十多年来,Pwn2Own汇集了来自全球各地的安全人才,参加了一场友好的黑客竞赛,这是与Black Hat和Def Con相媲美的研究和发展的基石。中国的黑客经常赢得胜利,特别是腾讯Keen Labs和奇虎 360 的 360Vulcan。
但今年,据Pwn2Own经理Brian Gorenc称,中国不再允许其研究人员参与竞争。 Gorenc在本周开始Pwn2Own之前告诉媒体:“一些国家已经出现了监管方面的变化,不再允许参与Pwn2Own和夺旗竞赛等全球剥削竞赛。”有一点可以肯定:年度冠军腾讯的Keen实验室和奇虎360的360Vulcan团队无处可寻,而会展组织者趋势科技已向Engadget证实,在今年的比赛中没有中国竞争对手。
趋势科技的一位发言人通过电子邮件告诉我们:“如果监管变化阻止某些国家参与,我们预计它会跨越许多事件,而不仅仅是Pwn2Own,这些监管变化可能适用于其他类型的竞争。”
更广泛的信息社区令人失望。微软Edge安全黑客乔纳森诺曼在一则推文中表示,将中国黑客从Pwn2Own中解救出来的决定“令人沮丧”,因为他“今年努力做好准备并希望看到结果。”其他人表示,如果没有Keen参与,它不会是一样的,他们也没有错。
人们可以争辩说,Pwn2Own让每个人更安全。这是一场比赛,在微软,谷歌,苹果,VMware,Mozilla等胖男孩身上引发火灾,在事件发生之前,他们会定期发布大型安全补丁。此外,Pwn2Own背后的人士指出:“在比赛前曾有供应商向供应商提交错误报告,希望能够杀死竞争对手的漏洞。”
Pwn2Own由Trend Micro的Zero Day Initiative组建,该组织旨在“鼓励向受影响的供应商负责任地报告零日漏洞”。他们在Pwn2Own十周年的博客文章中写道:
如果没有Pwn2Own,会发生类似这样的更安全的软件吗?可能,但Pwn2Own可作为供应商的年度强制功能。这是对安全状态的年度评估,因为我们是最好的供应商必须针对世界上一些最优秀的安全研究人员提供的。
看起来,中国政府希望通过其境内的公民保持良性发现,这也是该国高层人士所表达的看法。中国领先的安全公司奇虎360的首席执行官周鸿祎是中国团队出国参加Pwn2Own等活动的强烈反对者。
在去年的比赛中,前五名获奖者来自中国,其中三名来自腾讯。对此,洪毅告诉新浪科技,中国研究人员发现的任何隐患“应该留在中国”。这表明,虽然中国的黑客团队喜欢参与竞争和技能分享,但该国的高管和经理们不会囤积零日和bug。
对于像Pwn2Own这样的东西,存在许多错误和现金奖励。去年,为了举办十周年纪念活动,Zero Day Initiative向白帽黑客颁发了833,000美元,曝光了51个不同的零日漏洞。大多数是中国研究人员发现的。中国的研究人员成为了日本2013年移动Pwn2Own大赛和腾讯Keen团队黑客攻击和远程控制特斯拉汽车的一支力量,在2017年黑帽美国大会上展示了黑客的演示和演示。
中国队在Pwn2Own有很好的记录,但他们在2016年比赛中的工作可能是全球竞争如何为每个人提供更好安全性的最好例子。
2016年,腾讯竞争对手奇虎360以姊妹活动PwnFest的520,000美元奖金走开;感谢他们,谷歌新的Pixel手机的安全性在60分钟内就被奇虎360的黑客所消除。同一年,Nexus 6p被腾讯“Keen团队”白帽黑客组织在黑莓手机上闯入了五分钟。 。
“Google表示,Keen团队发现的Chrome bug在事件发生后的24小时内得到了修补,Chrome的团队已经将这些变化发布到了稳定的分支中,”The Register写道。
划分我们动摇
让中国团队摆脱全球黑客竞争可能看起来像只是在安全研究的喋喋不休中才会注意到的细节。谁在乎这些在推动大牌安全界限方面取得重大进展的人是否被阻止了?让我们给其他人一个机会吧?
如果只有它那样工作。一个国家囤积人才和零日的决定向我们展示了社会保障的真正含义。这是一个团体的努力。让我们暂时搁置一下,让一个国家的球队脱离比赛场,这与Pwn2Own的有效性这个更大的想法背道而驰。每个人都在竞争条件条件下攻击大公司,每个人都受益。
没有像Keen Labs或360Vulcan这样的团队,我们会看到未来的安全形势,一个倒退,进入长期的信息安全实践,民族主义和恶意囤积。这是一种病态的感觉,就像看着美国在全球舞台上屈服于分离主义一样,或者英国故意用英国脱欧脱离自己的氧气。它提醒我们,infosec的很多好的部分,其他文化混合的会议正在成为过去。
中国将研究人员从会议中拉出来,让士兵们能够为无形的军备竞赛创造更好的武器,完美地捕捉到令我们对信息状态和全球政治状态感到绝望的所有事情 – 以及它的所有残酷的反知识主义,它对于什么的无知工作在更孤立的地方。我只是希望不知怎的,最终,我们可以对付这艘船,向前迈进,为我们一直为之努力的安全。