Pwn2Own的组织者周日为黑客比赛的规则进行了辩护,此前三届冠军批评这项挑战鼓励研究人员将漏洞“武器化”。
这场比赛将于3月9日开始,研究人员将与四种浏览器——苹果的Safari、谷歌的Chrome、微软的IE和Mozilla的火狐浏览器——以及运行苹果的iOS、谷歌的Android、微软的Windows 7 Phone和RIM的黑莓操作系统的智能手机展开竞争。
根据Pwn2Own的规则,第一个破解火狐、IE或Safari或所有智能手机的研究人员将获得1.5万美元的现金奖励。拿下Chrome可以赚2万美元.
研究人员解决目标的顺序由随机抽签确定,比赛是赢家通吃:只有第一个黑进浏览器或智能手机带着钱走了
巴尔的摩咨询公司Independent的分析师查理·米勒(Charlie Miller)就是其中之一安全评估师(ISE),也是Pwn2Own唯一获奖的研究人员三年运行——心烦意乱。
米勒在周五的一次采访中说:“有这么多人报名参加Pwn2Own,而获奖的人又那么少,我很失望。”“其他那些没有成功的功绩怎么办?”
米勒为Safari赢得了第四个,也是最后一个位置,过去三年他在Pwn2Own都在使用这个浏览器。与迪翁·布拉基斯一起,谁也为ISE工作,米勒将在第二iPhone黑客的挑战。
成为Pwn2Own的第一名对成功至关重要,因为竞争非常激烈,不仅米勒注意到这一点,该公司的主管丹·霍尔登(Dan Holden)也注意到惠普这场比赛的赞助商,TippingPoint的DVLabs单独的面试星期五。
米勒的观点是,由于参赛选手如此之多——TippingPoint曾表示,今年的名单是有史以来规模最大的——一些研究人员将不得不手软回家。但它们发现的漏洞和造成的漏洞不会从市场上消失。
根据Pwn2Own的规则,TippingPoint的零日倡议(ZDI)漏洞奖励程序获得了获胜漏洞和漏洞利用的权利,并要求研究人员保密。然后,ZDI将错误报告给相应的供应商,并在向公众发布任何信息之前给供应商6个月的时间来修补问题。
“如果有人在我之前赢了,我是不会展示我的漏洞的,”米勒指着Safari类别说,他说浏览器不太可能挺过其他三个竞争者的攻击。“所以我不会报告这种脆弱性。”
米勒说,更重要的是,他和其他人已经为未修补的漏洞创造了可靠的漏洞利用。用安全术语来说,将漏洞“武器化”意味着攻击代码不仅仅是理论上的概念验证,而是实际有效的。
米勒说,“鼓励研究人员武器化这样一种exploit几乎是危险的”。
TippingPoint安全研究团队的经理亚伦·波特诺伊(Aaron Portnoy)反驳了米勒的抱怨。他是Pwn2Own五年里每一年的组织者。
“我完全不同意研究人员开发武器化的行为,”波特诺伊在回答问题的电子邮件中说。“参加Pwn2Own比赛的人通常都有道德上的原因。我认为,许多人都意识到,不那么合法的机构为此类研究支付更多费用,(但)他们更愿意与向受影响供应商披露信息的实体打交道,后者最终会修复漏洞。”
不过,波特诺伊的公司今年不会为所有成功的黑客行为发放现金奖励——2008年,该公司曾这么做过每零日漏洞利用$5,000——它将为研究人员没有机会使用的漏洞买单。
波特诺伊说:“我们仍然通过正常的ZDI程序为参赛者没有机会使用的任何漏洞提供资金。”“事实上,如果提交的信息是合法的,并且被证明是被利用的,我们可能会提供更高的(ZDI)奖励积分。”
ZDI没有透露它的漏洞赏金表,但奖励“奖励点”——类似于飞行常客里程——参与者可以一次性兑现。
米勒表示,如果他今年没有赢得比赛,他正在考虑公开发布Pwn2Own的漏洞和漏洞。
米勒在周五说:“也许我会免费把它们都扔了,让它们知道我有多生气。”
波特诺伊称米勒的评论“令人沮丧”,但他指出,除了奖金之外,Pwn2Own还有更多的东西,他认为这个因素会阻止研究人员将未使用的漏洞和漏洞泄露出去。
“参加Pwn2Own比赛的研究人员不仅仅是为了钱,而是为了与他们展示的技能相关的名声,”波特诺伊说。“我无法想象,在没有任何供应商通知的情况下,不负责任地泄露漏洞信息,会招致正面的恶名。”
Pwn2Own定于3月9日至11日CanSecWest该会议每年在不列颠哥伦比亚省温哥华举行。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于网络犯罪和黑客的信息在计算机世界的网络犯罪和黑客主题中心。
这个故事,“三次Pwn2Own冠军打破黑客比赛规则”最初是由《计算机世界》 .