3
這世界對手藝人往往很殘酷。
例如,用蔥油餅傳承老上海味道的阿大,被一紙執照為難得幾乎關張。
例如,在賽博世界如風穿行的黑客們,曾經非要拋棄道德底線才能致富。
然而世界也不算太壞。阿大成了網紅,有了新的店鋪;而對于和技術死磕的黑客們來說,這些年出現了越來越多的好消息。以 Pwn2Own 為代表的黑客大賽,和各種黑客團隊參加的 CTF 奪旗賽,似乎正在讓一天有23小時緊盯屏幕的黑客們有了賺錢的機會。
不過,這個機會來得過于生猛。就在今年,即將在韓國舉辦的 PwnFest 破解大賽,總獎金達到了170萬美元。
這個數字有多瘋狂,讓我來告訴你,這些錢已經可以在帝都買一套相當湊合的房了。
電視機前的黑客們別激動,現在報名可能有點晚了。比賽還有幾個小時就要開始了。我們還是先來(含淚)看一下這個比賽是怎么玩的吧。
在賽博世界里,有讓所有黑客都頭疼的“三座大山”,如果有黑客可以同時搞定這八座大山,理論上他可以橫行于世界上的所有主流設備,像上帝一般一個人控制全世界。
如果他恰好是個反派。。。為了對付他,這個世界可能需要忙活一陣了。
這三座大山是:
PC 設備(包括Mac)、移動設備、虛擬化平臺
這170萬美元,就將屬于能推翻這三座大山的“壯士”。
確切來說,比賽從這三座大山中分出了八個項目,分別是:
微軟 Edge(PC)
谷歌 Chrome(PC)
蘋果 Safari(PC)
Adobe Flash Player(PC)
蘋果 iPhone7(移動)
谷歌 Pixel(移動)
VMware workstation(虛擬化平臺)
微軟 Hyper-V(虛擬化平臺)
老司機都知道,這八個軟件或硬件,來自全世界頂級的微軟、谷歌、蘋果、Adobe、VMware,這些產品幾乎凝結了人類網絡安全防御技術的最高峰。事實在此,似乎用不著使用什么華麗的辭藻來形容。
所以,規則很簡單:
如果你可以僅僅通過一個網頁,就可以完整地拿到這八個目標的控制權,錢就都是你的。當然,由于黑客的頂尖攻擊本身具有不穩定性,所以依照國際慣例,有三次嘗試的機會。
當然真實的情況是,全球最頂級的黑客可能也只能攻破其中的一些,所以項目的獎金是分開設置的。除了基本的獎金之外,還會因為“進階”的攻擊而拿到額外的獎勵。
【項目獎金設置/截圖來自 PwnFest 官網】
每個項目根據難易程度,會價值不同的獎章數量,而獲得獎章數量最多的,還能獲得破解之王(Lord of Pwn)的稱號。
這 170 萬誰來出呢?
雖然沒有明確標明,但是根據猜測,這些錢應該來自和組委會聯合舉辦大賽的五家企業。
【截圖來自 PwnFest 官網】
沒錯,用腳趾頭也應該想到,自己家的孩子自己管,誰會為別人家的漏洞付錢呢?
這“五大金剛”全部派技術人員到達現場,負責監督破解過程,最主要的是,把熱乎乎的漏洞帶回家趕緊補上。要知道對于廠商來說,這些漏洞會引發災難性的后果,它們的價值要遠遠超過帝都一套房吧。
畢竟,這些類型的漏洞在黑市上的價錢可能要數倍于此。
按照比賽規則,如果攻擊成功,參賽黑客必須把漏洞詳情和利用方法,完整地提交給官方,官方會在第一時間修復漏洞。
根據組委會在門口用貼出的“皇榜”,本次參賽的隊伍不多,有三組黑客。分別是來自中國的 360安全聯隊和盤古&JH 聯隊,以及韓國黑客神童 Lokihardt。
他們的挑戰目標如下:
【PwnFest 各路黑客挑戰項目】
在比賽前一晚,雷鋒網活捉了一枚參賽黑客,來自中國360安全聯隊的唐青昊。
唐青昊告訴雷鋒網,他挑戰的 VMware Workstation 將會是明天的第一個挑戰項目。而來自韓國本土的神童 Lokihardt 同樣會挑戰這個項目。
讓人期待的是,VMware 系列的虛擬化產品,自從誕生以來17年,還沒有黑客對外宣布成功破解。
唐青昊說,這次攻擊,他會使用四個漏洞,聯合攻破虛擬機。而他手里,還有一套更為簡單的方案,只需要一個漏洞就可以實現攻擊。
之所以選擇“劍走偏鋒”,是為了防止和 Lokihardt“撞洞”——兩個選手使用了同樣的漏洞。因為根據賽制,撞洞情況發生,獎金由先進行破解的黑客獨得。而上場破解的順序,是抽簽決定的。
雖然選手都是有備而來,但是這并不意味著他們就一定能夠在現場攻擊成功。因為現場環境和實驗環境的微小差異,甚至僅僅是運氣,都會決定攻擊程序是否起作用。就像美國大選一樣,不到最后一刻,誰都無法預知結果。
無疑,這三個團隊是距離170萬美元最近的人。運氣不錯的話,只要他們輕點鼠標,就可以瓜分這豐盛的獎金。如果他們愿意,還可以把獎金湊起來,在帝都買一套房子,幸福地生活在一起。
畫面太美,不好想象。還是期待 PwnFest 最終的結果揭曉吧。
文/史中(微信ID:Fungungun,歡迎講述你的黑客故事)
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
