原文鏈接:https://www.zerodayinitiative.com/blog/2017/3/2/pwn2own-the-root-of-research
2017年是Pwn2Own黑客大賽十周年�,賽事主辦方ZDI特別在官方博客發(fā)文“PWN2OWN:THE ROOT OF RESEARCH”�,總結(jié)了Pwn2Own對安全研究的推動作用:
在過去十年的Pwn2Own中,不同的人對于這個比賽持有不同的態(tài)度��。它曾經(jīng)被認(rèn)為是瀏覽器安全的一場災(zāi)難�,但實際上這么多年來瀏覽器并未出現(xiàn)過什么大問題;它幫助人們實現(xiàn)了職業(yè)理想�,或者至少來說,它幫助參賽者提升了名望;它曾經(jīng)被指責(zé)碾碎了狂熱和仇恨者的靈魂��,但實際上并沒有人在Pwn2Own的歷史上受到過傷害�,而我們也沒有對他們的靈魂做出過拷問。當(dāng)然���,對于Pwn2Own來說還有更偏激的斷言����,比如說Pwn2Own就是個“安全的小劇場”,他們覺得它只是一場好的表演����,但是并沒展示實質(zhì)性的內(nèi)容。但事實恰恰相反����,Pwn2Own已經(jīng)成為了網(wǎng)絡(luò)安全研究的推動力。
實際上��,Pwn2Own比賽中使用的漏洞十分復(fù)雜���,而通過比賽披露的一些漏洞也讓研究者贏得了安全圈的眾多嘉獎����,例如Pwnie獎項�。除此之外,在Pwn2Own上出現(xiàn)的漏洞推動著其他安全從業(yè)者進行研究并最終促使各大廠商出臺了相應(yīng)的漏洞緩和措施�����。舉例來說�,幾年之前���,賽場上出現(xiàn)利用UAF(use after free)漏洞攻破瀏覽器(尤其是IE瀏覽器)的情況,這讓其他研究者也致力于挖掘UAF類型漏洞并將它們報告給ZDI��。眾多的UAF漏洞被發(fā)現(xiàn)�,最終促使微軟引入了如隔離堆、內(nèi)存保護等措施緩解UAF漏洞的利用����。ZDI的研究者在深入研究這些緩和措施后,也發(fā)現(xiàn)了一些問題����。這些發(fā)現(xiàn)被提交給微軟的Mitigation Bypass Bounty(緩和機制繞過賞金項目),并獲得了125,000美元的獎金(獎金全部捐給了慈善機構(gòu))���。如果沒有Pwn2Own的話����,UAF漏洞究竟會不會變得如此流行?也許會吧�����,但是Pwn2Own比賽在一定程度上推動了UAF漏洞的研究��,并讓瀏覽器變得更加安全����,這一點是毋庸置疑的。當(dāng)然�,我們所說的不僅僅局限于UAF漏洞,十年來比賽中利用了多種類型的漏洞��,而這些漏洞在賽場出現(xiàn)之后都在安全領(lǐng)域都變得更加常見���,或者說流行起來���,比如沙箱逃逸、符號鏈接攻擊��、控制流保護(CFG)繞過�����、字體濫用等等�。
各大廠商也積極地對漏洞進行響應(yīng),如今不考慮其他因素的話����,微軟新增的防御措施比如說抑制Win32k系統(tǒng)調(diào)用就會讓漏洞利用變得更加困難�。第一屆Pwn2Own上�����,只需要一個漏洞就可以攻破QuickTime����。而在去年的Pwn20wn上,從360Vulcan團隊提交的漏洞細(xì)節(jié)來看���,他們使用一個Chrome瀏覽器渲染引擎的漏洞��、兩個Flash的UAF漏洞����,再加上一個微軟內(nèi)核的UAF漏洞����,也就是說,他們用了三個不同廠商的三個產(chǎn)品的四個漏洞��,成功攻破Chrome瀏覽器并獲得系統(tǒng)權(quán)限�����。從這個對比來看��,如今漏洞利用的難度越來越高��,這是一種進步�����。
讓人們對Pwn2Own另眼相看的另一個方面�,就是在比賽中需要一個完整的攻擊鏈。研究人員平時向各大廠商提交漏洞的時候��,不需要提供完整的漏洞利用細(xì)節(jié)�����,哪怕是向ZDI提交漏洞�����,也不需要提供完整的攻擊思路才能獲取獎勵(當(dāng)然���,我們還是高度鼓勵研究人員向我們提供完整漏洞利用思路的)�。但是,比賽是不同的����。Pwn2Own需要參賽者從頭到尾提供完整的漏洞利用細(xì)節(jié)。需要說清的是����,不管你聽過的說法是怎樣的,想要成功攻破一個項目無論如何花費的時間都要比30秒長得多���。雖然執(zhí)行攻擊的時間可能僅僅花費30秒�����,但這背后卻需要大量的時間來進行研究�����,安全研究者經(jīng)常需要花費掉幾百個小時才能想出在賽場上使用的攻擊方式�。其他人看到的僅僅是比賽破解的那一小會�����,但是千萬不要忽視他們在來到CanSecWest的賽場前準(zhǔn)備攻擊代碼時花掉的大量的時間�����。
今年的pwn2own,我們加入了以前沒有的一些新項目���,比如:Linux、企業(yè)應(yīng)用和服務(wù)器端�。這些是不是表明有類似此前UAF這樣的新的攻擊出現(xiàn)呢?這不見得!研究人員通常需要一年的時間才能了解清楚新添加的攻擊目標(biāo)。在2014年里�,安裝了EMET的系統(tǒng)被認(rèn)為是攻擊難度極高的“獨角獸”,而到2015年��,所有攻擊都能成功繞過EMET�。在2016年,我們引進了VMWare破解項目�,那么今年我們會不會看到從虛擬機到宿主機的攻擊呢?我們當(dāng)然十分期待這一幕的出現(xiàn),我們也希望看到各種新的攻擊形式的出現(xiàn)�����,從現(xiàn)在加入我們吧!在Twitter上可以了解Pwn2Own的最新信息��,當(dāng)然我們更期待在CanSecWest上看到你的身影�。在這里,你永遠(yuǎn)也想不到下一個揭秘的����,是什么樣新型的研究成果��。
文章內(nèi)容僅供閱讀���,不構(gòu)成投資建議,請謹(jǐn)慎對待���。投資者據(jù)此操作�����,風(fēng)險自擔(dān)���。
京公網(wǎng)安備 11010502041587號