世界黑客大賽冠軍隊長MJ:這比賽是場出乎我意料的「坑爹」之旅
導語:一個月前, MJ 本以為會雲淡風輕地去加拿大參加Pwn2Own 2017 世界黑客大賽,沒想到等待他的是一場「坑爹」之旅。
本文作者:李勤,雷鋒網網路安全專欄作者,入錯行的八卦愛好者。
4 月 5 日,雷鋒網編輯要 360 安全戰隊隊長、世界著名黑客 MJ 0011 (以下簡稱 MJ)拿著前不久在 Pwn2Own 2017 世界黑客大賽上的冠軍獎盃拍個照。
MJ 轉了轉獎盃的齒輪說,把它放在辦公室里還能磨磨指甲。
其實,一個月前, MJ 本以為會雲淡風輕地去加拿大參加大賽,沒想到等待他的是一場「坑爹」之旅。
[MJ 很傷心,沒想到經過一場高度緊張的黑客大賽後,他沒有瘦下來]
高難度漏洞:廠商要過年
3 月11日,攜帶一攬子「神奇漏洞」的 MJ 和 360 安全戰隊隊員抵達加拿大溫哥華,準備參加 3 月 15 日到 3 月 17 日舉辦的 Pwn2Own 2017 世界黑客大賽。
Pwn2Own 是世界著名、獎金豐厚的黑客大賽,由美國五角大樓網路安全服務商、 TippingPoint 的項目組 ZDI(Zero Day Initiative)主辦,谷歌、微軟、蘋果、Adobe 等互聯網和軟體巨頭都對比賽提供支持。
Pwn2Own 大賽從2007年起開始舉辦,難度一屆比一屆高。今年是第十周年, MJ 認為,拿下此次大賽頗有意義,與MJ 有相同想法的還有參加比賽的 10 支戰隊,包括 amuel grob and nicolas baumstark、Ether:玄武實驗室、長亭安全團隊、ralf philipp weinmann、Sniper:科恩實驗室+電腦管家團隊、Richard Zhu、Lance:湛盧實驗室、Moritz Jodeit,Blue Frost Security、Shield:科恩實驗室+電腦管家團隊、
Google Chrome、Microsoft IE 、Adobe Reader、Adobe Flash、Mozilla Firefox ……是此次大賽的攻克目標。Pwn2Own 要求,攻擊所利用的漏洞必須是未知、未公布、未向供應商提交過的。漏洞不能重複利用,遠程攻擊必須要排除操作背後的人為干擾(如瀏覽惡意內容),必須出現在用戶正常的會話中,不會出現重啟或者下線/登錄的情況。
也就是說,攻擊者的漏洞是真正的「零日漏洞」,基本靠一個鏈接「發動攻擊」,「用戶」點擊鏈接後,攻擊者不再「動作」,攻擊要一氣呵成地進行。而且,只有三次攻擊機會。
2017年 Pwn2Own 共設置 15 個項目,根據比賽難度的不同,每一項設置了相應的積分和獎金。在 3 天所有賽程結束後,積分最高的參賽團隊,將贏得「Master of Pwn」(破解大師)世界冠軍稱號,並獲得65000個ZDI積分(約合25000美元)的額外獎勵。
在這樣的高難度大賽里,難怪 ZDI 在其官網上大呼,雖然 2017 年的這次 Pwn2Own 準備了 100 多萬美元的獎金,但廠商也歡欣鼓舞、嚴陣以待——這可能是除了自家平時正常打補丁外,要補高漏洞質量最多的日子了!
