【51CTO.com 獨(dú)家報(bào)道】3月18日在溫哥華舉辦的CanSecWest黑客大賽如火如荼的開始之后，網(wǎng)上出現(xiàn)了很多相關(guān)賽事的報(bào)道。如“黑客5秒鐘攻破Mac系統(tǒng) Safari是罪魁禍?zhǔn)?/A>”和“黑客大賽曝Safari、IE8與Firefox零日攻擊”等。51CTO也在之前為網(wǎng)友們提供了介紹和時(shí)間表，詳情請見：“http://netsecurity.51cto.com/art/200902/110496.htm”

到底今年的大賽到底準(zhǔn)備了那些系統(tǒng)和軟件讓大家來測試和攻擊？到底準(zhǔn)備了那些猛料？我們來看看以下來自51CTO記者的報(bào)道。

PWN2OWN 2009

在經(jīng)過多次討論和研究之后，PWN20WN比賽的最終安排如下：

瀏覽器和聯(lián)合測試的平臺

索尼VAIO - Windows 7（51CTO編者按：去年也是索尼VAIO。）

IE8
Firefox
Chrome

蘋果機(jī) - （這個不用說啥系統(tǒng)了吧）

Safari
Firefox

第一天：默認(rèn)不安裝額外插件，用戶去連接。

第二天：安裝flash, java, .net, quicktime。用戶去連接。

第三天：安裝像Acrobat Reader那樣的大眾軟件，用戶去連接。

任務(wù)？- 在應(yīng)用程序的環(huán)境中執(zhí)行代碼。(51CTO編者按：提權(quán)溢出之類的)

--------------------------------------------------------------------------------

電話(和其他相關(guān)的測試平臺)

黑莓（TBA）

谷歌Android手機(jī)（G1開發(fā)測試版）

蘋果iphone手機(jī)（2.0正式版）

Nokia/Symbian（機(jī)型N95）

Windows Mobile (宏達(dá) Touch)

第一天

SMS 短信

MMS 彩信

Email 電子郵件（只看收取的）

wifi 無線，如果默認(rèn)開啟的話

bluetooth藍(lán)牙，同上

Radio 無線接收器

第二天

電子郵件/短信/彩信(只可以讀取-不可以有間接行為)

無線保持啟動

藍(lán)牙保持啟動（默認(rèn)不接受配對。耳機(jī)是配好的。配對過程不可見。）

第三天

在默認(rèn)應(yīng)用程序用戶界面的一個層面

藍(lán)牙保持啟動（默認(rèn)不接受配對。耳機(jī)和滿足以上要求的其他設(shè)備是配好的。配對過程不可見。）

任務(wù)？必須去實(shí)現(xiàn)……

1.造成信息丟失（用戶數(shù)據(jù)）

2.造成財(cái)務(wù)損失

51CTO編輯觀察：

首先，對老外能舉辦這類真刀真槍測試產(chǎn)品的活動表示贊揚(yáng)。大致看了一下，基本上國外頂尖安全廠商全部參與。這次的大贏家是德國人Nils，這哥們快把所有主流瀏覽器都破壞了個遍。成功收獲15000美元和一臺筆記本電腦。上屆冠軍Charlie Miller在10秒內(nèi)拿下Safari，順利收獲5000美元和一臺蘋果筆記本。相對來說，智能手機(jī)的安全性還是比較經(jīng)受考驗(yàn)的，沒有出現(xiàn)30秒內(nèi)被攻破的事情。

事實(shí)證明，世界上并不存在絕對安全的瀏覽器，以前說什么用Firefox不會中毒這樣的事情，很遺憾只是YY。這一年來Firefox的漏洞甚至超過其他瀏覽器的總和，雖然它的修補(bǔ)速度夠快。在51CTO記者截稿前，谷歌Chrome的表現(xiàn)似乎足夠堅(jiān)挺。但之前爆的漏洞也不少。筆者認(rèn)為暫時(shí)的未攻破有以下幾點(diǎn)原因：

1.相對Firefox和IE8、Safari之類瀏覽器來說，谷歌chrome本身的代碼量就少，說是個精悍的瀏覽器內(nèi)核都不為過。

2.它真的是足夠新了，目前還算是“非主流”（51CTO編者按：Windows默認(rèn)IE，MAC默認(rèn)Safari，Linux默認(rèn)Firefox。Chrome雖系出名門，但要想雄霸一方尚需時(shí)日）其他瀏覽器都至少出了三代，它最近才出2.0beta，而且還已經(jīng)是升的非常非常勤了。

3.Google設(shè)計(jì)chrome的初衷就是，除了本地的管理員以外，普通用戶也可以不限使用。加上沙盒(sandbox)技術(shù)，讓它的安全性顯著提高，換句話說，即使發(fā)現(xiàn)了chrome的漏洞，駭客也只有很小的權(quán)限，無法造成很大的破壞。

當(dāng)然，黑客們找到Chrome新的攻擊方式只是時(shí)間問題，我們可以拭目以待。

希望我們國家也能盡快出現(xiàn)此類活動，并對國內(nèi)的信息安全研究給予支持和良好導(dǎo)向。這類活動不僅能為社會發(fā)掘更多的技術(shù)天才，更是能有效推進(jìn)我國的信息安全產(chǎn)業(yè)發(fā)展。有攻才有防，有防才有保障。將更多的安全人才引向“白色產(chǎn)業(yè)鏈”，避免讓更多的優(yōu)秀人才戴上“黑帽”，這是好事，更是值得去做的事。

【51CTO.com 獨(dú)家報(bào)道，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 獲勝黑客談Mac OS X、Chrome、Firefox
2. Google的云計(jì)算，你真的安全嗎？
3. 自己動手打造公司內(nèi)網(wǎng)監(jiān)管利器
4. 利用HTTP-only Cookie緩解跨站點(diǎn)腳本攻擊