截至当地时间16日,在加拿大温哥华举行的Pwn2Own世界黑客大赛排名中,中国360、腾讯、长亭科技3家公司派出的团队包揽前三名,表现突出。
此次大赛于15日开幕,为期3天。中国、德国、美国等11个国家和地区派出团队参加比赛。
比赛目的:通过黑客攻击挑战完善产品
Pwn2Own是世界顶级黑客挑战赛,自2007年举办至今,每年3月在加拿大西部城市温哥华举办的CanSecWest安全会议期间举行。这项赛事由美国网络安全研究组织ZDI等机构主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。
参赛团队一般利用系统漏洞对软件进行攻击或入侵,并将攻破的漏洞报告给软件厂商,以便厂商针对漏洞发布补丁,更好地保护用户安全。从技术角度讲,这些参赛黑客被称为“白帽”,意为软件系统安全研究人员,被视为维护网络和计算机安全的主要力量。
本届赛事由5大类别、15个项目构成,项目设置数量和奖金均为历届最高,来自中国、德国、美国等11个国家和地区的团队参赛。大赛规定,每一项目根据难度等级设置相应积分和奖金,全部赛程结束后,积分最高团队将赢得“破解大师”冠军称号及额外奖金。
360团队3秒攻破PDF阅读器
本届赛事中,微软、Adobe、乌班图等软件公司旗下软件被黑客团队攻破。其中,中国团队在比赛中表现抢眼。
截至16日,360安全团队以32分排名第一,腾讯Sniper团队以18分位居第二,长亭科技获得17分名列第三。欧美方面,只有一支德国团队取得积分,这支德国队曾在2010年获得Pwn2Own冠军。
大赛首日,360团队仅用时3秒便攻破Adobe公司的PDF阅读器,赢得5万美元奖金和6个积分,成为大赛首战告捷的团队。
“很高兴参加Pwn2Own这一赛事并夺得首冠,这反映了中国公司在安全领域雄厚的技术积累与人才优势,”360团队负责人郑文彬在获胜后说,“黑客大赛的意义就在于通过比赛发现漏洞,并及时提交给厂商进行官方修复。这样才能有效提升产品的安全性,防止被恶意攻击者利用。”
在接下来的比赛中,360还利用苹果MacOS系统中一个“骨灰级”漏洞,获得内核ROOT权限,攻陷苹果Safari浏览器,赢得该项目满分。值得一提的是,这项漏洞在苹果Mac系统“潜伏”已超过20年。以封闭著称的苹果系统一直非常重视安全,每次版本升级时都会有针对性地修补漏洞,以确保系统达到最佳安全状态。但在顶级黑客的攻击视野中,系统早期版本遗留下的代码往往会暴露出令人意想不到的安全问题。
截至16日,360在Adobe Reader、Adobe Flash、苹果MacOS和Safari四大项目中全部满分夺冠,在大赛积分榜和奖金榜上双双位列榜首。
腾讯团队和长亭科技团队各有斩获
此外,来自腾讯和长亭科技的团队也各有斩获。腾讯团队利用微软系统漏洞,绕过“沙箱”技术拦截,攻破微软Edge浏览器。“沙箱”技术保护系统安全性,对机密数据等信息具有保护功能,使微软系统成为最难被攻破的系统之一。
长亭科技团队利用乌班图Linux系统内核信息漏洞攻克这一系统。此外,长亭科技利用苹果系统中6项漏洞,攻克Safari浏览器、获得MacOS根目录访问权限。
赛事主办方ZDI的负责人达斯廷·C·蔡尔兹对中国团队的优秀表现予以肯定。他说:“目前,中国团队的水平完全是世界顶级。在台上,或许破解时间只需几秒钟,但这需要台下无数个小时的努力。我们希望通过Pwn2Own比赛,和各团队、厂商一起持续提高产品和网络安全。”据新华社