Lokihardt只是出现在大众视野中的韩国黑客培养成果之一。也许,在韩国还有很多水平接近甚至超越Lokihardt的黑客高手,完善的人才培养体系才是最强大的竞争力。 大赛隐身:欧美黑客真“衰败”了吗? 曾经辉煌无限的欧美黑客战队,如今只能跑跑龙套。以MWR实验室为例,早在2013年Pwn2Own大赛上,MWR实验室就攻克了当时看似毫无弱点的谷歌Chrome沙箱,然而仅仅过了三年,当他们再次向谷歌智能手机发起挑战时,却落得铩羽而归,很显然是赛前准备好的漏洞被谷歌封堵,而MWR实验室又没有足够的技术储备拿出第二套攻击方案。 Pwn2Own历史上最成功的战队法国VUPEN,则是在2015年赛前公开宣布退出该赛事。VUPEN创始人ChaoukiBekrar在推特上吐槽,“Pwn2Own 2015就是个笑话,奖金减少,比赛难度却提高了很多,还是等Pwn2Own 2016吧”。 图:VUPEN创始人吐槽Pwn2Own难度提升、奖金缩水 正如VUPEN创始人所说,Pwn2Own 2015的IE项目难度已经远超2014年“独角兽”大奖难度,此前都没有人能获得“独角兽”奖项,更何况奖金又缩水,显然即使VUPEN有能力挑战IE,也不愿拿出压箱底的绝技去赚取远远低于漏洞实际价值的比赛奖金。 时至2016年,黑客比赛非但没有降低难度,反而更进一步,无论是Pwn2Own还是PwnFest,都选择了挑战谷歌、微软、苹果、VMware和Adobe最新版本、最高级别防护的产品,尽管PwnFest拿出了三倍于Pwn2Own的奖金,但对于贩卖漏洞赚大钱的“网络军火商”VUPEN来说也欠缺足够的吸引力。 另一方面,VUPEN不仅不再通过比赛向谷歌微软提供漏洞赚奖金,反而拿出更多钱在全世界公开收购漏洞。2015年,VUPEN推出0day漏洞收购平台Zerodium,明码标价收购各类流行软件和智能手机的漏洞,甚至以百万美元悬赏苹果iOS系统的远程越狱漏洞,而VUPEN就作为中间商把漏洞攻击代码出售给一些政府和机构客户,从中赚取更高额的利益。 今年曝光的iOS“三叉戟”漏洞攻击,有信息表明这次攻击工具是由以色列一家公司提供的。这样的隐秘高手恐怕不在少数,但不是所有人都愿意在公开赛场上把漏洞提交给厂商去修补。 以这次PwnFest上360联队攻破的VMware Workstation、谷歌Pixel手机、微软Edge浏览器和Adobe Flash Player为例,通过比赛赢得的奖金有53万美元,但如果像VUPEN一样去售卖漏洞,至少还能获得翻倍的利益。只不过,对于争先恐后免费给微软谷歌报告了大量漏洞的几家中国企业来说,提升国际影响力才是主要目标,奖金也不过是锦上添花而已。 可以想见,未来的黑客大赛或许仍会由中韩少数活跃团队统治。而在漏洞攻防技术的比拼上,竞争还将长时间持续下去。要知道,VMware Workstation在今年3月Pwn2Own上还无人能够攻破,11月的PwnFest就被360联队和韩国神童Lokihardt分别找到弱点成功突破。实力的此消彼长就只在一点灵光闪现之间,这恐怕也是黑客世界最令人着迷之处。 (责任编辑:本港台直播) |