今天你胖了吗?
要是放在平时,某个特定人物身上,这样的招呼也许会被一顿胖揍O(∩_∩)O~
但在安全圈却是指另外一件很酷的事情——这意味您要么是选手,要么是评委,还有就是好奇心很强的观众,出现在了中国的赌城澳门,参加今天举行的GeekPwn 2016年中赛澳门站。
黑客叔叔波蒂在破解啥呢?(发型好有范啊)
说起GeekPwn,不得不提起最近几年流行起来的破解赛。破解赛暨不同于CTF的线上解题,线下对抗的比赛形式,也不同于注重理论与实践、管理与技术相结合的防御赛,破解赛更侧重于攻破计算机、智能设备、APP等软硬件产品,由比赛组织方发起针对破解若干软硬件的奖赏,参赛选手提交项目报名后,在现场进行破解演示,破解技术难度、获得权限、破解耗时、现场观赏性、破解造成的影响力……等成为评判的标准,获得相应的奖金。
GeekPwn澳门站主办方大牛蛙致开幕词
破解赛可以说是研究型黑客表演的舞台,所谓“术业有专攻”,参赛的黑客往往在某个领域都有深入研究,发现了软硬件尚未被其它人发现的0day漏洞。因此,参与此类赛事,表面看起来是几个人在台上表演,实际上可能有一整个团队在背后支持,投入费用也可能很惊人,才能在舞台上有非常好的表演效果,所谓的“台上一分钟台下十年功”,用在这里一点也不为过。
能上台表演的大都是黑客界的“老司机”
即便是顶级黑客、技术大牛,如果没有充分的准备和在握的研究成果,一般也不会贸然参与破解赛的,毕竟每个目标产品的背后都有安全团队倾力打造的安全体系,要破解掉不付出一方功夫很难实现。因此,有人称参加国际顶级CTF赛事的选手为黑客大牛,而参加各类破解大赛的选手就可以称之为“牛魔王”了!
这类破解赛上,好多看起来貌似成熟稳定的产品,分分钟会被破解,甚至一些赛事喊出了“一切皆可破”的口号!小编曾经观看过几场这类比赛,看完整个人都不好了,感觉什么都不安全啊!因此这些赛事不方便直播,怕引起民众的恐慌……
各种产品被破解的时间
当然更恐慌的还是生产这些产品的厂商,比赛主办方事先都会透出一些口风——你家的产品要被破解啦!来不来现场看着办。
于是乎,有些厂商当了“鸵鸟”比赛当天关闭了服务,企图让演示失败,破解方就放出了事先录制好的视频,效果也差不多;有些厂商连夜公关,希望自己的产品不会出现在舞台上;也有些厂商带着安全团队、法务部门揪细节,说“这个不是我的安全问题,漏洞来自合作伙伴,这样夸大其词要上法庭”……等等,各类厂商对爆出漏洞的不同反应一下子就呈现出来了。
比亚迪当了一回“鸵鸟”
为了吸引选手参加破解赛,各主办方都会开出很高的价码,比如今年的Pwn2Own总奖金为60万美元,第一名腾讯Sniper团队获得了14.25万美元的奖金;GeekPwn的奖金池为500万,单项奖金最高80万;HackPwn的奖金池460万起,2015年年度大奖被盘古团队获得,奖金为20万(最终捐给了天津爆炸事件中牺牲的消防员家属);XPwn的奖金池也是500万,每类奖项奖金额并不设置封顶数额。
破解赛整体的奖金相比CTF确实高了(也有个别例外,比如号称全球最高奖金的韩国CodeGate冠军奖金为5000万韩元,约合28.5万元人民币),但是和参赛选手在背后的投入和付出、漏洞对厂商的价值相比,其实并不算高,因此聪明的厂商就愿意参与这样的赛事,比如谷歌、微软、苹果、Adobe……等厂商通过赛事使得产品的安全性进一步提高,要知道0day漏洞在*市黑**的价格蛮高的,收购价动辄也是10万级别以上的,厂商花比较少的代价就能修补漏洞,还是蛮划算的。
部分赛事奖金统计
除了奖金之外,赛事主办方也很注重名誉、头衔的授予。2016年Pwn2Own首次设置了“破解大师”只有总冠军才能获得这一称号,想想穿上限量版的“破解大师”定制天鹅绒服,那个气势,绝了!GeekPwn选手则有机会进入名人堂,并入选年度最佳奖项。XPwn也会给选手颁发相关荣誉,还设立了 XPwn独家奖励机制:“专业导师+天使基金”。
穿上“破解大师”定制天鹅绒服biger立马飙升
好了,关于破解赛就说这么多,让我们来看看国内外有哪些影响力较大的赛事吧。
国内外破解赛介绍
1、Pwn2Own
Pwn2Own是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。
创办时间:2007年
奖金设置:奖金池60万美元,依据积分发放奖金
比赛项目:谷歌Chrome、微软Edge、Adobe Flash、苹果Safari(2016年)
荣誉称号:“Master of Pwn”(破解大师)
2、GeekPwn
GeekPwn是全球首个关注智能生活的安全极客(黑客)赛事平台,是最前沿的国际化智能安全社区。赛事聚焦于智能设备领域的同时,GeekPwn致力于创新、技术和时尚为生命意义的、热爱技术的极客一个舞台,从而引领未来科技、智能生活和时尚潮流。
GeekPwn经过3年的发展,已形成一年双赛的格局,今年包括5月12日澳门站年中赛,走出了国际化步伐,以及10月24日上海站的GeekPwn极客嘉年华。
创办时间:2014年10月24日
奖金设置:奖金池500万,单项最高奖金80万
比赛项目:智能家居、智能穿戴、智能手机、汽车/无人机、智能娱乐、“互联网+“APP等六大智能生活安全领域
荣誉称号:有机会进入名人堂
3、HackPwn
安全极客狂欢节(HackPwn)是全球关注智能生活安全的黑客嘉年华,首届HackPwn2015安全极客狂欢节由国际顶尖的黑客团队360VulcanTeam、 360UnicornTeam发起,在吸收国内外各安全赛事优点的基础上,重金打造的基于智能硬件设备安全的赛事平台,倡导安全无忧的智能生活,从而引领未来科技、智能生活发展的方向,希望通过大赛吸引更多白帽子黑客专注于智能硬件,帮助厂商发现并解决存在的漏洞。
创办时间:2015年8月21日
奖金设置:奖金池460万+,单项最高奖金20万(已颁发)
比赛项目:O2O业务、智能交通、智能娱乐、智能终端、智能生活等五大类智能设备
荣誉称号:破解成功证书
4、XPwn
XPwn由XCon安全焦点安全技术峰会组委会主办,北京华永兴安科学技术有限公司承办。XPwn吸引国内外一流的极客、黑客发现并解决未来智能设备上存在的安全问题,并在全球智能生态链安全问题与共享方面展开了深入探索,同时在多个领域实现了突破性的进展,以此鼓励推动厂商及时修正问题,让厂商更加重视安全问题,探索更好的安全解决办法,从而提高产品安全质量。
创办时间:2016年4月12日,8月底举行比赛
奖金设置:奖金池500万,每类奖项奖金不封顶
比赛项目:智能终端、智能穿戴、智能家居、智能交通、生活O2O、未来安全等六大智能生活的安全问题
荣誉称号:荣誉证书,“专业导师+天使基金”独家奖励机制
鸣谢:GeekPwn澳门站照片转自“鬼斗”
部分观点、统计图表转自“威观世界”