亚博_主页

专访 Pwn2Own. 2017. 世界黑客大赛冠军队长 MJ:这 yabo. sports是一场出乎我意料的" 坑爹" 之旅.

2018-10-08 19:31:30  by亚博国际

专访 Pwn2Own.  2017. 世界黑客大赛冠军队长 MJ:这 yabo.  sports是一场出乎我意料的

本文作者:李勤,亚博体育特网络安全专栏作者,入错行的八卦爱好者.

4 月 5 日,亚博体育特、虚拟化漏洞挖掘专家唐青昊等人,MJ 担任队长.

360 安全战队瞄准了8 个参赛项目,包括 Adobe Reader 、Adobe Flash +系统提权、Apple mac OS 、Apple Safari +Apple mac OS 、Microsoft Windows 10 、Microsoft Edge +系统提权+虚拟机逃逸、Firefox 、Vmware ,准备大干一场.

但是,MJ 没有想到,这次比赛他们犯下了两个"大" 错误,让他们的"冠军" 来得没有像以前那样顺利,这也是MJ 与雷锋网编辑对谈几个小时的过程中,他一直心心念念的两点.

第一个失误是,这支有老牌黑客坐镇的队伍这次低估了"攻击" 的难度,赛前缺少环境调试.

所谓攻击,是指今年 Pwn2Own 除了独立项目,又加了一项,如果打完浏览器,在全部攻击完成后,还能再进行虚拟逃逸,就另行加分.

比如,在攻击Edge 后,再进行系统提权,最后如果来一场华丽的虚拟机逃逸,这就是一场连过三关的攻击.但是,攻击分数高,失败的风险也相当高.

这是一场华丽的冒险.

攻击一个项目时,如果成功率是 90%,在这个项目里要攻击三个,叠加后的成功率可能就降低了.而且,它的风险比单纯攻击虚拟机风险更大.比如,就算前两关成功闯过,一旦最后关头演示失败,整个攻击都算失败,攻击项目所累计的积分点和所有奖金都会失去.

如果不进行攻击,只进行前两项攻击,不仅成功率高,成功之后积分点和奖金双双都能抱回家.

Tobeornottobe ,thatisaquestion.

【哈姆雷特电影剧照】

MJ 虽然不是执意复仇的哈姆雷特,但在高风险面前也异常执着,攻击难,好,就要挑战.

作为一名世界顶尖的超级黑客,MJ 曾傲视诸多对手.虽然,他和队员都很看重比赛成果,就是奔着冠军去的,但是,就算有比较大的风险,从不畏惧、不断挑战的"hacker" 精神深深印刻在MJ 的心里.

做十拿九稳的事没什么意义.

不过,360Vulcan Team 、360 代码卫士和虚拟化研究团队360Marvel Team 虽然都在北京,但平时不在一栋楼办公.除了参加黑客大赛,大家平日还有手头工作,很难凑到一块调程序.于是,大伙决定,就在赛前,也就是从 11 号到 14 号这几天,在加拿大一起碰头"搞一搞".

没想到,碰头的第一天,他们就发现了问题——一般进行一次攻击时,对系统环境会造成很多影响,导致整个系统环境不那么单纯了.如果攻击质量不够高,可能接下来系统就会崩溃,后面的攻击根本无法进行.

"比如