在黑客的世界里,Pwn2Own作为最富盛名的国际性黑客破解赛事,凭借着规模最大、项目最多、奖金最丰厚的三大优势,代表着漏洞破解角逐的极致巅峰。现如今,一场被称为中国版Pwn2Own的 “天府杯”国际破解大赛崛起,让漏洞攻防交流的桥头堡向东方迁移。
中国这个名副其实的网络大国,从来不乏顶尖的安全力量,在2019天府杯上,360Vulcan、CodeLeader、TQL等国内外顶尖战队齐聚,围绕目标赛题上演国际级漏洞破解大战。
打造全球漏洞破解交流平台
中国版Pwn2Own应运而生
Pwn2Own由美国五角大楼网络安全服务商TippingPoint旗下ZDI项目组主办,创办至今已有12年,是历史最悠久、规模最大、项目最多、奖金最高的黑客巅峰之战。每年三月,安全圈的目光都会聚焦在加拿大温哥华举办的Pwn2Own黑客破解大赛上,共同见证“破解大师”(Master of Pwn Awarded)世界冠军荣誉的诞生,揭示安全圈下一年的漏洞研究风向。
长久以来,Pwn2Own一直被欧美战队所统治,但随着近年来中国网络安全技术的飞速发展,中国网安战队逐渐在Pwn2Own等国际赛事中崭露头角。Pwn2Own 2017世界黑客大赛上,360 Vulcan Team就在与十支国际战队的厮杀中,成功实现Edge+Win10+ VMware虚拟机三连杀破解,并以总积分63分、总奖金28万美元荣登积分榜奖金榜首位,打破欧美垄断为中国赢得“Master of Pwn”(世界破解大师)总冠军荣誉。
来到2018年,为加强对漏洞等网络安全战略资源的保护,以及推动中国网安技术发展,国家收紧安全战队参加海外黑客赛事管理,但这绝非是拒绝交流。同年,以中国版 Pwn2Own为目标的 “天府杯”应运而生,政企多方联手搭建全球性网络安全技术交流空间,全速推动中国网络安全技术升级。得益于多方因素,促成了天府杯媲美Pwn2Own奖金、赛制、规模的一流水准。
奖金赛制媲美Pwn2Own
天府杯立足中国吸揽全球精英
衡量黑客大赛的水准与重量级,最直观的四点就是奖金额度、赛制难度、赛题规模、参赛队伍的数量与质量,而天府杯缘何创立两年,就足以媲美Pwn2Own的国际水准?
一是天府杯奖金池高达百万美元、单项最高奖金20-25万美元。总奖金与Pwn2Own不相上下,单项奖金也一度与Pwn2Own历史最高记录比肩。2018天府杯上,360伏尔甘团队仅用两个漏洞就实现苹果手机远程越狱,创下PWN类比赛中首次利用漏洞实现苹果手机远程越狱,成就史上最强“漏洞挖掘大满贯”,斩获大赛单项最高奖励20万美金,奖金之丰厚可见一斑。
二是残酷“0day漏洞”赛制创国际高水准对决。“天府杯”设定的挑战环境里,攻击所利用的漏洞必须是未知、未公开的漏洞,并且漏洞不能重复使用,这就意味着,攻击者的漏洞必须是货真价实的“0day漏洞“,否则将被判定挑战项目失败。除此以外,攻击者只有3次破解机会,每次挑战不能超过5分钟。所以比赛的关键就在于,战队必须以最优技术路线,按秒计算攻克项目,才有可能夺下高额度的项目奖金。
三是重点围绕国内外常用系统或软件、知名厂商展开漏洞争锋。“天府杯”赛题目标涵盖谷歌、微软、苹果、VMware 、Adobe 、Vivo 、OPPO 、小米等知名品牌,悉数成为安全精英键盘下攻击的目标。相比2017年,才从Web浏览器,向虚拟机、服务器、企业应用方向拓展的Pwn2Own,天府杯更能代表漏洞破解的最前沿。正是基于这一原因,2019天府杯现场出现了全球各大品牌商竞相派代表全程驻场,紧盯漏洞破解进程的景象。
四是20+国际知名战队参赛,规模远超同类赛事水准。2019天府杯吸引了全球23支网络安全顶级技术团队,110余名网络技术精英同台竞技。细数两年来天府杯的发展历程,曾在“Pwn2Own”上赢得“世界破解大师”荣誉的360 Vulcan Team、360 Security,与中科院计算所、腾讯Atuin、腾讯安全Warriors、CodeLeader战队、TQL战队、ddd战队、StackLeader战队等来自全球的安全精英,上演“以秒速论成败”的漏洞破解较量。
吹响全球网安战队集结号
天府杯360 Vulcan展现中国力量
立足中国本土,天府杯正在打造一个对标国际重磅赛事,辐射全球的顶级漏洞破解交流平台。而这不仅给更多国内安全团队带来与海外战队交流的机会,也让360 Vulcan Team等国际水准的安全战队,有更多机会彰显技术实力,携手多方共同推动漏洞共享、利用、披露等机制建立与完善。
2018年天府杯拉开漏洞破解的序幕, 360旗下安全战队Security首战即问鼎首届“天府杯”冠军宝座。在与国内外安全战队焦灼竞争中,360 Security更上演了首日“四连破”,以及上5秒破解号称“全球无人攻破”知名软件,30秒实现苹果远程“越狱”的闪光操作,最终独揽62万美元奖金,一路引领赛事进程,稳步登顶称王。
2019年天府杯上,360 Vulcan Team再续传奇。全球23支战队共战天府杯,360 Vulcan Team凭借高质量的代码与利用方案,成功拿下微软Edge浏览、微软Office 365 Proplus、Ubuntu+qemu-kvm、Adobe PDF reader、VMware Workstation/ESXi五大项目,其中13秒极速攻破Ubuntu+qemu-kvm赛题,捧回“最具价值产品破解”奖。最终,360凭借总计38.25万美元奖金,以超过所有参赛战队奖金之和两倍的最高奖励,再度卫冕“破解之王”。
不破不立攻防相生,一语道破了网络安全相对性与动态性螺旋上升的本质。在2019“天府杯”为期两天的产品破解赛中,23支参赛队伍,收获28个0day漏洞,现已全部提交相关厂商,帮助微软、苹果、VMware等巨头公司针对比赛中被攻破的产品尽快发布补丁修复安全漏洞。
作为一场立足中国,集结全球技术精英的世界级破解大赛,天府杯迸发出安全火花之余,也为世界互联网安全贡献出了中国智慧,锚定了未来互联网安全的方向。而对于赢得冠军荣誉的360 Vulcan Team来说,在天府杯这样一个媲美Pwn2Own,且中国主场的大赛上拔得头筹,其意义也许已经从全球展露锋芒,转换为引领中国网安开辟自己的安全主场,让人们看到了中国网络安全头部企业世界级水准,更吸引全球精英来华交流,迸发安全智慧。