嗯,有點像過年的感覺。
焦慮:重頭戲「連環攻擊」可能要失敗
來到溫哥華的第一天,MJ 和隊員們神清氣爽、信心滿滿。
MJ 壓力不大是因為——這是 MJ 第三次參加 Pwn2Own 大賽,此前他也是各類頂級黑客大賽的常客,對一個資深黑客而言,只要平時功夫深,「鐵杵也能磨成針」,更何況,賽前戰隊做了詳細的戰略部署,並準備了應對比賽的超級漏洞。
Pwn2Own 大賽要持續三天,對單個黑客而言,如果每個項目都要參加,三天的強度基本沒人能承受,所以,團隊作戰是Pwn2Own 大賽常見的參賽方式。然而,即使是團隊作戰,強度依然不小。一般,報名單個項目的居多。
參加此次大賽的 360 安全戰隊由從 360Vulcan Team、360代碼衛士和虛擬化研究團隊360Marvel Team抽調的 10 名黑客組成,包括名聲在外的 360Vulcan Team 安全研究員 YukiChen (古河)、虛擬化漏洞挖掘專家唐青昊等人, MJ 擔任隊長。
360 安全戰隊瞄準了8個參賽項目,包括 Adobe Reader、Adobe Flash+系統提權、Apple mac OS、Apple Safari +Apple mac OS、Microsoft Windows 10 、Microsoft Edge +系統提權+虛擬機逃逸、Firefox、Vmware,準備大幹一場。
但是, MJ 沒有想到,這次比賽他們犯下了兩個「大」錯誤,讓他們的「冠軍」來得沒有像以前那樣順利,這也是 MJ 與雷鋒網編輯對談幾個小時的過程中,他一直心心念念的兩點。
第一個失誤是,這支有老牌黑客坐鎮的隊伍這次低估了「連環攻擊」的難度,賽前缺少環境調試。
所謂連環攻擊,是指今年 Pwn2Own 除了獨立項目,又加了一項,如果打完瀏覽器,在全部攻擊完成後,還能再進行虛擬逃逸,就另行加分 。
比如,在攻擊 Edge 後,再進行系統提權,最後如果來一場華麗的虛擬機逃逸,這就是一場連過三關的連環攻擊。但是,連環攻擊分數高,失敗的風險也相當高。
這是一場華麗的冒險。
攻擊一個項目時,如果成功率是 90%,在這個項目里要攻擊三個,疊加後的成功率可能就降低了。而且,它的風險比單純攻擊虛擬機風險更大。比如,就算前兩關成功闖過,一旦最後關頭演示失敗,整個攻擊都算失敗,攻擊項目所累計的積分點和所有獎金都會失去。
如果不進行連環攻擊,只進行前兩項攻擊,不僅成功率高,成功之後積分點和獎金雙雙都能抱回家。
To be or not to be,that is a question.
【哈姆雷特電影劇照】
MJ 雖然不是執意復仇的哈姆雷特,但在高風險面前也異常執著,連環攻擊難,好,就要挑戰。
作為一名世界頂尖的超級黑客,MJ 曾傲視諸多對手。雖然,他和隊員都很看重比賽成果,就是奔著冠軍去的,但是,就算有比較大的風險,從不畏懼、不斷挑戰的「hacker」精神深深印刻在 MJ 的心裡。
做十拿九穩的事沒什麼意義。
不過,360Vulcan Team、360代碼衛士和虛擬化研究團隊360Marvel Team 雖然都在北京,但平時不在一棟樓辦公。除了參加黑客大賽,大家平日還有手頭工作,很難湊到一塊調程序。於是,大夥決定,就在賽前,也就是從 11 號到 14 號這幾天,在加拿大一起碰頭「搞一搞」。
沒想到,碰頭的第一天,他們就發現了問題——一般進行一次攻擊時,對系統環境會造成很多影響,導致整個系統環境不那麼單純了。如果攻擊質量不夠高,可能接下來系統就會崩潰,後面的攻擊根本無法進行。
「比如,我們原本準備的逃逸虛擬機,獨立跑的話,是90%以上的成功率,如果配合瀏覽器,不進行一些代碼優化,成功率就低很多,因為對整個環境有很多影響。」MJ 說。
不配合不知道,一配合嚇一跳。他們之前低估了連環攻擊對環境的影響——單獨攻擊的時候,各自的成功率都能到達 90% 以上,三次攻擊接起來時,成功率直線下降到令人心驚膽戰的 30%。
也就是說,如果按照這個情形來打連環攻擊,呵呵,三次機會可能只有一次成功。
一直十分淡定的 MJ 突然有了前所未有的緊張感。
廠商和選手賽跑:賽前狂補漏洞
以前,MJ 領隊參加國外一些牛氣哄哄的黑客大賽,還能先逛盪幾天,給親戚朋友買點什麼,這次,整個隊伍窩在古河的只有一張桌子的賓館房間里緊張調試,MJ 和隊友們在房間內像打仗一般和程序較勁,和成功率較勁。
他們甚至來不及出去吃飯,讓服務員把餐送到了房間,調試間隙扒一口飯。
內憂同時,外患四起。
Pwn2Own 大賽還有一個看點是——廠商可能會在賽前打補丁,你辛辛苦苦準備為比賽準備的漏洞說不定就被補了,拼的就是刺激啊!
MJ 告訴雷鋒網,比賽之前,他準備了 FireFox、Safari 以及 Edge 的三個「神洞」——很難發現的偏僻漏洞,沒想到,就在賽前陣亡了!
