可以实现攻击。

之所以选择“剑走偏锋”,是为了防止和 Lokihardt“撞洞”——两个选手使用了同样的漏洞。因为根据赛制,撞洞情况发生,奖金由先进行破解的黑客独得。而上场破解的顺序,是抽签决定的。

虽然选手都是有备而来,但是这并不意味着他们就一定能够在现场攻击成功。因为现场环境和实验环境的微小差异,甚至仅仅是运气,都会决定攻击程序是否起作用。就像美国大选一样,不到最后一刻,谁都无法预知结果。

无疑,这三个团队是距离170万美元最近的人。运气不错的话,只要他们轻点鼠标,就可以瓜分这丰盛的奖金。如果他们愿意,还可以把奖金凑起来,在帝都买一套房子,幸福地生活在一起。

   
  
  本文作者:史中

本文转自雷锋网禁止二次转载,原文链接

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

秉承“关注智能与未来”的宗旨,持续对全球前沿技术趋势与产品动态进行深入调研与解读。

官网链接