发表于:

Pwn2Own竞赛让骇客趋之若鹜的秘密?专访ZDI计画负责人



Pwn2Own竞赛让骇客趋之若鹜的秘密?专访ZDI计画负责人
左为趋势科技安全研究副总 Mike Gibson,右为漏洞研究的总监暨 ZDI 负责人 Biran Gorenc

「Pwn2Own」有着如其名「破解就带走」的经典特色,奖品更是每每成为众人瞩目的亮点,今年甚至获特斯拉赞助一台 Model 3。这个骇客竞赛到底有什幺魅力,为何能吸引全球顶尖好手、让破解目标的产品供应商出人力、奖金,甚至赞助高价奖品?

INSIDE 访问到趋势科技安全研究副总 Mike Gibson,以及漏洞研究的总监 Biran Gorenc,他同时也正领导旗下 ZDI 这个全球最大的非供应商导向漏洞计画。ZDI 同时也是个聚集许多白帽骇客/野生资安研究员的虚拟社群,全球对破解漏洞有兴趣的研究者可以在这里切磋交流并贡献其找到的漏洞,这些漏洞便会回报给供应商供其改善。除了母公司趋势科技的资源,ZDI 也透过回报漏洞获得营运的收入。

如何掳获顶尖骇客的心?

相较大部分设定人为题目考验技术的比赛,Pwn2Own 不仅每次的奖金、奖品都十分诱人又充满噱头,骨子里更是少数「实战」攻防的骇客竞赛:对手不再是杵着不动让你练手的木桩,而是有反应、会防守的各大知名公司资安研究员。

Brian 提到,Pwn2Own 已经举办 12 年,但至今参赛人数仍维持在 10-20 人的规模,背后原因是随着资讯安全技术进步,产品愈来愈难破解。经年累月下来的攻防,以前只要一个漏洞就能攻破产品,现在则需要 2-3 个漏洞起跳。骇客的技术愈来愈高阶,但问题也愈来愈複杂,所以永远只有世界顶尖高手才有机会挑战成功。

这些成员相当热爱「研究」这些漏洞,但找出漏洞与攻击方法后,都一律直接回报给供应商促其修补,而非骇取这些漏洞为己用。在这整场比赛中,Brian 都称社群成员为研究者。

可以匿名、想要快速接触收到奖金,甚至投入 Pwn2Own 竞赛可以接触到稀有的攻击目标,破解其他地方找不到的难题,都是让这些研究员跃跃欲试的原因。Brian 还指出,ZDI 社群有点数、等级与成就奖金系统,能更进一步加强成员的成就感与认同感。谈到社群营造,Pwn2Own 现场除了常见的纪念贴纸,还发给参赛者纪念硬币,Bria 说,在外面碰到社群成员就可以「以币认人」作为信物,更为社群凝聚增添了一份趣味巧思。

Pwn2Own竞赛让骇客趋之若鹜的秘密?专访ZDI计画负责人
这次 Pwn2Own 现场发放的 ZDI 纪念硬币

再来,随着资安意识抬头,愈来愈多的供应商,尤其是有经验与规模者,会主动寻求社群的力量,以期在最短时间内揪出漏洞并防患于未然。另一方面,而 ZDI 社群累积的声量与声誉,不管在供应商方或白帽骇客方,都深受信赖。根据 Mike,这次 Model 3 计画就是特斯拉主动接触,而团队自己也是特斯拉粉丝,便欣然开展了这次合作。

见证白帽骇客美技的摇滚区
Pwn2Own竞赛让骇客趋之若鹜的秘密?专访ZDI计画负责人
2019 年 Pwn2Own 获破解大师大奖的氟乙酸钠二人组成闪光灯焦点

Brian 透露,几年比赛办下来,也透过竞赛与社群掳获不少优秀人才,现在就在 ZDI 里面一起工作。自己也是资安研究员的 Brian 对于能近距离看到高手较劲,更是坦承「学到很多」。

由于 Pwn2Own 攻击目标是真实运作的产品,因此每年赛事中攻击介面和领域的演变也体现着科技趋势,Brian 认为这相当有趣。举办竞赛这几年来,见证浏览器、沙盒、虚拟机的改变,到 iPhone 越狱、自驾汽车、电信基带攻击,在侵入的过程中了解安全系统与资讯系统,可说是收穫丰硕。