说起当前赛事奖金最高的几个领域,相信很多人都会把眼光聚焦到热门的电竞行业。可最近,黑客界也在悄悄酝酿着一场重金赛事,11月10日即将在韩国首尔举办的PwnFest黑客破解赛,不仅豪掷170万美元奖金,赶超了近期同在韩国举办的DOTA2全球两年赛,还为获得最高积分的黑客选手打造了一座纯金的奖杯(Lord of Pwn)。
170万美元是什么概念?按照当前的汇率来算,大概相当于1148万人民币!有了这笔钱,你可以轻松cover掉法拉利、阿斯顿马丁之类的顶级跑车,或者买一辆豪华私人飞机、游艇,带着妹子上天入海,又或者买个不大的私人海岛占山为王……高额的奖金池刷新了人们对于黑客技术含金量的认知,也让人产生疑问——这个可以一夜之间快速致富的赛事究竟是什么来头?
首次入驻东半球的最高规格黑客大赛
作为韩国POC(Power of Community,社区力量)与微软、谷歌、Adobe、VMware等各大厂商联合举办的东半球首次全平台破解大会,PwnFest从成立之初就饱受关注。如果大家对黑客破解赛事不甚了解,可以参考近两年在国内出镜率极高的Pwn2Own。
PwnFest和黑客世界杯Pwn2Own有着类似的赛制,选手通过使用0day漏洞,对微软、谷歌、苹果、VMware等主流厂商的最新产品和操作系统进行现场破解,破解中使用的漏洞则在赛后提交给各厂商修复。
今年以来,黑客破解(Pwn)形式的比赛在东半球不断上演,从3月新加坡举办的Pwn0rama移动黑客大赛,到8月北京举办的第二届HackPwn硬件挑战赛……但从覆盖平台、挑战难度、奖金额度、参与厂商规格和数量等诸多指标来看,能够媲美黑客世界杯Pwn2Own的赛事,PwnFest黑客大赛尚属首次。
重金悬赏下的破解之路并不好走
PwnFest比赛平台囊括了目前含金量最高的软件和平台,如最新的Windows 10 RS1、Windows Server 2016、macOS Sierra、iOS 10/iPhone7、Android 7.0各类操作系统;以及微软Edge浏览器、Adobe Flash播放器、谷歌Chrome浏览器、微软Hyper-V虚拟化软件、VMWare workstation虚拟化软件、苹果Safari浏览器等。
相较以往的赛事,虽然PwnFest对于各目标的单项奖金都增长了一大截,但破解难度也水涨船高。以破解基于iOS10的iPhone7为例,想要拿下这个项目需要的漏洞和此前攻击中东的“三叉戟漏洞”十分相似,这个漏洞在黑市上已经被卖到了百万美元,其挖掘难度之高可想而知。
为了保障整个比赛的高难度,PwnFest还抛弃了过去热门但如今挑战难度较小的Mozilla FireFox以及Adobe PDF Reader等,精挑细选了各大破解比赛中令不少黑客望而却步的经典项目如Edge和Chrome。此外,在各大赛场上从未被黑客得手的两大虚拟化软件VMware workstation、Hyper-V更是被PwnFest贴上了高于以往两倍的奖金,诱惑着摩拳擦掌的顶尖黑客来战。
豪掷奖金的真正目的是实现共赢
对比一些收购漏洞的军火商例如Zerodium、ExodusIntel,PwnFest的奖金已经接近甚至超过这些黑市价格。很多人可能会有疑问,设置如此高额的奖金总额难道仅仅是为了办一场黑客破解盛宴?
实际上,PwnFest是以破解的形式让厂商了解选手的漏洞和攻击技术,检测到厂商的安全人员难以发现的安全漏洞,并学习黑客是如何攻破软件产品中的最新漏洞防护技术,从而及时修复并增强软件的安全性,更好地保护用户安全。
当高额的漏洞奖励可以有力地冲击灰色地带的漏洞交易时,更多的精英黑客将加入漏洞挖掘的正规军,与软件厂商共享漏洞信息,形成更为坚固的安全防御城墙。最终,从该比赛受益的不仅是一批具有匠心和正义感的黑客、一批以用户安全为首任的软件厂商,更是全球数十亿使用各大主流软件的普通用户。