一篇文章看懂Pwn2Own与Defcon

2019-05-15 07:18:07 来源: 成都信息港

进入三月份,全部信息安全界都动了起来,只因全球黑客大赛PWN2OWN 2015来了。

3月18日,Pwn2Own 2015将在加拿大温哥华拉开战幕。在延续两天的比赛中,来自全球黑客高手,将向IE、Chrome、Safari、Firefox等常见浏览器以及IE的Flash和PDF插件发起攻击,夺取高额比赛奖金。

大黑客们忙着参赛,小黑客们也抱着看热闹的心态翘首以盼。不过对于很多信息安全的新手来说,他们往往会将Pwn2Own与另外一国际黑客赛事Defcon ctf混淆,搞不清楚二者的区别。

借着Pwn2Own 2015开赛在即的间隙,从比赛情势、参赛门槛、参赛选手、活动氛围四个维度对两大国际黑客大赛进行全面比较,帮助年轻黑客及安全技术研究爱好者更好的认识和了解Pwn2Own与Defcon CTF 。

Pwn2Own 像射击,Defcon CTF像足球

Defcon CTF更倾向于人与人之间的对抗 。CTF赛制代替之前黑客们通过互相发起真实攻击进行技术比拼的方式,得到广泛普及。仅2014年全球就有超过50场国际性CTF赛事举行,而DEFCON CTF总决赛则是CTF赛事中的舞台。

与之相比,至今仅第七个年头的Pwn2Own就要年轻的多,比赛情势也更新颖。Pwn2Own比赛的目标硬件为安装当年系统的Windows或苹果笔记本,软件则是版浏览器及其插件。

由美国五角大楼入侵防护系统供应商TippingPoint的DVLabs资助总计近百万美元的赛事奖金每一年吸引着无数的黑客对这些产品发起挑战。

不难看出,Defcon CTF对临场发挥的要求更高。而从竞技的角度来讲CTF更倾向于对抗,Pwn2Own则是对同目标的比拼。用体育项目来比喻的话,CTF就是足球比赛,Pwn2Own就是目标明确的射击比赛。

顺便说说今年Pwn2Own的6个靶心。浏览器目标有三个,分别为Chrome 42、 IE 11、Firefox,两个Windows浏览器插件目标即运行在IE 11内的Flash播放器和PDF阅读器,以及苹果系统自带的Safari浏览器。

与以往不同的是,2015PWN2OWN的靶心更小了。本届赛事IE浏览器、Flash、PDF阅读器三个目标都运行在64位下并且打开了EPM(增强保护模式),致使赛事的整体难度大幅提升。

如何直观了解项目的难度,从主办方为其悬赏的奖金就可以看出。攻破Chrome、IE、Firefox和Safari四大主流浏览器分别为7.5万美元、6.5万美元、3万美元、5万美元。而IE浏览器插件Flash与PDF的奖金均为6万美元。当然如果能够在此基础上,获取目标更高的系统级权限,还能拿到2.5万元的额外奖金,鼓励黑客们去发现更多更高级的漏洞。

然而曾在Pwn2Own比赛上攻破Chrome的常胜将军VUPEN黑客团队创始人Chaouki Bekrar就公开在推特上表示:2015年的Pwn2Own你在开玩笑吗?奖金少了,难度却增加了(64位、EMET、增强沙箱保护、禁止注销/重启等),坐等2016的到来。

当然业内赫赫有名的TK教主于旸在知乎上对此事的评价称是VUPEN认为比赛难度提升,奖金却变少了,不合理。毕竟VUPEN是以此为业的。

全民CTF,精英Pwn2Own

CTF赛事入门门坎相对较低,鼓励大众的参与,无论是专业人士、泛专业人士、爱好者都可参与,除正式比赛外,年轻黑客还可以考虑报名CTF外围赛磨练自己。

参加PWN2OWN赛事门坎就相对高了许多,仅仅注册报名就需上万人民币。即便是黑客没有充分的准备也不会冒然参赛的,毕竟每个靶心背后站着全球互联公司的安全团队倾力打造的安全体系。

换个角度来说,CTF赛事中不乏学生战队,如国内的参加CTF的常客蓝莲花战队,就是以清华学生为参赛主体。而Pwn2Own中学生参赛情况较为罕见。

不过这不能代表CTF或Pwn2Own的参赛者水平孰高孰低,CTF赛事的队伍参加Pwn2Own也不在少数。

CTF赛事多数是团队作战,毕竟在48小时或者更短的时间需要完成主办方设置的题目获得旗帜,进行技术攻防,所以单人作战往往顾此失彼,力不从心。优势互补的团队作战是CTF赛事的主流。

然而盘点历年PWN2OWN个人参赛者就不少,但随着比赛难度的逐步提高,PWN2OWN团队作战比例呈现上升趋势。如图所示,去年被破解的项目中团队作战占比超过63%。

2014 PWN2OWN 一览左至右依次是得主、团队名、年份、挑战项目

团队作战的代表中除夺冠次数多的VUPEN战队外,来自中国的Keen Team战队也是团队作战的代表战队,连续两届夺冠的他们俨然成为国内乃至亚洲黑客战队的旗帜。

CTF 嘉年华,Pwn2Own锦标赛

从活动气氛上来讲,CTF相比PWN2OWN更活跃。这可能与CTF赛制的诞生地Defcon有关,Defcon一直以嘉年华的形式举办,CTF比赛现场常常在现场设置大屏幕观看排名,炫目的示意图等。

今年2月日本举办的SECCON CTF中攻防可视化技术的展示

相比之下PWN2OWN更重视研究院员的技术成果,现场气氛较为严肃,毕竟挑战全球知名软件背后的安全团队并不是一件容易的事情。

Defcon CTF气氛活跃可能还有历史基因的关系在里面。Defcon创始人、黑客社区的摇滚Jeff Moss创建Defcon的初衷,源自有一次他为朋友办了一个告别Party,结果他朋友先走了。MOSS就把熟悉的黑客叫过来继续开Party,演化成全球的黑客大会Defcon。

分享个冷知识,Pwn2Own里的Pwn是一个黑客语法的俚语词,自"own"这个字引申出来的,这个词的初始含义是玩家在全部游戏对战中处在胜利的优势,或是说明竞争对手处在完全惨败的情形下,这个词习惯上在络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败。

在黑客界中意为攻破、控制的意思,黑客需要利用漏洞来修改程序(或进程)中的标准执行路径,从而达到执行任意命令的目的。Pwn2Own顾名思义就是攻破控制设定好的挑战目标。

说了那么多,相信大家心中对Pwn2Own与Defcon CTF有清晰的轮廓。其实黑客大赛和其他竞技比赛一样,外行看热闹,内行看门道。同级别的比赛中GeekPwn可谓是亲民的黑客大赛,感兴趣的可以自行了解下,在此就不复述了。

2015 PWN2OWN马上就要开始了,终究会有哪些中国或亚洲的安全研究团队出现在Pwn2Own现场,又有谁能够打中靶心成为今年的神枪手呢,让我们拭目以待吧。

女月经不调怎么办
气虚月经不调食疗方法
血瘀会导致经期延长吗
本文标签: