北京时间3月19日,在温哥华举办的世界顶级黑客大赛Pwn2Own上,中国安全研究团队Keen Team夺得了世界冠军。三届Pwn2Own,Keen Team累计夺得了五个冠军。Pwn2Own是全球公认级别最高的黑客大赛,而今年这一届在黑客圈内被称为“史上最难的一届”。
在这场比赛里,Keen Team选报了两个项目:在IE环境下攻破Flash和攻破PDF阅读器。比赛开始后,Keen Team研究员Peter用30秒灭掉了第一个项目;另一位研究员陆吉辉则用60秒完成了第二项任务。
我们先来科普一下Pwn2Own。这个赛事由美国五角大楼网络安全服务商、惠普旗下TippingPoint的项目组ZDI主办,面向全球所有黑客。谷歌、微软、苹果、Adobe等巨头都是该赛事的赞助商。比赛规则是参赛者制作一个网页,能够在浏览器访问时控制电脑弹出一个高权限程序,来证明浏览器存在漏洞。
那么,问题来了。
Keen Team是何方神圣?
Keen Team所在的上海碁震云计算科技有限公司是一家成立于2011年的“白帽”黑客公司,成员不足30人。“Keen Team的工作就是进行漏洞挖掘和漏洞利用。”Keen Team的一位成员解释说。相对于专门攻击计算机安全系统并以此获利的“黑帽”黑客,“白帽”黑客专注信息安全研究,以帮助企业发现、修复漏洞为商业模式。
成立以来,Keen Team为谷歌、微软、苹果等公司的主流软件排查出过数百个严重安全漏洞,在2014年12月正式成为Google Project Zero第一个合作的亚洲伙伴,这意味着中国安全研究团队的实力获得世界最高水平安全社区的认可。
在去年10月周五,一场名为“安全极客嘉年华暨GeekPwn”的活动上,Keen的CEO王琦现场演示了如何攻破特斯拉的系统。在王琦演示中,只要通过手机打开网页,就可以远程让一辆特斯拉打开车门、后备箱,让正向行使的汽车突然倒车,甚至熄火失控。王琦说,他的团队共有10个人用了4个月的时间发现了这个漏洞。一个月后,特斯拉总部给远在上海的Keen送来了安全奖章。