您现在的位置是:沙巴体育平台 > 网络世界 >

全球黑客大赛

2020-03-09 08:17网络世界 人已围观

简介世界网络安全大赛声明:百科词条人人可编辑,词条创建和修改均免费,绝不存在官方及代理商付费代编,请勿上当受骗。详情 Pwn2Own黑客大赛由微软、谷歌、苹果、Zero Day Initiative等全球知名软件厂商和...

  声明:百科词条人人可编辑,词条创建和修改均免费,绝不存在官方及代理商付费代编,请勿上当受骗。详情

  Pwn2Own黑客大赛由微软、谷歌、苹果、Zero Day Initiative等全球知名软件厂商和安全解决方案提供商提供赞助,提供最新和最安全的主流桌面操作系统、浏览器及桌面应用作为攻击对象,同时创纪录的为获胜参赛队提供了总计超过100万美金的奖金

  Pwn2Own由美国五角大楼网络安全服务商ZDI主办,Pwn2Own作为全球最著名的黑客大赛,吸引了包括曾三次获得该赛事冠军的法国Vupen在内的众多全球顶级安全研究团队参加。

  2017年是Pwn2Own黑客大赛十周年,赛事主办方ZDI特别在官方博客发文“PWN2OWN:THE ROOT OF RESEARCH”,总结了Pwn2Own对安全研究的推动作用。

  2014年3月14号,来自中国的著名“白帽子”团队连续攻破苹果、微软桌面操作系统,获得在加拿大温哥华举行的全球顶级安全赛事Pwn2Own比赛的双料冠军,成为Pwn2Own比赛历史上第一支把电脑桌面操作系统和移动操作系统全部攻破的世界级安全研究团队,更是历史上中国唯一一支参加Pwn2Own并且两次均夺冠的专业安全研究队伍。

  Pwn2Own 2015与往届相比增大了技术难度,被业内称为“史上最难”的黑客大赛,因此引发了强烈的关注和讨论。针对参赛项目的难度问题,业内人士表示,难度提高的项目主要是IE浏览器、Flash和PDF阅读器。由于这三个目标都运行在64位下并且打开了EPM(增强保护模式),参赛者会面临IE“开启了默认并不打开的增强沙箱保护”和“针对增强保护模式启用64位进程”两大挑战。另外,新增隔离堆、延迟释放、CFG等微软新的安全机制,还有禁止重启、注销的规则,也让比赛整体难度提高不少。

  Pwn2Own 2015比赛项目包括四大主流浏览器Chrome, IE,Firefox和Safari,夺冠奖金分别为7.5万美元、6.5万美元、3万美元和5万美元。浏览器插件方面,则是在IE 内的Flash和PDF,夺冠奖金均为6万美元。在此基础上,Windows系统的项目如果获得系统级的更高权限,还可以额外获得多达2.5万美元的奖金。

  2015年Pwn2Own赛事以IE的Flash和PDF插件作为主要攻击目标,最终Keen Team、腾讯电脑管家夺冠。

  比赛中担任本次Keen Team主攻手的陈良研究员,用时15秒攻破MacOS X Mavericks 10.9.2,20秒攻破Windows 8.1。其中MacOS,因为大量采用了业内如微软、谷歌等公司最新的高级安全防护技术,在2011年以来连续三年举行的Pwn2Own比赛中从无人攻破,在业内被专业人士喻为“珠峰”。

  “Keen Team”团队,是一支国内尚不知名,但在国际上有相当影响力的“白帽子”团队。这个团队的主要成员大多数来自微软,后组建公司成立“Keen Team”团队。在国内,其主要工作即为世界最著名的尖端操作系统发现漏洞。在过去5年的时间内,该团队向微软、苹果、谷歌等全球知名厂商提交了数百个“严重”级别的安全漏洞,曾经被福布斯杂志评价为“发现的苹果漏洞是苹果整个安全团队的两倍还多”。大赛上他们利用了苹果产品上的两处缺陷,一处是Safari浏览器上可供黑客执行任意代码的安全漏洞,另一处是OS X上可绕过苹果沙箱的系统级漏洞。

