说起传奇黑客,美国、俄罗斯等欧美互联网强国,甚至一些东欧小国,都曾人才辈出。在国际知名的黑客大赛Pwn2Own上,法国著名的“网络军火商”VUPEN就上演过四连冠的纪录。然而从2015年开始,世界级的黑客赛场竟突然被亚洲统治,中韩两国的战队成为最闪耀的胜利者。
黑客大赛从欧美独大演变为中韩争霸格局,究竟是因为亚洲实力崛起,还是有更复杂的原因?本文将深入比赛台前幕后揭晓答案。
现象:亚洲统治黑客赛场
历数近两年来由微软、谷歌等巨头官方合作并作为裁判的5次破解类(Pwn)大赛,中国的360、腾讯和韩国神童Lokihardt无疑是绝对主角:
2015年3月Pwn2Own,韩国神童Lokihardt异军突起,独力攻破Chrome、IE和Safari三大浏览器,成为本届比赛的最大赢家;中国的360Vulcan Team首次参赛攻破了IE,腾讯Keen Team则攻破了Adobe Flash和Adobe Reader。欧美选手中,只有刚离开VUPEN的Nicolas Joly拿下Adobe Flash和Adobe Reader。
2015年11月Mobile Pwn2Own,中国360Alpha Team全球首次攻破谷歌Nexus 6手机,也是该赛事唯一的优胜者。
2016年3月Pwn2Own,腾讯派出3只团队挑落Edge、Safari和Adobe Flash,累计获得182500美元奖金;360Vulcan Team攻破Chrome和Adobe Flash,获得132500美元奖金;韩国神童Lokihardt再次出手,攻破Edge和Safari获得145000美元奖金。此次赛事,欧美选手无一获奖,这也是欧美黑客在Pwn2Own历史上首次无缘奖金。
2016年10月Mobile Pwn2Own,本届比赛只有腾讯和英国的MWR实验室参加,腾讯攻破Nexus 6P,并在iPhone 6S破解项目上获得部分成功,拿到21.5万美元奖金;MWR实验室则完全沦为陪跑角色,没有获得任何奖项。
2016年11月PwnFest,360组成联队参赛,成功攻破VMware Workstation、谷歌Pixel手机、Edge、Adobe Flash四个项目,创纪录地获得史上最高的53万美元奖金和“Lord of Pwn”(破解之王)金牌;韩国神童Lokihardt攻破VMware Workstation和Edge,获得29万美元奖金;中国著名的iOS越狱团队盘古和Lokihardt又组成联队,攻破Safari,获得10万美元奖金。
php?url=0EyZo7TX5O" alt="揭秘:世界黑客大赛为何会上演“中韩争霸”" />
图:360安全联队在PwnFest上获得“破解之王”金牌
再看夺旗类(CTF)黑客大赛,最具盛名的DefCon CTF原本由美国老牌强队PPP长期垄断冠军,但是在2015年,韩国神童Lokihardt领衔的DEFKOR战队成为黑马勇夺冠军,以至于PPP战队临时召回首日未参赛的天才黑客Geohot救火,但仍未能挽回败局。尽管在2016年PPP战队重夺冠军,中国的b1o0p战队和韩国DEFKOR战队也表现出色,分别获得第二名和第三名,真正具备了挑战冠军的实力。
中韩争锋:巨头重金投入VS举国之力打造梦之队
尽管同为世界级黑客赛场新贵,但是在顶级网络攻防技术人才的培养方面,中韩两国却走着截然不同的道路。
中国的360Vulcan Team、腾讯Keen Team均出自互联网企业,专门做漏洞攻防领域的技术研究,相当于专攻“高精尖”课题的特种兵。所谓“未知攻、焉知防”,这类研究团队挖掘操作系统和基础软件漏洞和利用技术,推动厂商修复,同时将技术能力输出到产品防御体系中。其他国内巨头中,阿里巴巴、百度等厂商也各自组建了以漏洞研究为核心的实验室团队。
在微软、谷歌和Adobe的漏洞致谢榜上,360分别获得这三家厂商上百次漏洞致谢,在全球范围内首屈一指,腾讯和百度在微软致谢榜上也各有数十次漏洞致谢。每当谷歌等巨头发布安全公告,中国安全厂商发现漏洞获得致谢而刷屏已经成为常态。
组建高水平攻防团队,一方面需要植根于安全业务,和企业产品服务形成良性的互动,另一方面有重金支持也是必不可少的。作为网络空间战的重要武器,漏洞价值不断提升,研究人员的身价自然水涨船高,必须以强大的经济实力作为后盾。
与中国由各大企业培养明星战队不同的是,韩国神童的横空出世更依赖举国之力。
韩国政府BOB计划(Best of the Best)从2012年起,每年以无上限的经费和资源培养超过100名年轻信息安全参赛者。时至今日,依托举国之力和军方背景,四年时间终于打造出以Lokihardt为代表的梦幻战队。
在韩国,黑客竞赛获胜可抵高考成绩,信息安全公司的雇员甚至可免服兵役!由于韩国政府强制要求企业定期雇人进行渗透测试,只有区区五千万人口的韩国,却有着两百多家信息安全企业。韩国军队还和韩国三所最著名高校之一的高丽大学签有协议:让最好的学生去学网络战,给他们全额奖学金,毕业后为军队服务。
图:Pwn2Own赛场上的韩国神童Lokihardt
Lokihardt只是出现在大众视野中的韩国黑客培养成果之一。也许,在韩国还有很多水平接近甚至超越Lokihardt的黑客高手,完善的人才培养体系才是最强大的竞争力。
大赛隐身:欧美黑客真“衰败”了吗?
