中国在成都办了场自己的“Pwn2Own”，第一天就黑了Safari和Chrome

• 2019 年 12 月 2 日
• 筆記

大数据文摘出品

作者：曹培信

一个神秘的周末，中国的顶级“黑客”们齐聚成都。

他们聚集到在一起，架上电脑，直接向Chrome、Edge、Safari、Microsoft Office 365等知名软件发起了攻击，包括ZDNet在内的不少科技媒体都被此事件震惊，纷纷跟进报道……

别慌，这一幕并不是极客们在搞破坏，而是在参加第二届“天府杯”国际网络安全大赛。

这次大赛一共吸引了来自国内外32家网络安全顶级技术团队进驻，一共110余名网络技术精英参加了大赛的角逐。为激励和挖掘全球互联网安全人才，主办方此次比赛不仅设置了具有较高难度的技术挑战环节，还设置了百万美元奖金和奖项。

主办方介绍说，此次网络安全大赛以逐步打造属于中国自己的“Pwn2Own”为目标，共设置了三个独立并行的比赛环节，原创漏洞演示复现赛、产品破解赛和系统破解赛。

前两个环节为破解大赛必选部分，需要战队在报名时进行选择一个环节参加比赛，系统破解赛则设置为开放性比赛环节，在现场提供给感兴趣的参赛队员进行破解。

其中，产品破解赛有25只战队参加；原创漏洞演示复现赛共有7只战队参加；系统破解赛方面，主办方提供了包括工控设备、国产linux操作系统等目标，系统破解赛为开放式赛事，面向所有参赛队伍和队员。

在原创漏洞演示复现赛中，所有参赛队伍已提前向组委会提交了最少1个自己掌握的高危原创漏洞，提交漏洞的队伍现场演示掌握的原创漏洞利用效果，现场提前准备了复现所需要的相应软硬件设备。

而在最受关注的产品破解赛中，该环节设置了包含PC端、移动端、服务器端、IOT设备等在内的若干破解题目，由各参赛队伍进行现场破解。我们可以看到，所需破解的对象无论是软件还是硬件，都是大公司生产的最新产品，其难度可想而知。

系统破解赛为开放性题目，组委会设置一些工业场景的控制设备及题目在现场（不提前公布），参赛队伍可在现场酌情进行破解。

比赛的第一天是其最忙碌的一天，一共有32次挑战，其中，13次攻击成功，7次攻击失败，剩余的12次攻击中，出于各种原因，参赛人员放弃了攻击尝试。

第一天过后，名为“360Vulcan”的队伍保持领先，这支队伍也曾获得Pwn2Own大赛的冠军。他在事后发twitter表达了对这次比赛参赛者技能的惊讶。

但是360Vulcan 团队放弃了针对iOS的攻击，尽管如此，“360Vulcan”战队还是当之无愧的冠军，他们通过成功破解微软Edge、Microsoft Office 365、 qemu + Ubuntu、Adobe PDF Reader和VMware Workstation浏览器，一共斩获382500美元的奖金。“360Vulcan”战队还获得了最具价值产品破解奖

而另外两只强队“ddd战队”和“StackLeader”分别获得了83750美元和38759美元的奖金。

以往在比赛中，被攻击的软硬件供应商会派代表参加这种竞赛，他们派代表在比赛结束几分钟后就开始收集漏洞报告，其中一些供应商在几小时内就发布了补丁。

但是参加天府杯的厂商并不多，但是根据大赛的情况看，很多公司很可能会开始考虑明年派一名代表参赛。

一位竞赛发言人告诉媒体，大赛组织者计划在竞赛结束时向相应的供应商报告比赛发现的所有漏洞。

与国际网络安全大赛同步进行的还有2019天府国际网络安全高峰论坛，整个活动由百度、阿里巴巴、腾讯、360公司、奇安信、清华大学网络科学与网络空间研究院、中科院信息工程研究所、亚信安全、永信至诚、成都天投集团、中国网安等单位共同主办。