fiendgreed 2014-3-14 21:35
CanSecWest黑客挑战赛落幕:八支队伍获得85万美元奖金[4P]
[align=left][size=4]加拿大温哥华——说到奖金总额高达数百万美元的黑客技术挑战赛,似乎“贪婪”带来的“效益”也是相当划算的。[b][color=Blue]四大主流桌面浏览器、加上两个Adobe浏览器插件,均在两场不同的挑战赛中,倒在了黑客社区的“掠夺者”们的脚下[/color]。[/b]
[/size][/align][align=left][size=4]
[/size][/align][align=left][size=4]而来自国内Keen团队,亦在CanSecWest的Pwn2Own挑战赛中,拿下了苹果Safari浏览器的“一血”。[/size][/align]
[align=center][size=4][img]http://static.cnbetacdn.com/newsimg/2014/0314/73_1394775550.jpg_w600.jpg[/img][/size][/align]
[align=left][size=4]Pwn2Own是由惠普赞助、Zero-Day Initiative组织的一项赛事,奖金高达108.5万美元。[/size][/align]
[size=4]在历时两天的比赛中,安全研究人员们在Adobe Flash和Reader,以及四大桌面浏览器——苹果Safari、谷歌Chrome、微软IE、Mozilla Firefox中——不断寻找“突破点”。[/size]
[size=4]最终成绩是,八支队伍获得了85万美元的奖金,另外8.25万美元则捐给了Pwn4Fun做慈善。作为CanSecWest大会的一部分,本次比赛地点在Sheraton Wall Hotel。
[/size]
[size=4]惠普已经汇总出了Day One和Day Two的比赛结果。[/size]
[size=4]在新的Pwn4Fun慈善挑战赛中,我们见到Google Chrome给Apple Safari好好地“上了一课”,因为后者被人攻破并领取了3.2500万美元奖金;而作为Pwn2Own的组织者,Zero-Day Initiative攻破了微软IE,并夺走了5万美元奖金。[/size]
[size=4]两支队伍均将奖金捐给了加拿大红十字会。
[/size]
[align=center][size=4][img=600,661]http://static.cnbetacdn.com/newsimg/2014/0314/47_1394775550.jpg_w600.jpg[/img][/size][/align]
[align=center][size=4]Vupen Security的Chaouki Bekrar用手挡住了一个文本编辑器窗口。[/size][/align]
[size=4][b]为何安全黑客变得愈加有利可图?[/b][/size]
[size=4]来自Vupen Security的Vupen团队,拿下了最大的一笔奖金——40万美元。该公司首席执行官兼首席研究员Chaouki Bekrar表示:“别让高额的奖金欺骗了你的双眼,其实浏览器的安全性已经大有改善了。Pwn2Own的最大价值在于,让大家知道,即使是最安全的软件,亦有受到威胁的可能”。
[/size][size=4]当然,对于比赛来说,除了丰厚的奖励,还有更重要的事情。他们会将这些漏洞汇报给软件开发商,让他们修复缺陷并强化自己的浏览器,以避免未来可能遭受到的攻击。[/size]
[size=4]“微软、[Adobe]Flash、以及Google,都在比赛前为自家产品打上了补丁,因此它们绝对是已经把压箱底的(最好的产品)都拿出来了。不断增长的奖金,只是吸引书呆子(极客)们的糖果点心”。[/size]
[align=center][size=4][img]http://static.cnbetacdn.com/newsimg/2014/0314/5_1394775551.jpg_w600.jpg[/img][/size][/align]
[align=center][size=4]来自主办方Zero-Day Initiative的Brian Gorenc。[/size][/align]
[size=4][b]台上一分钟,台下十年功[/b][/size]
[size=4]Vupen团队拿下了40万美元的奖金,而中国团队(Keen Team)亦凭借攻破Apple Safari和联手攻下Adobe Flash而拿到了65000美元。[/size]
[size=4]不过,他们将这些都捐给了国内的一家慈善机构,用于帮助搜寻在马航MH370失联事件中失踪的人们。
[/size]
[size=4]虽然比赛的时间很短,但是在幕后,参赛队伍的工作其实要漫长枯燥且乏味得多。为了拿下这笔奖金,Vupen花费了差不多4到6周的时间。[/size]
[size=4]Keen团队的高级研究员Liang Chen表示,为了开发和利用这个漏洞,他们花费了三个月的时间:“桌面平台的Safari浏览器,要比难搞得多,因为苹果会经常地部署上最新的安全增强功能”。(该团队曾30秒内攻破iOS 7.0.3)
[/size]
[size=4]至于最高的单笔奖金——15万美元的“漏洞之王”,则需要特定的技巧:系统要运行Windows 8.1 x64和IE 11 x64,并且需要绕过EMET(Enhanced Mitigation Experience Toolkit)。[/size]
[size=4]然而,并不是所有团队都在挑战中有收获。Bekrar的Vupen就在Oracle的Java和Apple Safari上面品尝到了遗憾的滋味,虽然他们可能也绕过了Safari,但是Keen团队却比他们早了一个小时。
[/size]
[align=center][size=4][img]http://static.cnbetacdn.com/newsimg/2014/0314/28_1394775551.jpg_w600.jpg[/img][/size][/align]
[align=center][size=4]抱着一台Chromebook的Google安全工程师CHris Evans。[/size][/align]
[size=4]相关新闻:[b]以入侵Chrome OS为目的的Pwnium[/b][/size]
[size=4]本周三的时候,Google举办了自家的One Day黑客挑战赛,攻破Chrome OS的安全研究人员,将瓜分总额270万美元的奖金。
[/size]
[size=4]尽管Google没有透露参与者的具体数量,但是George Hotz(更牛气的名字叫做"神奇小子-Geohot")在一台HP Chromebook本子上赢得了15万美元的奖金。[/size]
[size=4]有趣的是,第二名获奖者也是在同一款设备上压榨出的奖金。此外,Hotz还在Pwn2Own上拿到了5万美元的Firefox漏洞奖励。[/size]
[size=4]在Google刚开始打造Chrome浏览器的时候,安全工程师Chris Evans就已经在参与了。在本周于温哥华举办的挑战赛上,他拿到了与Gorenc、Bekrar等获奖者类似的奖励。[/size]
[size=4]Evans表示,该公司已经为安全奖励计划和Pwnium挑战赛上的“所犯的错误”而支出了超过300万美元(这自然包括本周在内的Pwnium)。这一趋势仍在加速,7个月前,Google刚刚跨过了200万美元的门槛。[/size]
[[i] 本帖最后由 fiendgreed 于 2014-3-14 21:36 编辑 [/i]]
漏水的潜艇 2014-3-14 22:00
这些黑客还是善意的,要是遇到唯利视图的黑客,那没有那么好搞定。
在线客服(1)