Pwn2Own 对那些声称自己的平台是安全的粉丝来说,完美的解药
  • 发表时间:2018-06-20

在过去的七年里,一年一度的黑客大赛获得了巨额奖金,这让人们意识到,没有任何互联网连接的软件,无论是谁做的,都不会受到在底层计算机上秘密安装恶意软件的攻击。今年的第一天,pwn N2 own 2014和同期举行的同伴大赛主题大同小异,成功地黑客攻击了Internet Explorer、Firefox和Safari浏览器以及Adobe Flash和Reader应用程序。总部设在法国的Vupen公司向其认为不具压迫性的政府出售完全武器化的战功,在为期两天的活动的第一天,来自该公司的参赛者们获得了40万美元。这一收获来自于允许团队成员完全控制IE、Firefox、Flash和Reader的利用。vupen的Firefox攻击是成功破坏Mozilla浏览器的三次黑客攻击之一,研究人员马里乌兹·姆林斯基和尤里·埃德拉也将其击落,每一次都获得了5万美元的奖金。在同一次CanSecWest安全会议上举行的Pwn4Fun竞赛中,Google的研究人员推翻了苹果的Safari浏览器,惠普的研究人员则征用了IE。

第二天,Chrome正在进行测试。如果成功的话,那就不是第一次了。与此同时,以绕开索尼PlayStation 3版权限制而闻名的黑客乔治·热赫兹据报道成为第二天击败火狐的第四名选手。更新:据报道,Vupen也对Chrome进行了电镀。

自2007年Pwn2Own问世以来,Internet软件已经走过了漫长的道路。如今,代码被更有条不紊地搜索,以发现缓冲区溢出、空指针和其他不可避免地进入任何复杂应用程序的错误。其中一项技术是:开发人员花费数千甚至数十万小时通过fuzzers运行程序,这些fuzzers将格式不正确的数据片段扔进正在进行的工作中,以查看是什么导致它们崩溃。

软件工程师还设计了地址空间布局随机化等保护措施,使加载下载代码的内存位置随机化;防止数据执行,防止下载的代码被执行;和安全沙箱,它们在高度受限的周界中隔离下载的内容。缓解措施旨在减少黑客利用漏洞时可能造成的损害。因此,否则会执行攻击者所选取的任何代码的漏洞只能使应用程序崩溃或导致应用程序挂起。

Pwn2Own竞赛已经成为伟大的均衡器之一,也是对任何坚称自己使用的平台是最安全的粉丝的完美解药。是的,有一些年,给定的平台毫发无损,但长期模式是清楚的。教训:任何功能强大到足以让互联网用户满意的代码都可能遭到黑客攻击,产生潜在的破坏性影响。毫无疑问,微软、Google、苹果、Mozilla和Adobe在他们的产品中添加的缓解措施使攻击者工作变得更加困难。但只要有足够强的激励——比如说,以获得经济利益或获得宝贵的国家安全或工业情报的能力——像普华永道这样的开发就不可能。它们将是不可避免的。