经过各方联络,在成都天府新区的支持下,比赛地点终于在了成都,漏洞大神们“新华山论剑”的名字也最终定为——天府杯。

  

  我知道你在想什么,“天府杯”,听上去有点土土的,比 Pwn2Own 这种名字差到不知哪里去了。

  中哥想说,我完全同意你的看法。

  不过,起名字这种事情你懂的,不是一个人就能说了算。你来不是看名字的,是来看大神的。没错,那些曾经在 Pwn2Own 上鏖战的中国顶级黑客大神,一个都不少地出现在了天府杯上。

  甚至,过去因为路途遥远、签证复杂、参赛名额有限等原因不能去国外的众多中国漏洞研究团队,这次都能去成都,一边吃火锅一边一较高下。

  给你看张图:

  

  这是天府杯的主办方,记住这些 Logo,这基本上就代表了中国网络安全漏洞研究的几大门派。他们联席组成了裁判组,而裁判组中,又有一个最核心的“长老会”,负责审核每个漏洞的详情,承担 Pwn2Own 上 ZDI 的那个角色。

  2018年第一届天府杯,长老会由 MJ(360)、袁哥(腾讯)、善功(阿里)、黄正(百度)四人组成。

  几位大神开会,决定天府杯第一年的规则完全照搬 Pwn2Own,只有一点没有照搬它,那就是——奖金

  比赛总奖金100万美元。

  你还记得之前我给你看的“漏洞贩子” ZeroDium 的价格表吗?对于同样一个漏洞,天府杯的奖金和 ZeroDium 基本持平,有的还比它高。

  

  这是2018年天府杯的赛题,每一个圆圈里的图标就是一个目标,下面是破解成功的队伍以及得到的奖金。

  回过头说 Pwn2Own。2018年由于之前两年的冠军队伍腾讯和360都放了鸽子,比赛一下子变得很空旷。不过,把地球仪转到背面,成都可是人声鼎沸。

  一个著名的美国黑客 TheGrugq 在推特上发声,在中国发生了“TianfuCup”这么大事儿,我们欧美黑客圈居然没人关心,也没人发声!这太可怕了!

  

  第一届天府杯热闹开幕,360 参加 Pwn2Own 的原班人马老湿傅悉数登场,一如脱缰的火云邪神。最终 360Security 队拿了第一名(62万美元奖金);中科院计算所+腾讯联队获得了第二名(7.5万美元奖金)。

  你可能有点纳闷,为什么之前在公众心中漏洞研究能力不相上下的两个公司,这次差距有点大呢?

  究其本质:漏洞军备竞赛和核武器军备竞赛一样,是很费钱的。

  2018年开始,腾讯似乎不太想烧钱了,主动做出了调整,很多过去纯研究的团队背上了一些商业任务,走上了经典的“赛马”机制。面对这样的局面,一些安全研究员不太适应,有的积极调整,有的就选择了离开。而相比之下,360的安全研究团队粮草充裕,一直保持相对稳定。

  这也很好理解,毕竟“漏洞研究”在腾讯内部的优先级怎么可能比得过微信、QQ、《王者荣耀》那些明星产品,而对于公司小得多也专得多的360来说,漏洞研究就是立命之本,每一个漏洞都是一颗重磅弹药,必须拼尽全力。

  2019年,第二届天府杯卷土重来。

  组委会改进了奖金规则,也增加了更多有关虚拟机和“Zero Click”的挑战项目。360仍然拿下冠军,而在队伍列表里,没有腾讯的名字。据说,腾讯并不是没有参赛,而是考虑到当时的实力现状,没有用官方名字参赛。毕竟,如果各大媒体的新闻里都是:“360力压腾讯获得第一”,实在是会招来很多不必要的麻烦。

  江湖就是这样,本来是一场纯粹切磋武艺的华山论剑,但是名、利、争夺、权衡,总是世间难逃的阴影。

  不过,令人鼓舞的是,虽然承受压力,以科恩实验室为代表的腾讯安全却一直尽力保持着漏洞研究世界级的能力。

  江湖上有宿敌,高手才不敢懈怠。

  

  2019年天府杯的论坛上,颇有一些外国面孔。

  (五)网络世界的“战略核威慑”

  我们通篇都在强调的脑洞是——漏洞的本质是武器。

  说到这里,恐怕有些浅友还有个疑问:“既然漏洞是武器,那为什么我们中国的漏洞大神找到 0-Day 漏洞之后要选择参加比赛让厂商修复,而不是偷偷藏起来,“关键时刻”作为武器来用呢?”

