3月18日，Pwn2Own 2015將在加拿大溫哥華拉開戰(zhàn)幕。在持續(xù)兩天的比賽中，來自全球頂尖黑客高手，將向IE、Chrome、Safari、Firefox等常見瀏覽器以及IE的Flash和PDF插件發(fā)起攻擊，奪取高額比賽獎金。

[[129842]]

不過對于很多信息安全的新手來說，他們往往會將Pwn2Own與另一著名國際黑客賽事Defcon ctf混淆，搞不清楚兩者的區(qū)別。

借著Pwn2Own 2015開賽在即的間隙，小編從比賽形式、參賽門檻、參賽選手、活動氛圍四個維度對兩大國際黑客大賽進(jìn)行全面對比，幫助年輕黑客及安全技術(shù)研究愛好者更好的認(rèn)識和了解Pwn2Own與Defcon CTF 。

Pwn2Own像射擊，Defcon CTF像足球

Defcon CTF更傾向于人與人之間的對抗。CTF賽制代替之前黑客們通過互相發(fā)起真實攻擊進(jìn)行技術(shù)比拼的方式，得到廣泛普及。僅2014年全球就有超過50場國際性CTF賽事舉辦，而DEFCON CTF總決賽則是CTF賽事中最頂尖的舞臺。

與之相比，至今僅第七個年頭的Pwn2Own就要年輕的多，比賽形式也更新穎。Pwn2Own比賽的目標(biāo)硬件為安裝當(dāng)年最新系統(tǒng)的Windows或蘋果筆記本，軟件則是最新版瀏覽器及其插件。

由美國五角大樓入侵防護(hù)系統(tǒng)供應(yīng)商TippingPoint的DVLabs贊助總計近百萬美元的賽事獎金每年吸引著無數(shù)頂尖的黑客對這些產(chǎn)品發(fā)起挑戰(zhàn)。

不難看出，Defcon CTF對臨場發(fā)揮的要求更高。而從競技的角度來說CTF更傾向于對抗，Pwn2Own則是對同目標(biāo)的比拼。用體育項目來比喻的話，CTF就是足球比賽，Pwn2Own就是目標(biāo)明確的射擊比賽。

順便說說今年P(guān)wn2Own的6個“靶心”。瀏覽器目標(biāo)有三個，分別為Chrome 42、 IE 11、Firefox，兩個Windows瀏覽器插件目標(biāo)即運行在IE 11內(nèi)的Flash播放器和PDF閱讀器，以及蘋果系統(tǒng)自帶的Safari瀏覽器。

與以往不同的是，2015PWN2OWN的“靶心”更小了。本屆賽事IE瀏覽器、Flash、PDF閱讀器三個目標(biāo)都運行在64位下并且打開了EPM(增強保護(hù)模式)，致使賽事的整體難度大幅提升。

如何直觀了解項目的難度，從主辦方為其懸賞的獎金就可以看出。攻破Chrome、IE、Firefox和Safari四大主流瀏覽器分別為7.5萬美元、6.5萬美元、3萬美元、5萬美元。而IE瀏覽器插件Flash與PDF的獎金均為6萬美元。當(dāng)然如果能夠在此基礎(chǔ)上，獲取目標(biāo)更高的系統(tǒng)級權(quán)限，還能拿到2.5萬元的額外獎金，鼓勵黑客們?nèi)グl(fā)現(xiàn)更多更高級漏洞。

然而曾在Pwn2Own比賽上攻破Chrome的“常勝將軍”VUPEN黑客團(tuán)隊創(chuàng)始人Chaouki Bekrar就公開在推特上表示：“2015年的Pwn2Own你在開玩笑嗎?獎金少了，難度卻增加了(64位、EMET、增強沙箱保護(hù)、禁止注銷/重啟等)，坐等2016的到來。”

業(yè)內(nèi)專家“TK教主”于旸在知乎上對此事的評價稱是VUPEN認(rèn)為比賽難度提升，獎金卻變少了，不合理。畢竟VUPEN是以此為業(yè)的。

比賽者區(qū)別

[[129843]]

CTF賽事入門門檻相對較低，鼓勵大眾的參與，無論是專業(yè)人士、泛專業(yè)人士、愛好者都可參與，除正式比賽外，年輕黑客還可以考慮報名CTF外圍賽磨練自己。

參加PWN2OWN賽事門檻就相對高了許多，僅僅注冊報名就需上萬人民幣。即便是頂級黑客沒有充分的準(zhǔn)備也不會貿(mào)然參賽的，畢竟每個“靶心”背后站著全球著名互聯(lián)網(wǎng)公司的安全團(tuán)隊傾力打造的安全體系。

