Pwn2Own競賽讓駭客趨之若鶩的秘密?專訪ZDI計畫負責人和趨勢科技安全研究副總

趨勢科技旗下 ZDI每年舉辦的「Pwn2Own」有著如其名「破解就能帶走」的經典特色,今年甚至獲特斯拉贊助一台 Model 3。這個駭客競賽到底有什麼魅力,為何能吸引全球頂尖好手、讓破解目標的產品供應商出人力、獎金,甚至贊助高價獎品?
評論
▲左為趨勢科技安全研究副總 Mike Gibson,右為漏洞研究的總監暨 ZDI 負責人 Biran Gorenc
評論

「Pwn2Own」有著如其名「破解就帶走」的經典特色,獎品更是每每成為眾人矚目的亮點,今年甚至獲特斯拉贊助一台 Model 3。這個駭客競賽到底有什麼魅力,為何能吸引全球頂尖好手、讓破解目標的產品供應商出人力、獎金,甚至贊助高價獎品?

INSIDE 訪問到趨勢科技安全研究副總 Mike Gibson,以及漏洞研究的總監 Biran Gorenc,他同時也正領導旗下 ZDI 這個全球最大的非供應商導向漏洞計畫。ZDI 同時也是個聚集許多白帽駭客/野生資安研究員的虛擬社群,全球對破解漏洞有興趣的研究者可以在這裡切磋交流並貢獻其找到的漏洞,這些漏洞便會回報給供應商供其改善。除了母公司趨勢科技的資源,ZDI 也透過回報漏洞獲得營運的收入。

如何擄獲頂尖駭客的心?

相較大部分設定人為題目考驗技術的比賽,Pwn2Own 不僅每次的獎金、獎品都十分誘人又充滿噱頭,骨子裡更是少數「實戰」攻防的駭客競賽:對手不再是杵著不動讓你練手的木樁,而是有反應、會防守的各大知名公司資安研究員。

Brian 提到,Pwn2Own 已經舉辦 12 年,但至今參賽人數仍維持在 10-20 人的規模,背後原因是隨著資訊安全技術進步,產品愈來愈難破解。經年累月下來的攻防,以前只要一個漏洞就能攻破產品,現在則需要 2-3 個漏洞起跳。駭客的技術愈來愈高階,但問題也愈來愈複雜,所以永遠只有世界頂尖高手才有機會挑戰成功。

對於這些有熱情的白帽駭客來說,獎金固然豐盛卻不是唯一的誘因,畢竟拿著漏洞去勒贖金錢豈不賺更多?

這些成員相當熱愛「研究」這些漏洞,但找出漏洞與攻擊方法後,都一律直接回報給供應商促其修補,而非駭取這些漏洞為己用。在這整場比賽中,Brian 都稱社群成員為研究者。

可以匿名、想要快速接觸收到獎金,甚至投入 Pwn2Own 競賽可以接觸到稀有的攻擊目標,破解其他地方找不到的難題,都是讓這些研究員躍躍欲試的原因。Brian 還指出,ZDI 社群有點數、等級與成就獎金系統,能更進一步加強成員的成就感與認同感。談到社群營造,Pwn2Own 現場除了常見的紀念貼紙,還發給參賽者紀念硬幣,Bria 說,在外面碰到社群成員就可以「以幣認人」作為信物,更為社群凝聚增添了一份趣味巧思。

▲這次 Pwn2Own 現場發放的 ZDI 紀念硬幣

再來,隨著資安意識抬頭,愈來愈多的供應商,尤其是有經驗與規模者,會主動尋求社群的力量,以期在最短時間內揪出漏洞並防患於未然。另一方面,而 ZDI 社群累積的聲量與聲譽,不管在供應商方或白帽駭客(研究員)方,都深受信賴。根據 Mike,這次 Model 3 計畫就是特斯拉主動接觸,而團隊自己也是特斯拉粉絲,便欣然開展了這次合作。

見證白帽駭客美技的搖滾區

▲2019 年 Pwn2Own 獲破解大師大獎的氟乙酸鈉二人組成閃光燈焦點

Brian 透露,幾年比賽辦下來,也透過競賽與社群擄獲不少優秀人才,現在就在 ZDI 裡面一起工作。自己也是資安研究員的 Brian 對於能近距離看到高手較勁,更是坦承「學到很多」。

