随着一场黑客大战落幕,另一场公关和争议的口水大战掀起。
今早(3月18日),雷锋网的一个朋友问我,Pwn2Own 黑客破解大赛结束了,“到底谁是总冠军?”其实和他一样心存疑问的人并不在少数。
在搜索引擎输入“Pwn2Own"、“总冠军”两个关键词,你会惊奇地发现,第一篇新闻是讲的是360荣获总冠军,而下面的新闻讲的则是腾讯提前一天锁定大赛总冠军。
此事必有蹊跷!
冠军只有一个,到底是谁?如果360确实是总冠军,那前一天新闻所说的腾讯安全战队提前一天锁定总冠军,锁的又是什么?
十天前(3月8日),大赛的主办方在其社交账号上晒出了此次大赛的比赛战利品,并表示:一周之后大赛将选出的 “Master of Pwn ”(破解大师)将获得这件荣耀战衣。
今早(3月18日),360安全战队的队长MJ身着“破解大师”战衣,手捧大赛奖杯,和队友们一起合影留念的照片出现在我的眼前。以MJ这样全球知名的黑客身份来说,这张照片是PS的概率接近于负。显然,官方认定为“Master of Pwn”的队伍是360安全战队。
现场拍摄的官方PPT的照片也坐实了这一点。
这次比赛的获胜者称号是“大师”而非“冠军”,但是既然360安全团队是这个荣誉的获得者,那么为何昨天又有新闻说腾讯安全战队提前一天就锁定了Pwn2Own黑客大赛总冠军呢?
在该报道中,我注意到这样一段描述:
截止到目前,腾讯战队两日累计总积分71分,在少赛一天的情况下,提前锁定总积分总冠军!其中曾斩获Pwn2Own历史上首个也是目前唯一一个“Master of Pwn(破解大师)”的腾讯Sniper战队单队积分已经达到47分。
我们再将该篇报道中的比分图和官方放出来的比分进行对比,就知道这种说法从何而来了。
【左为昨日报道中的比分,右为官方放出的比分(经自行翻译)】
显然,“提前锁定冠军”的说法,是将腾讯旗下的Sniper、Ether、Lance、Sword 多支战队的比分相加之和,认定为“腾讯安全战队”的总分,而大赛官方并不认同这种说法,“破解大师”最终花落谁家,是以单支队伍的积分来认定的。
回想起去年的3月,腾讯也派出了麾下的 Sniper (枪)和 Shield(盾) 两支队伍参加Pwn2Own大赛,然后Sniper很给力地拿下了总冠军,官方公认,实打实的总冠军。当时的报道标题并没有将两支队伍混为一谈,而是“腾讯安全 Sniper 战队获得总冠军”,如今怎么就出现了“腾讯安全战队”的说法呢?
如果真的有一支“腾讯安全战队”的存在,那么我个人认为,只可能是雷锋网此前报道过的腾讯eee战队。
在“提前锁定冠军”一文中,有这样的描述:
主力队员很多来自于“腾讯eee战队”。这支年轻的队伍由来自腾讯安全各部门技术人才组成,并由腾讯安全科恩实验室掌门人吴石担任导师,是腾讯安全联合实验室孵化培养的中国新一代网络安全人才计划的典型代表,
此前,雷锋网也对eee战队进行过报道,它是一支由全腾讯的技术人才志愿组成的队伍,由于腾讯被称为“鹅厂”,故名“鹅鹅鹅”战队。虽然eee战队曾在年初的SECCON CTF 2016总决赛上击败了去年DEF CON CTF大赛冠军美国PPP战队。但它毕竟是一个打CTF比赛的团队,此次 Pwn2Own 破解大赛,并没有以eee战队的名义报名。
由此,“腾讯安全战队”获得总冠军的说法只是一厢情愿之辞。如果要将腾讯旗下的几支团队的总比分加起来算,共计83分,确实超出了360安全战队的63分,然并卵,主办方不认。
腾讯旗下的众战队的确实力超群,有目共睹。如果计算单支队伍的比分,由吴石带队的 Sniper战队拿下60分,只比第一名少了3分。袁哥(湛卢实验室)带队的 Lance 战队和“TK教主”于旸(玄武实验室)带队的Ether带队也名列前茅,力压来自美国、德国的选手。
安全圈犹如江湖,技术人就好比行走江湖的侠客,必有输赢。对于坦然者来说,胜败乃兵家常事,华山论剑年年有,大侠明年再来过便是。所有参赛的选手的实力有目共睹,由于破解的项目不同,即使是分数低于对方,依然值得敬佩。
腾讯在官方规则之外自己创造的排行算法,虽然也不能说完全没有依据,但这种做法,总让人觉得有失大厂风范。
但凡是比赛就有规则,就有输赢,如果一定要把多支战队联合起来叫做“腾讯安全战队”,我建议腾讯、360、长亭三家公司的所有战队联合起来,名曰“中国安全战队”。
从这个角度看来,腾讯安全和360的技术与公关之争虽然从未停歇,我也希望他们继续下去,毕竟,腾讯安全和360之间的技术比拼确实促进了国内整个行业水准的提高,越来越多的中国选手闪耀在世界的舞台。
而且下面这个排行榜看起来也确实挺带感的(自己做的)。
Pwn2Own 大赛分为五个类别,20个破解目标,每个参赛队伍只能打一个项目。我猜测可能出现的情况是:腾讯安全的队员发现了一些目标的多个破解方式,比如发现了某系统有3个破解方式,如果以一支队伍参加,只能得到一个项目的分,如果分成三支队伍来参赛,则每个队伍都也许都能破解该项目三次。
【上表来自官方,机器翻译】
台上三秒钟,台下十年功,虽然大赛看起来几秒钟就能破解一个系统,但背后他们付出了非常大的努力,经历了巨大的艰辛,分成几支队伍,可以让技术小哥们的研究成果都能够有回报(奖金+荣誉),这种做法无可厚非。
确实占了抽签顺序的光,但技术实力也是关键:Pwn2Own 的参赛顺序是抽签而定的,如果前面有人已经利用过该漏洞,则之后的参赛者不能再利用该漏洞,否则被判破解无效,俗称“撞洞”。
360战队在抽签上确实人品大爆发,好几次都是率先出场破解,但大赛的规则就是这样的,足球比赛不也得抛硬币决定开球?