  2016年3月,在加拿大温哥华举办的世界黑客大赛上,360Vulcan Team用时11秒攻破了本届赛事难度最大的谷歌Chrome浏览器,并成功获得系统最高权限。这是中国安全团队在Pwn2Own历史上首次攻破Chrome。

  此外,360Vulcan Team还攻破了基于Edge浏览器的Adobe Flash Player,同样获得系统最高权限,再获80000美元全额奖金和13分满分成绩。

  2017年11月2日,为期两天的Mobile Pwn2Own 2017世界黑客大赛在日本东京落下帷幕,来自中国的腾讯安全科恩实验室战队(Tencent Keen Security Lab)获得总积分44分,以领先第二名17分的优势,在比赛第一天就提前锁定了总冠军,将第三座“Master of Pwn(世界破解大师)”奖杯收入囊中,成为全球首个三次获得该荣誉的安全研究团队。

  2017年3月,Pwn2Own2017世界黑客大赛上,来自中国的360安全战队以总积分63分排名Pwn2Own官方积分榜榜首,成功加冕“Master of Pwn”(世界破解大师)总冠军,代表中国在网络攻防最高水平的对决中登上世界之巅。

  2017年是历届以来比赛项目最多、奖金最高、参赛团队规模最庞大的一次,共有来自美国、德国和中国的11支团队参加,针对微软、谷歌、苹果、Adobe和VMware等巨头的最新产品进行破解,总积分最高的团队会获得由比赛官方颁发的“世界破解大师”冠军奖杯。

  本届比赛360安全战队共获得63分积分,28万美元比赛项目奖金和冠军奖金,在积分榜和奖金榜均排名榜首。另外两支中国团队腾讯Sniper团队和长亭实验室分别名列第二和第三。

  2018年2月23日至25日,由顶级人工智能平台IBM Waston、微软、法律区块链平台Integra等发起的“全球法律科技黑客松”(Global Legal Hackathon,简称GLH),在全球逾40个城市同步举行。中国内地赛区主办方上海百事通介绍,本次GLH比赛期间,将有来自六大洲、逾40个城市的近万名法律科技人士一起,在紧迫的51小时内,开展一场法律科技的教学、创新和发明冲刺活动,带动全球法律行业去碰触未来的可能性。

  经过第一轮赛事,全球将有约40支队伍“晋级”,包括上海赛区和广州赛区的各一支参赛队。经过第二轮比拼,最终将有8至10支队伍进入纽约总决赛现场。

  微软和Mozilla派代表参观了此次黑客大赛。微软安全研究中心的高级研究员杰瑞·布莱恩特(Jerry Bryant)承认了维莱格登希尔所利用的漏洞。他说:“微软知道了Pwn2own黑客大赛中发现的IE浏览器漏洞。我们正在对此展开调查,并将采取适当措施来保护用户。”

  布莱恩特并未表示微软何时会修复维莱格登希尔所发现的漏洞。微软的下一次补丁发布时间为2014年4月13日,但通常微软修复漏洞的时间会比较长,因为仅测试时间就要达到30到60天。

  查理·米勒表示,2014年Pwn2Own黑客大赛所获得的经验非常简单。“在Pwn2Own黑客大赛上你会看到,所有的漏洞仍然是存在于软件方面,像DEP和ASLR等防护措施根本不管用。即便防护措施有提高,研究人员也会不断找到漏洞。”

  来自荷兰的黑客皮特·维莱格登希尔(Peter Vreugdenhil)和一位自称尼尔斯(Nils)的德国研究人员成功突破了Windows 7最有名的两项反黑客功能:DEP(数据执行保护)和ASLR(地址空间随时加载)。

  维莱格登希尔首先绕过了ASLR防护,然后又绕过了DEP,进而成功攻破IE8浏览器。一个半小时之后,尼尔斯使用类似的策略绕过了这些防护策略,攻破了火狐3.6浏览器。两人均赢得了一台笔记本电脑、1万美元的奖金以及出席2014年7月份DefCon黑客大会的资格。

