打败AlphaGo的兄弟Chrome赢得黑客“人机大战”、连续拿下Edge、Adobe Flash Player、Safari等高难度热门软件……近两年,中国黑客在Pwn2Own黑客大赛上大放异彩。日前,东半球首次举办的世界黑客大赛PwnFest也将拉开战幕,以中韩为代表的黑客势力究竟能否与世界顶级科技龙头比肩?亚洲黑客天团又将在东道主的赛场上书写什么传奇呢?
据PwnFest官网消息公布,11月10日至11日,全平台黑客破解大赛PwnFest将在韩国首尔举行。PwnFest采用的赛制和Pwn2Own类似,选手使用多个0day漏洞,对微软、谷歌、苹果等主流厂商的最新浏览器和操作系统产品进行现场破解。比赛奖金总额高达170万美元,创史上历届黑客破解大赛奖金数目之最。
五大操作系统、六大热门软件 哪个能保持不败金身?
PwnFest比赛平台覆盖了目前最新、最热的主流软件作为破解目标。操作系统包括最新的Windows 10 RS1、Windows Server 2016、macOS Sierra、iOS 10/iPhone7、Android 7.0;软件则包括微软Edge浏览器、Adobe Flash播放器、谷歌Chrome浏览器、微软Hyper-V虚拟化软件、VMWare workstation虚拟化软件、苹果Safari浏览器等。这是目前为止,国际黑客大赛上选手挑战目标数量最多的一次。
与广泛的挑战目标相对应的,是极为苛刻的破解条件。PwnFest比赛选取的都是目前挑战难度最高、含金量最高的软件和平台,并且创下了170万美元奖金的赛事记录。重赏之下,这些破解目标是否还能保持不败金身呢?我们先来做个预测。
先说说iOS10 + iPhone7吧,它的挑战难度有多大呢?还记得此前攻击中东的“三叉戟漏洞”吧,想破解该项目需要使用的漏洞和“三叉戟”十分相似,这个漏洞在黑市上已经卖到了百万美元。当然,PwnFest对于能攻破iOS目标的选手也毫不吝啬,给出了最高18万美元的高价,比即将举办的Mobile Pwn2own上的奖金高出了近4倍,比苹果刚刚公布的号称”土豪赏金”的邀请制漏洞赏金计划,也是高出了一大截。
再来看看Edge、Chrome和Safari等老牌破解项目,此前的大赛上这些项目就让不少黑客望而却步。对这些浏览器,PwnFest给出了最高14万美金的高额奖励,是同类比赛的近两倍,远远高出厂商自身给出的漏洞赏金数额数倍之多,着实令人眼热,也让人忍不住猜测,到底黑客们能不能在PwnFest上再次上演“11秒攻破最难Chrome浏览器”的奇迹呢?
说到这儿,不得不提传说中的“顶级黑客神技”——虚拟化平台的逃逸和破解。拿VMWare workstation来说,除了七年前的旧版本有一些被破解的传说外,从没有黑客能够在比赛中破解成功。在今年的Pwn2Own上,主办方对该项目悬赏75000美金,但仍未有选手挑战成功。本次PwnFest对Vmware的奖金提高到了Pwn2Own的两倍(15万美元),是否有黑客能够成功破解这一传说中的不败神话着实吊人胃口。
而微软力推的新一代Hyper-V虚拟化平台,更是从未有黑客得手过。著名的Windows黑客Alex Ionescu曾在2015年的演讲中惊叹Hyper-V发布十年来仅被发现了两个不严重的漏洞;微软更是一改此前对漏洞奖金的吝啬和“不付现金”策略,在Bluehat赏金计划中将攻破Hyper-V的逃逸漏洞奖励定为了十万美金,足见对其安全性的信心。重金悬赏下,尚未有人能撼动Hyper-V,不知在PwnFest 15万美金的奖励下,会不会出现打破Hyper-V金身的奇迹?
五大互联网厂商首次联合坐镇 (色彩)选择在正式场合所戴的手表,其色彩应力戒繁杂凌乱,一般宜选择单色手表、双色手表,不应选择三色或三种颜色以上的手表。不论是单色手表还是双色手表,其色彩都要清晰、高贵、典雅。金色表、银色表、黑色表,即表盘、表壳、表带均有金色、银色、黑色的手表,是最理想的选择。金色表壳、表带、乳白色表盘的手表,也能经得住时间的考验,在任何年代佩戴都不会落伍。 (图案)除数字、商标、厂名、品牌外,手表上没有必要出现其他没有任何作用的图案。选择使用于正式场合的手表,尤其需要牢记此点。倘若手表上图案稀奇古怪、多种多样,不仅不利于使用,反而有可能招人笑话。 谁是最大的赢家?
对比一些收购漏洞的军火商例如Zerodium、ExodusIntel,PwnFest的奖金已经接近甚至超过这些黑市价格。很多人可能会关心这次比赛利用的0day漏洞是否会泄密,被网络军火商用于灰色地带?实际上,完全不必有这种担心,和Pwn2Own一样,该比赛挖掘漏洞的目的,是期待与软件厂商合作,共享漏洞信息,协助厂商及时修复选手们在比赛中使用的安全漏洞。
正因如此,包括微软、谷歌、苹果、Adobe和Vmware在内的目标软件厂商,都将积极参与到PwnFest比赛中,他们将派出技术人员同主办方一起作为比赛的裁判,检查和分享选手的漏洞和攻击技术,探究选手是如何挖掘到自身难以发现的漏洞,学习黑客是如何突破层层安全防护的重围,从而及时修复漏洞、增强软件产品的安全性、更好地保护用户的安全。
值得一提的是,这次比赛是上述五大厂商首次聚集在一起,共同裁定、研究和学习最新的攻击技术。无论对于各大厂商、参赛选手或是普通的安全从业者来说,PwnFest都是一次难得的学习和交流机会。“花小钱补大漏洞”,很多互联网巨头都是乐在其中,可到底哪个厂商能成为最大的赢家,还要看现场选手们的表现。
纯金打造的终极大奖“Lord of Pwn” 究竟花落谁家?
提到世界级的黑客大赛,大家想到的一定是黑白灰的色调配上严肃紧张的氛围,这回的PwnFest比赛奖金虽然令人眼热,但难度也着实令人望而退步。不过,PwnFest的主办方还是花了不少心思,活跃现场氛围并增加看点。
对于普通用户来说,除了炫酷的破解秀值得一看外,最大的看点就是纯金打造的终极大奖“Lord of Pwn”(破解之王)了。据了解,PwnFest比赛引入了一个类似游戏的“奖章系统”,在选手挑战成功任意一个项目后,会根据项目的难度、攻破的程度不同拿到不同数量的金色奖章,最后拿到奖章数量最多的选手,会得到这个纯金大奖。究竟哪个天才黑客能拿到这个让人眼红、代表了最高荣誉的奖杯呢?还是让我们期待PwnFest破解盛宴的到来吧。
光波表,光动能电波表通过手表内置的电波接收器和天线,接收由发射塔发出的“标准时间”电波,获取时刻和日历等数据,自动校正手表的时间和日期。标准时间信号采用的是高精度铯原子手表的理论,十万年误差一秒。西铁城的电波手表全部采用光动能技术,利用任何可见光源作为能源驱动。只要有光就有能量,只要能接收到电波就永远不会有误差。
原创文章,作者:leping,如若转载,请注明出处:https://www.zhjiashun.com/zjsb-81719.html
