Pwn2Own競賽讓駭客趨之若鶩的秘密?專訪ZDI計畫負責人和趨勢科技安全研究副總

趨勢科技旗下 ZDI每年舉辦的「Pwn2Own」有著如其名「破解就能帶走」的經典特色,今年甚至獲特斯拉贊助一台 Model 3。這個駭客競賽到底有什麼魅力,為何能吸引全球頂尖好手、讓破解目標的產品供應商出人力、獎金,甚至贊助高價獎品?
評論
▲左為趨勢科技安全研究副總 Mike Gibson,右為漏洞研究的總監暨 ZDI 負責人 Biran Gorenc
▲左為趨勢科技安全研究副總 Mike Gibson,右為漏洞研究的總監暨 ZDI 負責人 Biran Gorenc
評論

「Pwn2Own」有著如其名「破解就帶走」的經典特色,獎品更是每每成為眾人矚目的亮點,今年甚至獲特斯拉贊助一台 Model 3。這個駭客競賽到底有什麼魅力,為何能吸引全球頂尖好手、讓破解目標的產品供應商出人力、獎金,甚至贊助高價獎品?

INSIDE 訪問到趨勢科技安全研究副總 Mike Gibson,以及漏洞研究的總監 Biran Gorenc,他同時也正領導旗下 ZDI 這個全球最大的非供應商導向漏洞計畫。ZDI 同時也是個聚集許多白帽駭客/野生資安研究員的虛擬社群,全球對破解漏洞有興趣的研究者可以在這裡切磋交流並貢獻其找到的漏洞,這些漏洞便會回報給供應商供其改善。除了母公司趨勢科技的資源,ZDI 也透過回報漏洞獲得營運的收入。

如何擄獲頂尖駭客的心?

相較大部分設定人為題目考驗技術的比賽,Pwn2Own 不僅每次的獎金、獎品都十分誘人又充滿噱頭,骨子裡更是少數「實戰」攻防的駭客競賽:對手不再是杵著不動讓你練手的木樁,而是有反應、會防守的各大知名公司資安研究員。

Brian 提到,Pwn2Own 已經舉辦 12 年,但至今參賽人數仍維持在 10-20 人的規模,背後原因是隨著資訊安全技術進步,產品愈來愈難破解。經年累月下來的攻防,以前只要一個漏洞就能攻破產品,現在則需要 2-3 個漏洞起跳。駭客的技術愈來愈高階,但問題也愈來愈複雜,所以永遠只有世界頂尖高手才有機會挑戰成功。

對於這些有熱情的白帽駭客來說,獎金固然豐盛卻不是唯一的誘因,畢竟拿著漏洞去勒贖金錢豈不賺更多?

這些成員相當熱愛「研究」這些漏洞,但找出漏洞與攻擊方法後,都一律直接回報給供應商促其修補,而非駭取這些漏洞為己用。在這整場比賽中,Brian 都稱社群成員為研究者。

可以匿名、想要快速接觸收到獎金,甚至投入 Pwn2Own 競賽可以接觸到稀有的攻擊目標,破解其他地方找不到的難題,都是讓這些研究員躍躍欲試的原因。Brian 還指出,ZDI 社群有點數、等級與成就獎金系統,能更進一步加強成員的成就感與認同感。談到社群營造,Pwn2Own 現場除了常見的紀念貼紙,還發給參賽者紀念硬幣,Bria 說,在外面碰到社群成員就可以「以幣認人」作為信物,更為社群凝聚增添了一份趣味巧思。

ZDI coin
▲這次 Pwn2Own 現場發放的 ZDI 紀念硬幣

再來,隨著資安意識抬頭,愈來愈多的供應商,尤其是有經驗與規模者,會主動尋求社群的力量,以期在最短時間內揪出漏洞並防患於未然。另一方面,而 ZDI 社群累積的聲量與聲譽,不管在供應商方或白帽駭客(研究員)方,都深受信賴。根據 Mike,這次 Model 3 計畫就是特斯拉主動接觸,而團隊自己也是特斯拉粉絲,便欣然開展了這次合作。

見證白帽駭客美技的搖滾區

Pwn2Own ZDI
▲2019 年 Pwn2Own 獲破解大師大獎的氟乙酸鈉二人組成閃光燈焦點

Brian 透露,幾年比賽辦下來,也透過競賽與社群擄獲不少優秀人才,現在就在 ZDI 裡面一起工作。自己也是資安研究員的 Brian 對於能近距離看到高手較勁,更是坦承「學到很多」。

由於 Pwn2Own 攻擊目標是真實運作的產品,因此每年賽事中攻擊介面和領域的演變也體現著科技趨勢,Brian 認為這相當有趣。舉辦競賽這幾年來,見證瀏覽器、沙盒、虛擬機的改變,到 iPhone 越獄、自駕汽車、電信基帶攻擊,在侵入的過程中了解安全系統與資訊系統,可說是收穫豐碩。

核稿編輯:Chris

延伸閱讀: