北京時間3月14號,來自中國的著名“白帽子”團隊連續攻破蘋果、微軟桌面操作系統,獲得在加拿大溫哥華舉行的全球頂級安全賽事Pwn2Own比賽的雙料冠軍,成為Pwn2Own比賽歷史上第一支把電腦桌面操作系統和移動操作系統全部攻破的世界級安全研究團隊,更是歷史上中國唯一一支參加Pwn2Own并且兩次均奪冠的專業安全研究隊伍。
中國安全專家,騰訊副總裁丁珂認為,這表明,中國在漏洞攻防領域,已明顯處于世界最尖端水平。“這是中國互聯網安全的一件大事。”
獲得這一成就的,是來自上海碁震云計算科技有限公司的中國著名安全研究團隊“Keen Team”。他們在去年日本東京Pwn2Own Mobile 2013比賽中成功攻破當時蘋果最新移動操作系統iOS 7.0.3,轟動全球。因為蘋果一直認為其操作系統是最為完美無缺的,但在中國“白帽子”面前卻敗下陣來。而今年本次大賽,“Keen Team”又將PC操作系統突破,這再一次引起世界互聯網安全領域的震驚,國外許多媒體已就此做了大量報道。
“Pwn2Own”大賽,是全球最為著名,也是難度系數最高的大賽,其最大的特征是“不出題”,這給“白帽子”的破題帶來極大的難度要求。這吸引了全球最為頂級的“白帽子”團隊來參賽,并成為全球“白帽子”的一場盛會。
本次比賽依舊由微軟、谷歌、蘋果、Zero Day Initiative等全球知名軟件廠商和安全解決方案提供商提供贊助,提供最新和最安全的主流桌面操作系統、瀏覽器及桌面應用作為攻擊對象,同時創紀錄的為獲勝參賽隊提供了總計超過100萬美金的獎金。
在比賽中,擔任本次Keen Team主攻手的陳良研究員,用時15秒攻破MacOS X Mavericks 10.9.2,20秒攻破Windows 8.1。其中MacOS,因為大量采用了業內如微軟、谷歌等公司最新的高級安全防護技術,在2011年以來連續三年舉行的Pwn2Own比賽中從無人攻破,在業內被專業人士喻為“珠峰”。
“Keen Team”團隊,是一支國內尚不知名,但在國際上有相當影響力的“白帽子”團隊。這個團隊的主要成員大多數來自微軟,為了中國互聯網安全的大業,組建公司,成立“Keen Team”團隊。在國內,其主要工作即為世界最著名的尖端操作系統發現漏洞。在過去5年的時間內,該團隊向微軟、蘋果、谷歌等全球知名廠商提交了數百個“嚴重”級別的安全漏洞,曾經被福布斯雜志評價為“發現的蘋果漏洞是蘋果整個安全團隊的兩倍還多”。
對非業內人士來說,人們對“白帽子”尚無深刻理解。騰訊電腦管家總經理吳波介紹說,“白帽子,描述的是正面的黑客,他可以識別計算機系統或網絡系統中的安全漏洞,但并不會惡意去利用,而是公布其漏洞。這樣,系統將可以在被其他人(例如黑帽子)利用之前來修補漏洞”。
“Keen Team”團隊技術核心,碁震云計算首席科學家吳石表示,該公司的核心理念為:“未知攻,焉知防”。即為了打好漏洞的攻防,一定要先知漏洞是怎樣發生的,從而才有可能真正做好預防,在遇到漏洞攻擊時,才能以最快的時間修補漏洞。而這,也正是全球互聯網安全領域,會不遺余力地開展漏洞大賽,以提高全球的漏洞攻防能力。
據吳石介紹,Keen Team的計算機系統漏洞挖掘能力已經實現跨系統平臺和跨應用,目前針對全球主流的桌面和移動操作系統及應用都已搭建了成熟的高級研究平臺,可以持續高效的進行漏洞挖掘和漏洞利用研究,用以最終研制出最安全的保護機制,保障桌面和移動系統的安全性,使得計算機和智能終端的政府和企業用戶可以免受高級持續性威脅APT攻擊。
吳石進一步透露說,目前,“Keen Team”與微軟、谷歌、安卓定制之父CM(CyanogenMod),以及中國的騰訊等軟件和互聯網廠商均在洽談更大范圍的安全合作。“‘Keen Team’在全球范圍內的漏洞攻防方面的作用必將得到充分體現。”
Pwn2Own組織者ZDI透露,本次比賽各參賽隊所使用安全漏洞和攻擊手段的技術細節會被及時負責任地反饋給相應的廠商,在各廠商發布漏洞修補方法前,比賽組織方和參賽隊皆不會對外公布相關技術細節,確保世界范圍內用戶的系統和應用安全得以保障。
(新聞稿 2014-03-17)