Pwn2Own 2016

基本内容

Pwn2Own 2016被称为黑客“世界杯”，于2016年3月举办。

2016年3月18日上午，Pwn2Own 2016的最后一场“人机大战”，在腾讯安全Sniper战队与微软Edge浏览器之间展开较量。代表中国出战的腾讯安全Sniper战队攻破微软Edge浏览器，并获得SYSTEM权限，取得全额积分15分。腾讯安全Sniper战队凭借总积分38分成为Pwn2Own史上第一个世界总冠军，并且获得这一顶级赛事史上首个“Master of Pwn”（世界破解大师）称号。

相关资讯

来自中国的腾讯安全联队在本届挑战赛脱颖而出，以总积分48分、总奖金182500美元居第一位，其中冠军团队腾讯安全Sniper战队获得“MASTER OF PWN 2016”荣誉称号及25000美元额外奖金，满载而归。腾讯安全联队负责人陈良受访时表示，微软、苹果、谷歌、Adobe等科技巨头的软件产品，直接关系到全球网络平台安全，如果他们的产品漏洞被恶意攻击者发现利用，其严重后果不可估量；Pwn2Own吸引顶尖黑客挖掘并报告漏洞，能帮助有关厂商强化产品安全性，从而更有效地保护全球网民的信息、财产甚至人身安全；腾讯安全联队这次共挖掘7个高危漏洞，并成功演示漏洞利用、攻破系统，他为联队的优异表现感到兴奋和自豪。

相关知识

黑客“世界杯”Pwn2Own 2016五大看点

高额报名费VS高额奖金，比拼的是什么？

Pwn2Own黑客大赛自2007年举办至今，已第十个年头，其破解目标专注于主流桌面操作系统和最新版浏览器及其插件。与国际上其他的黑客大赛（如Defcon CTF）相比，其参赛门槛相对高了许多，据了解，仅仅注册报名就需上万人民币。高额的奖金或是吸引国际黑客参赛的动因之一。日前，2016年Pwn2Own奖金额度分配公布，新增的VMWare Workstation Escape项目奖金达7.5万美金，而谷歌Chrome与微软Edge项目奖金同为6.5万美金。然而，对于全球的顶级黑客而言，即便奖金充满诱惑力，他们在没有充分准备的情况下也不敢贸然参赛，这场人机对抗的“靶心”正对全球著名互联网公司的安全团队倾力打造的安全体系，考验可见一斑。此外，Pwn2Own的抽签规则也是相当重要，相较于第一个出场的团队（个人），后来者即便攻破成功也只能奖金减半，可见，这场黑客“世界杯”除了比拼技术，还得拼人品。

首增VMware破解项目，谁将夺得最高奖励？

2015年，韩国神童黑客凭借赢得Pwn2Own历史上最高的单次利用奖金11万美元、一天内共赢得22.5万美元，成为全球媒体关注的焦点。2016年，Pwn2Own新增VMWare Workstation Escape破解项目，攻击目标操作系统和应用都是运行在虚拟机上，并以额外7.5万美金的高额奖金被设定为今年最为关注的领域。概念的新颖与项目的高难度，无疑成为参赛团队（个人）角逐的重点，而花落谁家也成为安全圈茶余饭后热议的话题。从历年Pwn2Own参赛团队（个人）的实力与战绩来看，中、美、韩、法、澳等国家队均可能摘得今年最高奖励，而以腾讯科恩实验室、腾讯电脑管家团队为代表的中国安全研究团队成为冠军的热门。

Pwn2Own项目两大变化或另有隐情？

“史上最难黑客大赛”常常被用来形容Pwn2Own，并引发了圈内外强烈的关注和讨论。2015年，Pwn2Own四连冠得主VUPEN CEO公开吐槽Pwn2Own 2015的IE挑战难度高、奖金却变少，并因此毅然放弃参赛。从近两年Pwn2Own项目设置上看，全球流行的桌面系统如微软Windows和苹果的Mac OS，互联网应用如浏览器应用与插件仍是比赛关注重点。值得注意的是，和去年相比，项目设置上出现两大变化，一是减少了Adobe的PDF Reader项目，二是减少或取消Firefox浏览器项目。关于前者官方解释是因为各大浏览器都已内置PDF阅读模块，不再需要第三方插件支持，所以各大厂商对PDF Reader的安全性关注度下降；而对于后者，众说纷纭，认为可能因为今年Firefox浏览器在安全方面没有作出很大的改善，因此被迫退出Pwn2Own舞台。

苹果、微软仍是Pwn2Own最大挑战？

全球著名的微软、谷歌、苹果、Adobe等互联网巨头，历来是全球黑客挖漏洞的重点目标，每年的Pwn2Own也都会将其列为破解重点。今年的挑战也不例外，仍然来自系统权限的获取，Pwn2Own对获取Windows系统权限(SYSTEM-Level)或Mac OS ROOT权限(ROOT-Level)的团队（个人）将给予额外奖励。此外，近年来在安全性方面提升不小的微软公司仍然会使用安全加固和防护包EMET对其系统进行额外安全加固和防护，相较去年，今年EMET增加了多项保护，让攻击难度大大提高，对参赛者来说挑战之余增添了人机对战的乐趣。

世界破解大师（Master of Pwn）如何诞生？

较之往年，Pwn2Own 2016的最大看点莫过于引入比赛积分制，除单项冠军外，设立了综合总冠军的奖项(Master of Pwn)，也就是所谓的世界破解大师，这代表了国际范围内软件和互联网行业对综合安全研究能力最强的参赛团队的最高认可。也就是说，沿用近十年的靠奖金说话变成了靠积分说话，而只要达到比赛要求的漏洞利用展示都可以赢取积分。这一规则的变化也增加了Pwn2Own的戏剧性与可看性。