本報(bào)記者 范凌志

16日加拿大溫哥華舉行的有著“黑客奧運(yùn)會(huì)”之稱的Pwn2Own2017世界黑客大賽上，360安全戰(zhàn)隊(duì)僅用時(shí)3秒就攻破著名閱讀軟件AdobeReader的防護(hù)，成為本屆賽事首支冠軍團(tuán)隊(duì)。這條新聞讓很多人對(duì)網(wǎng)絡(luò)安全充滿憂慮：我們常用的電腦軟件當(dāng)真如此不安全嗎？這些黑客大賽的網(wǎng)絡(luò)攻擊技術(shù)會(huì)擴(kuò)散出去嗎？

360安全戰(zhàn)隊(duì)負(fù)責(zé)人鄭文彬16日在接受《環(huán)球時(shí)報(bào)》記者采訪時(shí)表示，Pwn2Own由民間企業(yè)主辦，目的是發(fā)現(xiàn)流行軟件和系統(tǒng)中的漏洞，從而推動(dòng)這些廠商提升產(chǎn)品安全性?！肮テ艫dobeReader”的題目于今年1月公布在比賽主辦方官網(wǎng)上。

鄭文彬表示，Pwn2Own挑戰(zhàn)項(xiàng)目大致分為五類，分別是通過瀏覽器和Flash插件進(jìn)行攻擊、虛擬機(jī)逃逸、操作系統(tǒng)提權(quán)、企業(yè)應(yīng)用程序以及Apache服務(wù)器。他以AdobeReader為例解釋說，正常情況下，電腦里常見的PDF、DOC、XLS、PPT等文件都是安全無(wú)害的。但黑客能利用軟件漏洞，精心構(gòu)造一個(gè)攜帶攻擊代碼的文件。一旦用戶打開這個(gè)文件，黑客就能趁機(jī)控制電腦，比如下載運(yùn)行病毒、打開攝像頭偷窺、監(jiān)控鍵盤輸入等。在比賽中，參賽者將制作一個(gè)帶有攻擊代碼的PDF文件。當(dāng)使用AdobeReader軟件打開這個(gè)文件時(shí)，如果電腦自動(dòng)彈出記事本程序，代表黑客已經(jīng)突破軟件的防御系統(tǒng)。

鄭文彬介紹說，當(dāng)前網(wǎng)絡(luò)攻擊的主流方式有多種，例如將木馬偽裝為各種網(wǎng)絡(luò)資源，誘騙用戶主動(dòng)下載運(yùn)行，或者利用瀏覽器和Flash插件已經(jīng)公開的漏洞攻擊未打補(bǔ)丁的用戶等。近年來(lái)，隨著各大操作系統(tǒng)和基礎(chǔ)軟件的安全性提升，漏洞利用的難度逐漸變大。那些可以利用的0day漏洞（指已被發(fā)現(xiàn)、可能沒有公開，且官方還沒發(fā)布相關(guān)補(bǔ)丁的漏洞）在網(wǎng)絡(luò)黑市上價(jià)值不菲。因此對(duì)普通用戶來(lái)說，遇到0day漏洞攻擊的概率反而越來(lái)越小。

但在APT攻擊（高級(jí)持續(xù)性威脅）中，例如政府、機(jī)構(gòu)、基礎(chǔ)設(shè)施或大型企業(yè)等高價(jià)值目標(biāo)遭遇的黑客攻擊手段中，0day漏洞利用是非常普遍的。Pwn2Own參賽者使用的攻擊手段，與APT攻擊類似，都是使用廠商還沒有發(fā)現(xiàn)和修復(fù)的0day漏洞作為攻擊武器。360安全防護(hù)專家告訴記者，360的參賽隊(duì)伍被稱為“白帽子軍團(tuán)”，所謂“白帽子”就是扮演“黑客”的技術(shù)人員，通過模擬黑客的攻擊行為，把產(chǎn)品漏洞細(xì)節(jié)和攻擊代碼現(xiàn)場(chǎng)提交給相關(guān)廠商，同時(shí)也在攻防演練中提升自身產(chǎn)品的防護(hù)技術(shù)?！?/p>