全景解读世界黑客大赛 看谁是中国网络安全的王者

北美地区最具影响力之一的信息安全大会 CanSecWest和世界黑客大赛Pwn2Own在加拿大温哥华落下了帷幕，因为难度的极大提高，最终这个世界黑客大赛变成了亚洲中韩之间的“乒乓”大战。

 

中国黑客军团除了在Pwn2Own破解大赛中斩获了28.5万美元的奖金之外，还先后攻破了Chrome浏览器、Adobe Flash Player和微软Edge浏览器，其中360Vulcan团队在所有参赛团队中独家攻破了此次大赛中难度最高的项目Chrome，而腾讯派出的三支安全团队展现了多人作战的集团力量，让韩国神童黯然失色。

 

此次有5个队伍参加了此次比赛，他们分别是来自中国的360Vulcan Team、腾讯Shield安全战队、腾讯Sniper安全战队、腾讯玄武实验室和个人出战的韩国神童黑客JungHoon Lee （去年他一人攻破IE11、Chrome和Safari浏览器，独揽22W美元大奖）。

 

以下是参赛队伍参加比赛项目和比赛结果：

 

在本次开赛前，网络安全行业知名媒体Freebuf就对此次设立的比赛项目难度进行了排名，从比赛结果也印证了Freebuf的判断。Chrome成为本次比赛中难度最高项目，只有360 Vulcan Team一支团队成功，就连以往战无不胜的韩国神童黑客也失手了。

Adobe Flash相对难度比较低，360和腾讯的3支队伍总共有4支队伍都选择了这个项目。

 

谷歌Chrome之所以这么难，很容易让人联想到上周刚刚在围棋人机大战中战胜了李世石的AlphaGO，作为AlphaGO的同门兄弟，谷歌Chrome一直代表着谷歌安全防御技术的最高水平。除了全球闻名的“黑客天团”GoogleProject Zero以外，谷歌还拥有上千台服务器以深度挖掘技术对Chrome等产品进行漏洞测试，其计算能力完全不亚于AlphaGo，此举大大降低了Chrome漏洞被外界发现的概率。

 

同时，Chrome还拥有全球唯一能够锁定Windows内核攻击面的沙箱系统。当沙箱上锁后，攻击代码对外部的资源不再具有访问权限，Chrome也因此在历届Pwn2Own大赛都成为黑客面临的终极挑战，最新版Chrome的安全系数相比往年更是有着飞跃提升，攻破Chrome并获得系统控制权几乎被认为是“不可能完成的任务”。

 

360 Vulcan Team成功突破谷歌Chrome一定程度上印证了这支来自360的黑客团队的技术能力已经处于国内甚至全球的领先水平。

 

最后不得不提一下《瓦森纳协定》，之前有报道说可能是瓦森纳协议导致了欧美选手不来参赛，但其实并不是这样。

 

2015年新添的《瓦森纳协定》条款禁止出口，包括“特殊设计”的或是修改以逃避“监视工具”检测的软件，以及令“保护措施”无效的软件。这也就意味禁止在协议国和非协议国之间互通漏洞信息。

 

目前《瓦森纳协定》共有包括美国、日本、英国、俄罗斯等41个成员国，以Pwn2own为例，比赛在加拿大举办，加拿大本身就是协议国，此外无论是协议国（韩国），还是非协议国（中国）都有人参加，这就说明了瓦森纳体系根本不是限制欧美选手参加这类比赛的原因。

 

再举个例子，瓦森纳体系在去年就已经通过了漏洞限制，而在去年的Pwn2own大赛上，依然有欧洲选手参与了一些低难度的项目，Firefox、Pdf等。真正的原因在于目前这些比赛的难度非常高，只有在该领域具备全球顶尖实力的亚洲选手才能够顺利挑战。因此，事实上从2013年开始，就再也没有欧美选手能够攻破Chrome浏览器了。