換個角度來說，CTF賽事中不乏學(xué)生戰(zhàn)隊，如國內(nèi)的參加CTF的常客藍(lán)蓮花戰(zhàn)隊，就是以清華學(xué)生為參賽主體。而Pwn2Own中學(xué)生參賽情況較為罕見。

不過這不能代表CTF或Pwn2Own的最高參賽者水平孰高孰低，CTF賽事的頂尖隊伍參加Pwn2Own也不在少數(shù)。

CTF賽事多數(shù)是團(tuán)隊作戰(zhàn)，畢竟在48小時或者更短的時間需要完成主辦方設(shè)置的題目獲取旗幟，進(jìn)行技術(shù)攻防，所以單人作戰(zhàn)往往顧此失彼，力不從心。優(yōu)勢互補的團(tuán)隊作戰(zhàn)是CTF賽事的主流。

然而盤點歷年P(guān)WN2OWN個人參賽者就不少，但隨著比賽難度的逐步提高，PWN2OWN團(tuán)隊作戰(zhàn)比例呈現(xiàn)上升趨勢。如圖所示，去年被破解的項目中團(tuán)隊作戰(zhàn)占比超過63%。

2014 PWN2OWN 冠軍一覽左至右依次是冠軍得主、團(tuán)隊名、年份、挑戰(zhàn)項目

團(tuán)隊作戰(zhàn)的代表中除了奪冠次數(shù)最多的VUPEN戰(zhàn)隊外，來自中國的Keen Team戰(zhàn)隊也是團(tuán)隊作戰(zhàn)的代表戰(zhàn)隊，連續(xù)兩屆奪冠的他們儼然成為國內(nèi)乃至亞洲頂級黑客戰(zhàn)隊的旗幟。

賽制區(qū)別

從活動氣氛上來說，CTF相比PWN2OWN更活躍。這可能與CTF賽制的誕生地Defcon有關(guān)，Defcon一直以嘉年華的形式舉辦，CTF比賽現(xiàn)場常常在現(xiàn)場設(shè)置大屏幕觀看排名，炫目的示意圖等。

[[129844]]

今年2月日本舉辦的SECCONCTF中攻防可視化技術(shù)的展示

相比之下PWN2OWN更注重研究院員的技術(shù)成果，現(xiàn)場氣氛較為嚴(yán)肅，畢竟挑戰(zhàn)全球知名軟件背后的安全團(tuán)隊并不是一件容易的事情。

Defcon CTF氣氛活躍可能還有歷史基因的關(guān)系在里面。Defcon創(chuàng)始人、黑客社區(qū)的“搖滾巨星”JeffMoss創(chuàng)建Defcon的初衷，源自有一次他為朋友辦了一個告別Party，結(jié)果他朋友先走了。MOSS就把熟悉的黑客叫過來繼續(xù)開Party，最后演變成全球著名的黑客大會Defcon。

最后分享個冷知識，Pwn2Own里的“Pwn”是一個黑客語法的俚語詞，自“own”這個字引申出來的，這個詞的初始含義是玩家在整個游戲?qū)?zhàn)中處在勝利的優(yōu)勢，或是說明競爭對手處在完全慘敗的情形下，這個詞習(xí)慣上在網(wǎng)絡(luò)游戲文化主要用于嘲笑競爭對手在整個游戲?qū)?zhàn)中已經(jīng)完全被擊敗。

在黑客界中意為攻破、控制的意思，黑客需要利用漏洞來修改程序(或者進(jìn)程)中的標(biāo)準(zhǔn)執(zhí)行路徑，從而達(dá)到執(zhí)行任意命令的目的。Pwn2Own顧名思義就是攻破控制設(shè)定好的挑戰(zhàn)目標(biāo)。

說了那么多，相信大家心中對Pwn2Own與Defcon CTF有清晰的輪廓。其實黑客大賽和其他競技比賽一樣，外行看熱鬧，內(nèi)行看門道。同級別的比賽中GeekPwn可謂是最親民的黑客大賽，感興趣的可以自行了解下，在此就不復(fù)述了。

2015 PWN2OWN馬上就要開始了，最終會有哪些中國或亞洲的安全研究團(tuán)隊出現(xiàn)在Pwn2Own現(xiàn)場，又有誰能夠打中”靶心”成為今年的神槍手呢，讓我們拭目以待吧。