最刺激的是,這次官方補洞的日子就在賽前一兩天。
有的是「命運的使然」——微軟的補丁日一般在每月的第二個星期二,3 月的第二個星期二就是 3 月 14日,比賽就在15日。
「我們當時認為,這個漏洞是不太可能被補的一個洞,因為我們在去年8月就發現了這個漏洞,當時微軟在 10 月補了一次,但是沒補好。我們想,既然都補過一次了,而且微軟補漏洞的質量一般非常高,應該這個沒發現的洞就逃過一劫了,不太可能被補了,當時還是比較有信心的。結果,在補丁日之前把這個補丁給補了。我們不得不換了另外一套替補的漏洞,當然,備選的漏洞也是比較神奇的一個漏洞。」
隨後,Firefox 和 Safari 的漏洞也被補了。
有時,是「狡詐」的廠商善於利用規則——「Flash 的漏洞也是一個非常神奇的漏洞,當時我們認為不太可能被補。Flash 的安全人員雖然不知道漏洞在哪兒?但是他覺得這個地方有漏洞,故意設置不釋放內存,內存一直在那兒占著,我們這個漏洞雖然沒有被修補掉,但沒法利用了,只好就換了一套新的漏洞。」
有時,甚至是廠商故意挑戰參賽選手的情緒——「Vmware一開始我們準備了三套漏洞,一套漏洞用於打獨立項目,然後,另外兩個項目再用兩套漏洞,但是,Vmware 在10 號的時候發了一個補丁,沒補我們的漏洞,當時我們覺得估計這個事就過去了,結果它在14號的晚上,我們都看完漏洞,覺得終於可以休息一會兒,然後第二天早上去打比賽了,結果那天晚上,突然它又發了一個更新,把我們準備打獨立項目的漏洞給補了。」
廠商很任性,能不給的錢和分絕對不會給你。
受到影響不只是 360 安全戰隊,據雷鋒網(公眾號:雷鋒網)了解,廠商「任性」地圍追堵截後,一些參賽隊伍的項目沒法報了,中國其他參賽隊伍也受到了衝擊。
不幸的是,Firefox 無備用漏洞, MJ 所在的戰隊只好放棄了這個項目。幸運的是, Safari 以及 Edge 還有「替補」,雖然獨立項目的漏洞沒了,但涉及「連環攻擊」和「附加分選項」的這些項目的漏洞還在。
一時間,8 個項目只剩下 6 個可以打: Adobe Reader、Adobe Flash+系統提權、Apple mac OS、Apple Safari +Apple mac OS、Microsoft Windows 10 、Microsoft Edge +系統提權+虛擬機逃。
雪上加霜:報名失誤+規則變化+抽籤不利
同時,MJ 犯下了第二個失誤。
就在 3 月 14 日下午, MJ 去簽署參賽項目確認書時,在單獨的 Vmware 逃逸項目沒有報名,只報名了連環項目。就在簽字前的那一剎那,史上最喜怒不形於色的安全研究員古河還朝著 MJ 使了使眼色。MJ 打了個冷顫,表示我對你沒有興趣,沒有接收到這個神秘的信息。
「我們當時只有兩個能打 VMware 的洞,所以就報了這個附加項目(即連環攻擊),沒有報獨立的 Vmware 項目 ,其實可以再報一個獨立的。」據 MJ 事後回憶,古河當時是要自己也在單獨項目那裡打勾——這樣,可以給連環項目減輕壓力,如果連環項目失敗, VMware 單獨項目的分和獎金還能拿回來!」
最可怕的是,360 安全戰隊這次抽籤運氣不佳,雖然看上去每天都是第一個出場,但是在報名的 6 個項目中,只有兩個項目抽到了第一個打,有兩個項目抽到倒數第二,分數最重、打的人最多的 Edge 項目最慘慘,抽到第七名(倒數第二)。
【各戰隊比賽順序】
更令他懊惱的是,360 安全戰隊在 Edge 項目上打的是連環項目( Edge +系統提權+VMware 逃逸),難度十分高,而參加比賽的人很多人選擇打單獨的瀏覽器項目。剛好今年的比賽規則發生了變化,在瀏覽器這一大類中,只有第一個打下來的人能拿全獎,其他打下來的人只能拿半獎——雖然積分點不受到影響,十分富有、沒有從比賽中分過一毛錢獎金的 MJ 不高興了,「我對獎金也很看重啊,我們還有兄弟可以分啊!」
一著不慎,他們戰戰兢兢地怕撞洞,又擔心連環項目出岔子,「重頭大戲」無奈地因為抽籤留到了第三天,也就是比賽的最後一天。
打Mac提權項目時,還發生了一件匪夷所思的事——隊員從主辦方處拿到全新的 Apple 電腦時,發動第一次攻擊,發現攻擊無法進行。