  这就要说到0-Day 漏洞的“生命周期”

  MJ 把系统比作一片土地,漏洞就是土地下面的矿藏。全世界的漏洞大神都在这片土地上采矿,谁也拦不住谁。

  你找到这个漏洞,别的大神也可能找到这个漏洞。如果你找到 0-Day 漏洞之后不公开,那么其他人找到了这个漏洞就会公开,到时候厂商还是会修复漏洞,你手中的武器自然失效。

  一般来说,一个普通的 0-Day 漏洞的生命周期只有半年到一年。也就是说,如果你找到了漏洞,捂在手里半年,基本上就会被另一个大神找到。

  而只有脑洞非常奇葩的顶级 0-Day 漏洞,才能保留很久,五年甚至十年。就像永恒之蓝漏洞那样。

  但是,这种顶级的漏洞,即使是 MJ 这样的大神,一生中都难以发现几个。而真正在国家对抗中,仅仅靠几个囤积的神级 0-Day 漏洞也并不保险。

  这就是今天的最后一个脑洞:

  持续发现顶级 0-Day 漏洞的能力,

  才是网络世界里的战略核威慑。

  而从各个方面的信息综合判断,我们国家此时此刻并没有掌握“漏洞核威慑”的能力。

  从民间能力来看,美国有很多大小公司甚至是安全团队,都有不同的大侠在各个方面进行漏洞研究,而把目光移到中国,几乎只有 BAT3 这几家巨头有能力进行纯漏洞研究。

  而要拥有持续发现顶级漏洞的能力,仅仅寄希望于黄金一代黑客的灵光乍现是不行的。正如中国篮球队,有姚明的日子风生水起,没有姚明的时代一蹶不振。

  烟花再耀眼也只是在历史的天空转瞬即逝,而只有持续燃烧的阳光才能让万物显形。

  漏洞的“核武器”研究,需要一个庞大的从业者底座,这个底座,由年轻人组成。在天府杯上,这些捧着奖金的小鲜肉中,也许就藏着未来的漏洞大神。

  有人说用漏洞换奖金很俗气。

  钱就是很俗气,但正是这样的奖金,才能解决那些年轻的漏洞研究者的衣食住行,才能让他们觉得这条路有未来,从而可以坚持走下去十年二十年,最终才有可能亲手握住那些“核武器漏洞”。

  

毛泽东主席有一句名言:原子弹是纸老虎。过去我们这样看,现在我们仍然这样看。中国发展核武器不是由于中国相信核武器的万能,要使用核武器。恰恰相反,中国发展核武器,正是为了打破核大国的核垄断,要消灭核武器。


  1964年10月16日,在试爆了第一颗原子弹8个小时后,中国政府面对全世界发布了如上声明。

  

和核武器一样,我们持续地研究漏洞,不是为了炫耀,更不是为了首先发起攻击,而是为了让某些人再也没办法威胁我们。


  告别很久之后,MJ 给我发来了这句话。

  如今,第一颗原子弹爆炸已经过去五十多年,物理世界的核武器没有消失,反而在网络世界又多了一场征程。

  时间的岸边风潮涌动,无数侠客正少年。

  

  再自我介绍一下吧。我叫史中,是一个倾心故事的科技记者。我的日常是和各路大神聊天。如果想和我做朋友,可以搜索微信:shizhongmini

  风潮涌动

  侠客少年

转自网易:http://dy.163.com/v2/article/detail/F8IHUF1I05313LD0.html