加入雷鋒網,分享AI時代的信息紅利,與智能未來同行。聽說牛人都點了這裡。
這世界對手藝人往往很殘酷。
例如,用蔥油餅傳承老上海味道的阿大,被一紙執照為難得幾乎關張。
例如,在賽博世界如風穿行的黑客們,曾經非要拋棄道德底線才能致富。
然而世界也不算太壞。阿大成了網紅,有了新的店鋪;而對於和技術死磕的黑客們來說,這些年出現了越來越多的好消息。以 Pwn2Own 為代表的黑客大賽,和各種黑客團隊參加的 CTF 奪旗賽,似乎正在讓一天有23小時緊盯屏幕的黑客們有了賺錢的機會。
不過,這個機會來得過於生猛。就在今年,即將在韓國舉辦的 PwnFest 破解大賽,總獎金達到了170萬美元。
這個數字有多瘋狂,讓我來告訴你,這些錢已經可以在帝都買一套相當湊合的房了。
電視機前的黑客們別激動,現在報名可能有點晚了。我們還是先來(含淚)看一下這個比賽是怎麼玩的吧。
● ● ●
搞到 170 萬美元的正確姿勢
在賽博世界裡,有讓所有黑客都頭疼的「三座大山」,如果有黑客可以同時搞定這八座大山,理論上他可以橫行於世界上的所有主流設備,像上帝一般一個人控制全世界。
如果他恰好是個反派。。。為了對付他,這個世界可能需要忙活一陣了。
這三座大山是:
PC 設備(包括Mac)、行動裝置、虛擬化平臺
這170萬美元,就將屬於能推翻這三座大山的「壯士」。
確切來說,比賽從這三座大山中分出了八個項目,分別是:
老司機都知道,這八個軟體或硬體,來自全世界頂級的微軟、谷歌、蘋果、Adobe、VMware,這些產品幾乎凝結了人類網絡安全防禦技術的最高峰。事實在此,似乎用不著使用什麼華麗的辭藻來形容。
所以,規則很簡單:
如果你可以僅僅通過一個網頁,就可以完整地拿到這八個目標的控制權,錢就都是你的。當然,由於黑客的頂尖攻擊本身具有不穩定性,所以依照國際慣例,有三次嘗試的機會。
當然真實的情況是,全球最頂級的黑客可能也只能攻破其中的一些,所以項目的獎金是分開設置的。除了基本的獎金之外,還會因為「進階」的攻擊而拿到額外的獎勵。
【項目獎金設置/截圖來自 PwnFest 官網】
每個項目根據難易程度,會價值不同的獎章數量,而獲得獎章數量最多的,還能獲得破解之王(Lord of Pwn)的稱號。
● ● ●
最關鍵的問題:誰掏錢
這 170 萬誰來出呢?
雖然沒有明確標明,但是根據猜測,這些錢應該來自和組委會聯合舉辦大賽的五家企業。
【截圖來自 PwnFest 官網】
沒錯,用腳趾頭也應該想到,自己家的孩子自己管,誰會為別人家的漏洞付錢呢?
這「五大金剛」全部派技術人員到達現場,負責監督破解過程,最主要的是,把熱乎乎的漏洞帶回家趕緊補上。要知道對於廠商來說,這些漏洞會引發災難性的後果,它們的價值要遠遠超過帝都一套房吧。
畢竟,這些類型的漏洞在黑市上的價錢可能要數倍於此。
按照比賽規則,如果攻擊成功,參賽黑客必須把漏洞詳情和利用方法,完整地提交給官方,官方會在第一時間修復漏洞。
● ● ●
更關鍵的問題:哪些黑客來參賽
根據組委會在門口用貼出的「皇榜」,本次參賽的隊伍不多,有三組黑客。分別是來自中國的 360安全聯隊和盤古&JH 聯隊,以及韓國黑客神童 Lokihardt。
他們的挑戰目標如下:
【PwnFest 各路黑客挑戰項目】
在比賽前一晚,雷鋒網(公眾號:雷鋒網)活捉了一枚參賽黑客,來自中國360安全聯隊的唐青昊。
唐青昊告訴雷鋒網,他挑戰的 VMware Workstation 將會是明天的第一個挑戰項目。而來自韓國本土的神童 Lokihardt 同樣會挑戰這個項目。
讓人期待的是,VMware 系列的虛擬化產品,自從誕生以來17年,還沒有黑客對外宣布成功破解。
唐青昊說,這次攻擊,他會使用四個漏洞,聯合攻破虛擬機。而他手裡,還有一套更為簡單的方案,只需要一個漏洞就可以實現攻擊。
之所以選擇「劍走偏鋒」,是為了防止和 Lokihardt「撞洞」——兩個選手使用了同樣的漏洞。因為根據賽制,撞洞情況發生,獎金由先進行破解的黑客獨得。而上場破解的順序,是抽籤決定的。
雖然選手都是有備而來,但是這並不意味著他們就一定能夠在現場攻擊成功。因為現場環境和實驗環境的微小差異,甚至僅僅是運氣,都會決定攻擊程序是否起作用。就像美國大選一樣,不到最後一刻,誰都無法預知結果。
無疑,這三個團隊是距離170萬美元最近的人。運氣不錯的話,只要他們輕點滑鼠,就可以瓜分這豐盛的獎金。如果他們願意,還可以把獎金湊起來,在帝都買一套房子,幸福地生活在一起。
畫面太美,不好想像。還是期待 PwnFest 最終的結果揭曉吧。