中國專家講述“黑客奧運會”攻防戰

本報記者 范凌志

16日加拿大溫哥華舉行的有著“黑客奧運會”之稱的Pwn2Own2017世界黑客大賽上，360安全戰隊僅用時3秒就攻破著名閱讀軟件AdobeReader的防護，成為本屆賽事首支冠軍團隊。這條新聞讓很多人對網絡安全充滿憂慮：我們常用的電腦軟件當真如此不安全嗎？這些黑客大賽的網絡攻擊技術會擴散出去嗎？

360安全戰隊負責人鄭文彬16日在接受《環球時報》記者采訪時表示，Pwn2Own由民間企業主辦，目的是發現流行軟件和系統中的漏洞，從而推動這些廠商提升產品安全性。“攻破AdobeReader”的題目于今年1月公布在比賽主辦方官網上。

鄭文彬表示，Pwn2Own挑戰項目大致分為五類，分別是通過瀏覽器和Flash插件進行攻擊、虛擬機逃逸、操作系統提權、企業應用程序以及Apache服務器。他以AdobeReader為例解釋說，正常情況下，電腦里常見的PDF、DOC、XLS、PPT等文件都是安全無害的。但黑客能利用軟件漏洞，精心構造一個攜帶攻擊代碼的文件。一旦用戶打開這個文件，黑客就能趁機控制電腦，比如下載運行病毒、打開攝像頭偷窺、監控鍵盤輸入等。在比賽中，參賽者將制作一個帶有攻擊代碼的PDF文件。當使用AdobeReader軟件打開這個文件時，如果電腦自動彈出記事本程序，代表黑客已經突破軟件的防御系統。

鄭文彬介紹說，當前網絡攻擊的主流方式有多種，例如將木馬偽裝為各種網絡資源，誘騙用戶主動下載運行，或者利用瀏覽器和Flash插件已經公開的漏洞攻擊未打補丁的用戶等。近年來，隨著各大操作系統和基礎軟件的安全性提升，漏洞利用的難度逐漸變大。那些可以利用的0day漏洞（指已被發現、可能沒有公開，且官方還沒發布相關補丁的漏洞）在網絡黑市上價值不菲。因此對普通用戶來說，遇到0day漏洞攻擊的概率反而越來越小。

但在APT攻擊（高級持續性威脅）中，例如政府、機構、基礎設施或大型企業等高價值目標遭遇的黑客攻擊手段中，0day漏洞利用是非常普遍的。Pwn2Own參賽者使用的攻擊手段，與APT攻擊類似，都是使用廠商還沒有發現和修復的0day漏洞作為攻擊武器。360安全防護專家告訴記者，360的參賽隊伍被稱為“白帽子軍團”，所謂“白帽子”就是扮演“黑客”的技術人員，通過模擬黑客的攻擊行為，把產品漏洞細節和攻擊代碼現場提交給相關廠商，同時也在攻防演練中提升自身產品的防護技術。▲