曾经辉煌无限的欧美黑客战队,如今只能跑跑龙套。以MWR实验室为例,早在2013年Pwn2Own大赛上,MWR实验室就攻克了当时看似毫无弱点的谷歌Chrome沙箱,然而仅仅过了三年,当他们再次向谷歌智能手机发起挑战时,却落得铩羽而归,很显然是赛前准备好的漏洞被谷歌封堵,而MWR实验室又没有足够的技术储备拿出第二套攻击方案。
Pwn2Own历史上最成功的战队法国VUPEN,则是在2015年赛前公开宣布退出该赛事。VUPEN创始人ChaoukiBekrar在推特上吐槽,“Pwn2Own 2015就是个笑话,奖金减少,比赛难度却提高了很多,还是等Pwn2Own 2016吧”。
图:VUPEN创始人吐槽Pwn2Own难度提升、奖金缩水
正如VUPEN创始人所说,Pwn2Own 2015的IE项目难度已经远超2014年“独角兽”大奖难度,此前都没有人能获得“独角兽”奖项,更何况奖金又缩水,显然即使VUPEN有能力挑战IE,也不愿拿出压箱底的绝技去赚取远远低于漏洞实际价值的比赛奖金。
时至2016年,黑客比赛非但没有降低难度,反而更进一步,无论是Pwn2Own还是PwnFest,都选择了挑战谷歌、微软、苹果、VMware和Adobe最新版本、最高级别防护的产品,尽管PwnFest拿出了三倍于Pwn2Own的奖金,但对于贩卖漏洞赚大钱的“网络军火商”VUPEN来说也欠缺足够的吸引力。
另一方面,VUPEN不仅不再通过比赛向谷歌微软提供漏洞赚奖金,反而拿出更多钱在全世界公开收购漏洞。2015年,VUPEN推出0day漏洞收购平台Zerodium,明码标价收购各类流行软件和智能手机的漏洞,甚至以百万美元悬赏苹果iOS系统的远程越狱漏洞,而VUPEN就作为中间商把漏洞攻击代码出售给一些政府和机构客户,从中赚取更高额的利益。
今年曝光的iOS“三叉戟”漏洞攻击,有信息表明这次攻击工具是由以色列一家公司提供的。这样的隐秘高手恐怕不在少数,但不是所有人都愿意在公开赛场上把漏洞提交给厂商去修补。
以这次PwnFest上360联队攻破的VMware Workstation、谷歌Pixel手机、微软Edge浏览器和Adobe Flash Player为例,通过比赛赢得的奖金有53万美元,但如果像VUPEN一样去售卖漏洞,至少还能获得翻倍的利益。只不过,对于争先恐后免费给微软谷歌报告了大量漏洞的几家中国企业来说,提升国际影响力才是主要目标,奖金也不过是锦上添花而已。
可以想见,未来的黑客大赛或许仍会由中韩少数活跃团队统治。而在漏洞攻防技术的比拼上,竞争还将长时间持续下去。要知道,VMware Workstation在今年3月Pwn2Own上还无人能够攻破,11月的PwnFest就被360联队和韩国神童Lokihardt分别找到弱点成功突破。实力的此消彼长就只在一点灵光闪现之间,这恐怕也是黑客世界最令人着迷之处。