本來就深受「放棄項目」陰霾的 MJ 心裡咯噔了一下。
「一定是發生了別的問題。」 MJ 找到主辦方,兩方一起檢查了電腦,發現主辦方搞出了一個大烏龍。
「主辦方給錯了系統環境,他買了 8 台 16G 的蘋果電腦,但官方居然給了他兩台 8G 的。他說回去要找蘋果電腦算帳。」主辦方承認了自己的失誤,但堅決不改,換了電腦後,只給隊員剩下的兩次機會繼續打。
「這事我記得比較清楚,我還跟隊員說,我們上場之前先查系統環境,然後一上場,我當時腦子都蒙了,直接就忘了,上來就打。這也說明,我們真的有點緊張。」MJ 說。
在這種緊張的陰霾中,前兩天除了在其他項目打比賽,MJ 就是和隊員一起抽出時間調初始成功率只有 30% 的連環項目的程序,另外,還得時不時地繞到複核項目的評委那,小心翼翼地問一句:「我們沒被撞吧?」
但是,從另外一個角度看,抽籤不利也給他們爭取了兩天的調試時間,到第三天比賽前,唐青昊開心地跟 MJ 說,終於把成功率控制在 90%以上,測試了三次,都是這樣。
MJ 暫時鬆了口氣,但不敢徹底放鬆。
保持到第三天的緊張感
拖了三天的戰線, MJ 和隊員又緊張又疲憊。
他們連著熬了幾個通宵,白天還打著比賽。
終於,第三天來了。360安全團隊小心翼翼地給出了一個攻擊鏈接,點擊,等待。
對攻擊項目進行 Review 的工作人員確定了攻擊有效後,打開了大門,與MJ 握了握手,輕輕告訴他:Edge +系統提權+VMware 逃逸成功。
這也是全場唯一一個連環攻擊成功的項目。
現場其他人還在緊張地比賽,他抑制住內心的狂喜,與隊員一起輕輕地走了出去。
他們沒有擁抱,沒有歡呼,但接受了大家的掌聲——360 安全戰隊拿下了分數最高的連環攻擊項目,總積分排名第一,MJ 穿上了那件與自己身材異常匹配的冠軍皮夾克,和主辦方合影。
讓 MJ 印象深刻的是,遇到什麼事都波瀾不驚的古河看著 MJ 擺出了人生第一個最激烈的手勢——他內心激動,嘴角微微抽動,雙手握拳甩動,說了聲「Yeah」。
他們一起,以黑客的名義,不僅拿下了這場艱難的比賽,還踐行了打死不放棄的理想。
雖然雷鋒網沒有拍到古河的現場照,但是按照 MJ 的描述,我們派出了編輯史中還原了古河的「開心」。
附:Pwn2Own 2017 總戰況匯總列表。
雷鋒網原創文章,網站轉載請至雷鋒網官網申請授權。但,歡迎轉發分享~
※螞蟻金服海外拓展再下一城:在印尼成立合資公司複製支付寶
※摩拜推出人工智慧平台 「魔方」 ;NASA 將在月底展開首個 4K 太空直播 | 雷鋒早報
※從谷歌的TPU開始,做一個不過度解讀的人
※谷歌自動駕駛項目兩位高管創立的 Nuro.ai ,實力到底如何?
※萬事開頭難!入門TensorFlow,這9個問題TF Boys 必須要搞清楚
TAG:雷鋒網 |
※或三大皆空!奇數年霸主走下神壇,球隊隊長卻稱聯賽冠軍不在話下
※海賊王,BIG·MOM海賊團目前出場的戰力,相比隊長們如何?
※奧運乒乓賽場的「美國隊長」
※女乒隊長最難一季,德國世乒賽,會成為她的救贖之旅嗎?
※曼聯老隊長血染賽場,貢獻球隊全部進球,表示這口鍋我不背
※當美國隊長,蝙蝠俠、綠巨人出現在戰場上,超級英雄能拯救世界嗎
※國足隊長從來沒有參加過亞洲杯正賽?還能戴兩年隊長袖標?
※美國隊長和蝙蝠俠合作,最後竟然是小丑拯救了世界
※世界女排大獎賽開賽在即 「新隊長」朱婷率隊首周迎戰意俄美
※漫威經典場面,黑豹對戰美國隊長,鋼鐵俠失控,蜘蛛俠對超大蟻人
※新挑戰!全新女排出戰世界大獎賽,朱婷終成「中國隊長」拯救球隊
※羅成為白鬍子海賊團第四隊隊長,頂上戰爭一招救艾斯,酷斃了
※刀鋒意志的身份一直是個迷,這位艾歐尼亞的大隊長為何會失蹤
※前世界盃冠軍隊長出國打球 能實現東京奧運會的夢嗎?
※世界各國的隊長們,英隊比美隊強太多
※海賊王新四皇麾下真正意義上的第一隊隊長,實力都高出巴沙斯一大截
※女乒隊長最艱難一戰,世乒賽復仇日本,將成為她的救贖之旅?
※海賊王新四皇麾下真正意義上的第一隊隊長,實力高出巴沙斯一大截
※歐美明星隊將大戰裕彤之巔 賽前兩隊長暢談足球發展格局