产品咨询:4000 258 365
|
申请产品演示
|
产品咨询:4000 258 365
|
申请产品演示
|
pwn2own黑客大赛10周年版,奖金超过100万美元,目标范围涵盖虚拟机、服务器、企业应用和web浏览器。
过去十年,零日计划(zdi)年度pwn2own竞赛,成为了信息安全日历上开年重大活动之一,2017年也不例外。作为pwn2own竞赛十周年纪念,如今由趋势科技操办的zdi,将比之前任何一次都走得更远,目标更多,奖金更高,只要成功执行零日漏洞利用即可获得不菲奖金。
2016年,hpe将其包含有zdi的tippingpoint部门,以3亿美元的价格,出售给了趋势科技公司。该年的pwn2own竞赛是两家公司联合举办的。2016年为期2天的竞赛中,成功证明了总共21个零日漏洞的研究人员,分享了46万美元的奖金。
pwn2own 2017 将与cansecwest大会一起,于3月15-17日在加拿大温哥华举行。2017大赛将由趋势科技独立赞助,且与去年的大赛不同,不再专注于web浏览器。
今年的目标中出现了虚拟机,包括vmware和微软hyper-v系统。研究人员需要从客户虚拟机执行虚拟化管理程序逃逸,以在底层托管操作系统中运行任意代码。成功进行虚拟机逃逸的安全研究员,将获得zdi提供的10万美元奖励。
趋势科技漏洞研究高级经理布莱恩·戈伦茨说:“我们每年都会考虑新目标。”
pwn2own大赛之外,zdi还是从研究人员那里搜罗安全漏洞的产业,通过其项目主动寻求虚拟机逃逸技术。
pwn2own有望提升研究人员的认识,未来可能看到更多此类报告。但尽管虚拟机在本届pwn2own目标列表当中,docker容器却没有。
linux
过去十年,pwn2own针对过基于苹果macos和微软windows的技术,但在2017年,开源linux操作系统终于进驻目标列表。
在两项独立挑战中,研究人员将特别针对 ubuntu 16.10 linux操作系统。一项是权限提升,另一项是服务器端web托管利用。
只要能利用linux内核漏洞提升权限,研究人员便会得到1.5万美元的奖励。windows上的提权奖励为3万美元,macos提权奖励则是2万。
ubunt系统可通过名为“apparmor”的额外强制访问控制安全层进行保护,一些情况下可以限制本地用户权限提升漏洞利用的风险。2017年的pwn2own竞赛中,zdi并未设置任何apparmor。
在服务器端,zdi对 ubuntu 16.10 上运行的开源 apache web 服务器漏洞利用开出了20万美元的奖励。
web浏览器
web浏览器再次成为pwn2own主要目标,微软edge浏览器或谷歌chrome漏洞利用价值8万美元。苹果的safari漏洞利用可获5万美元奖金。
2016的竞赛中mozilla的火狐浏览器未能入选,但今年的目标列表中它强势回归。对火狐浏览器的成功漏洞利用可获3万美元奖励。
mozilla增强了其安全性,我们完全有理由将其重新包含到竞赛中。
另外,2017 pwn2own 竞赛将为每个 adobe reader、微软 office word、excel和powerpoint的成功漏洞利用开出5万美元奖金。总奖金额度超过了以往任何一届pwn2own大赛。
戈恩茨说:“最终奖金数额的大部分取决于我们设置的项目数量,肯定会超过100万美元,是迄今为止的最大额度。”
历经十年,pwn2own黑客挑战赛很可能继续延续更多个年头。
“虽然生活在完全安全的世界会很美好,但我们知道这是不现实的。pwn2own上产生了很多伟大的研究,也激发了很多有价值的研究——最终改善了我们每个人的安全。”
试用申请