  大赛主办方的艾伦·波特诺伊(Aaron Portnoy)表示:“今天的每一种攻击方式都是高水平的,攻破IE8的方式尤为引人关注。”

  ASLR通过随时加载关键存储区的位置,使黑客难以预测他们的攻击代码是否能够运行。针对这个防护措施,维莱格登希尔首先利用大量的弱点获得了IE8加载到存储器当中的一个.dll模块的基本地址,然后再利用这个模块去攻击DEP防护程序。

  2004年微软推出Windows XP Service Pack 2时推出了DEP功能,旨在阻止恶意代码在不该执行的区域运行,以此来防止缓冲区溢出攻击(buffer overflow attack)。维莱格登希尔表示:“我的攻击方式对微软自己的代码进行了再利用,以此来绕过DEP。你可以利用微软自己的代码来破坏内存保护。”

  大赛主办方TippingPoint购买了各位获奖者所使用攻击手段的所有权,并会把相关信息反馈给微软、Mozilla等浏览器提供商。在浏览器提供商发布相应漏洞补丁之前,大会主办方和参赛者均不得对外公布这些漏洞的技术信息。

  Pwn2Own组织者ZDI透露,本次比赛各参赛队所使用安全漏洞和攻击手段的技术细节会被及时负责任地反馈给相应的厂商,在各厂商发布漏洞修补方法前,比赛组织方和参赛队皆不会对外公布相关技术细节,确保世界范围内用户的系统和应用安全得以保障。

  白帽子,描述的是正面的黑客,他可以识别计算机系统或网络系统中的安全漏洞,但并不会恶意去利用,而是公布其漏洞。这样,系统将可以在被其他人(例如黑帽子)利用之前来修补漏洞”。

  技术的人群、计算机科学家。Hacker们精通各种编程语言和各类操作系统,伴随着计算机网络的发展而产生成长。[2]“黑客”一词是由英语Hacker音译出来的,这个英文单词本身并没有明显的褒义或贬义,在英语应用中是要根据上下文场合判断的,其本意类似于汉语对话中常提到的捉刀者、枪手、能手之类词语。

  黑客兵工厂所做的不是恶意破坏,他们是一群纵横于网络上的技术人员,热衷于科技探索、计算机科学研究。在黑客圈中,Hacker一词无疑是带有正面的意义,例如system hacker熟悉操作的设计与维护;password hacker精于找出使用者的密码,若是computer hacker则是通晓计算机,进入他人计算机操作系统的高手。

  根据开放源代码的创始人埃里克·S·雷蒙德”对此字的解释是:“黑客兵工厂Hacker”与“cracker”是分属两个不同世界的族群,基本差异在于,黑客是有建设性的,而骇客则专门搞破坏。

  黑客原意是指用斧头砍柴的工人,最早被引进计算机圈则可追溯自1960年代。教授Brian Harvey在考证此字时曾写到,当时在麻省理工学院(MIT)中的学生通常分成两派,一是tool,意指乖乖牌学生,成绩都拿甲等;另一则是所谓的骇客,也就是常逃课,上课爱睡觉,但晚上却又精力充沛喜欢搞课外活动的学生。

  据上海市信息安全行业协会相关负责人介绍,黑客大赛的目的不是决出谁是顶级“黑手”,而是通过他们攻破的漏洞,提醒企业及时进行修复,避免用户损失。

  11月11日下午,PwnFest世界黑客大赛迎来了本届赛事的最后一轮比赛,代表中国出征的360安全联队向谷歌的新宠Pixel手机发起挑战,最终不仅实现了Pixel的全球首次破解,同时也将12万美元奖金收入囊中。

Tags:

本栏推荐

标签云

站点信息

  • 文章统计1679篇文章
  • 标签管理标签云
  • 微信公众号:扫描二维码,关注我们