由於 Pwn2Own 攻擊目標是真實運作的產品,因此每年賽事中攻擊介面和領域的演變也體現著科技趨勢,Brian 認為這相當有趣。舉辦競賽這幾年來,見證瀏覽器、沙盒、虛擬機的改變,到 iPhone 越獄、自駕汽車、電信基帶攻擊,在侵入的過程中了解安全系統與資訊系統,可說是收穫豐碩。

核稿編輯:Chris

延伸閱讀:






警戒升級,店面安全也升級!月租型 HomeSecurity AI 店家防護,小店業者無痛導入

監視器不稀奇,不過在盡量不外出的管制期,還要另外花錢購買監視器,對於備受衝擊的業者來說彷彿又多剝一層皮。幸好還有台灣大寬頻月租型「HomeSecurity AI 店家防護」,每月不用千元即可遠端守護店面安全。
評論
Photo Credit:iStock
評論

全國三級疫情警戒,市景進入半封城的模樣,人人自危。許多店家也只好選擇暫停營業,減少營運成本;尤其雙北限制餐廳內用後,不少店家也改做外帶/外送服務,關閉原本的室內用餐空間。門可羅雀不是最可怕的,最可怕的是當在家防疫、減少外出的同時,店面安全出現破口,遭有心人士闖空門。既然花錢請一個人專門顧店或是花時間親自坐鎮都不是好辦法,此時引進智慧監控系統,才是明智之舉。

月租型HomeSecurity AI 店家防護,安心無負擔

監視器不稀奇,不過在疫情嚴峻期間,花費破千、破萬的預算購買昂貴監視器,對於備受疫情衝擊的業者來說,彷彿又多剝了一層皮。此時此刻最需要的,應該是能夠減緩大筆支出,陪伴業者度過艱難時期的店家防護系統。

對此,台灣大寬頻的月租型「HomeSecurity AI 店家防護」是很好的解決方案,不只遠端守護店面安全,搭配指定光纖上網方案,每月也只要 999 元起的價格,十分超值划算。

異地監控店家,同步更新雲端、方便即時察看與回放

價格好入門可不是「HomeSecurity AI 店家防護」唯一的優點。一般來說,架設閉路電視系統監控、將監視器的影像即時上傳網路,同時還要 AI 智慧監控功能,總要耗費不少資金成本。不過為了讓眾多小店家業者享有同等級的監控服務,台灣大寬頻推出月租型「HomeSecurity AI 店家防護」能以相對實惠的方案,滿足小型店家的科技監控需求。

首先,店主可以根據店面需求,選擇「槍型」或「吸頂」等網路攝影機款式。接著,店主可以跨裝置檢視監控畫面,無論是桌機、筆電、智慧型手機、平板,都能觀看 1920x1080p 的高畫質即時監控影像;此外,分割畫面也能讓店主同時監看多角度或連鎖分店的情況。

拜先進的雲端技術之賜,「HomeSecurity AI 店家防護」的監控影像可以即時串流雲端,店主能不限時間、地點登入網頁或 App 服務,觀看各網路攝影機的即時影像與錄影回放,不必再辛苦傳輸資料畫面或手動上傳雲端,監控管理十分方便。

AI 影像告警,聰明防竊;另有最高 36 萬竊盜損失補償

更讓人安心的是,「HomeSecurity AI 店家防護」最重要的核心技術「AI 人像辨識」。簡言之,就是網路攝影機能將拍攝畫面快速回傳至技術平台並分析數據,進而精準判斷畫面中是否有「人」入侵。一旦AI影像告警確認店內有人為入侵,便會立即以電話、簡訊、App 推播等管道主動通報緊急聯絡人。

不只聰明防竊,也另有完善的配套讓店主安心。萬一真的不幸發生竊盜損失,台灣大寬頻和富邦產險合作,能提供竊盜損失補償,因此只要在案發 30 天內,以報案後憑警察機關刑事報案證明三聯單以及相關影像證據提出申請,店主最高可獲得每年 36 萬元的補償。

防疫期間,同島一命。台灣大寬頻推出「HomeSecurity AI 店家防護」以相對平易近人的方案,提供台灣小型企業店家安心智慧的守護,以嚴密堅實的智慧監控,陪伴業者迎來雨過天青的彼日。