堪称“史上最难”的黑客大赛Pwn2Own2015上，来自中国的多支参赛队伍大展拳脚——中国顶级黑客团队Keen Team连续攻破IE环境下运行的Flash与Reader两大插件，实现在该项赛事的三连冠;Keen Team还联手首次参赛的腾讯电脑管家安全团队攻破IE浏览器PDF插件(Adobe Reader)并拿到该项目冠军和系统最高权限;中国安全公司360的攻防研究团队360 Vulcan Team初次亮相，仅用时17秒就攻破了微软Win8.1系统和64位IE11浏览器。

“优秀的华人安全团队可以跻身于国际顶尖行列。”3月19日，KEEN公司COO吕一平在接受《第一财经日报》采访时说。

他称，“越来越多的华人安全研究团队出现，也表明目前在国际赛场不仅是过去的KeenTeam一枝独秀，我们愿意和国内优秀安全研究人员一起走向国际赛场，相信他们将来表现会更出色，也希望国内更多优秀人才一起走向世界。”

黑客大赛的中国力量

Pwn2Own是全世界最高规格的黑客大赛，由美国五角大楼入侵防护系统供应商TippingPoint的DVLabs赞助，自2007年首度拉开赛幕，到今年已是第九届。挑战的项目包括以Chrome、IE、Safari、Firefox四大主流浏览器，和IE的Flash和PDF插件作为主要攻击目标。

与往届相比，今年Pwn2Own在IE、Flash、PDF三个项目特意增加了难度。国内一位网络安全研究人士告诉《第一财经日报》记者，攻破的难点在于近年来各大厂商不断提升防护措施的数量和强度，另外计算架构的演进也提升了攻破的难度。本次比赛中，64位架构的普及，EPM和EMET等防护措施的启用都大大提升了比赛难度。而参赛者想要“成功破解”也就是“Pwn”，需要利用广泛使用的软件和移动设备上先前未知的安全漏洞来修改程序(或者进程)中的标准执行路径，从而达到执行任意命令的目标。

由于本届的挑战项目难度剧增，却削减了奖金，以至于这一赛事的“常胜将军”、著名黑客团队VUPEN在看过比赛项目后宣布退出。

但VUPEN的退出并未影响比赛的精彩程度。

今年的比赛中，Keen Team选报的两个项目率先开赛，比赛一开始就达到高潮。

仅仅用了30秒，Keen Team研究员Peter即成功将运行在64位Windows下的Flash攻破，并获取最高系统权限，拿到额外奖金2.5万美元，使总奖金金额达到8.5万美元。

第二位出场的前VEPUN团队头号人物尼古拉斯虽然也实现了攻破，但因为出场靠后且没有获取系统权限，只能拿到一半基础奖金三万美元。

Keen Team第二位研究员陆吉辉同样表现不俗，他和腾讯电脑管家的联合团队仅用时不到60秒的时间就绕过Pdf项目的安全防护，同样获取最高系统权限，获得5.5万美元奖金，将本次比赛KeenTeam的总奖金额提升至14万美元。

而作为首次组队参赛的360Vulcan Team，则选择了IE作为目标，开赛仅仅17秒，就成功攻破了这个有增强沙箱保护、全64位进程、微软EMET漏洞防御、Win8.1安全机制等最高级别防护的IE11。

360Vulcan Team负责人MJ0011对此表示：因为IE是中国流行的应用软件，本届比赛IE又是极具挑战性的攻击项目。360希望通过比赛证明，攻防无止境，只有不断创新和进步才是最好的安全解决方案。

据MJ0011介绍，360Vulcan Team是360安全卫士的攻防研究团队，日常工作主要是挖掘软件的安全漏洞和漏洞威胁，帮助厂商修复漏洞和提升产品安全性。通过在漏洞研究领域的经验，360Vulcan Team能够设计和提供更有效的安全解决方案。2014年360安全卫士推出的“XP盾甲”漏洞防御产品，其核心技术就是由360Vulcan Team设计开发的。。

攻防无止境

“KEEN小伙伴们回来我给大家敬庆功酒、戴上我们自制的简陋第四枚Winner戒指!”KEEN团队CEO大牛蛙在微博中兴奋地说。眼下，他更期待第二场比赛中，KEEN团队能够戴上“第五枚戒指”。

通常，参赛的黑客们会以参赛项目的奖金额以及获取权限的程度，也就是最后能够拿到多少奖金，来作为最终评判赛事难易度的一个可量化衡量标准。

从奖金数额来看，Chrome 仍是最难的挑战目标，攻破的奖励金额为7.5万美金;IE 的奖金比 Chrome 少了 1 万美元;Adobe Reader 和 Adobe Flash 因为要求运行于 IE 环境内，同样需要突破 IE 的 EPM，奖金比 IE 少 5000 美元。Firefox 因为是挑战中唯一没有沙箱的，奖金最少。

在此基础上，如果参赛者攻破底层操作系统获得系统级的更高权限，则可以每个项目额外获得2.5万美元的奖金。

截至目前，来自中国的多支参赛队伍已经共计获得了超过17万美金的奖励。

“相关奖金会用于奖励相关研究人员，同时还会用于帮助中国安全研究行业的发展，比如我们会有一部分奖金设置为GeekPwn比赛的奖金，鼓励更多优秀安全人才投入到安全研究领域。” KEEN公司COO吕一平在接受本报记者采访时说。

对于多支中国参赛团队的表现，他对记者评价，“第一次参赛的腾讯电脑管家，实现了最高系统权限的攻破，完成了整个系统的攻破;而首次参赛的360战队也取得了初级攻破的不错战绩，相信他们将来表现会更出色，也希望国内更多优秀人才一起走向世界。”

实现三连冠的Keen Team是上海碁震云计算科技有限公司旗下的安全研究团队，这一团队用了三年的时间，就成为全球首支同时攻破苹果、微软桌面操作系统的安全研究团队。

吕一平这样描述Keen Team的快速崛起：一方面我们研究团队队员都是各个领域的天才和精英，和来自于国际大公司的安全骨干，他们掌握世界领先的攻防技术;另一方面还是靠我们研究团队的潜心坚持，发现漏洞并利用远没有人们想象的那么简单。

事实上，Pwn2Own赛事向来以“不出题”比赛形式闻名于世，赛事主办方通过悬赏高达近百万美元的赛事奖金吸引着全球顶尖黑客团队对当今最流行软件进行全方位的攻击，查找其中的漏洞，进而推动相关厂商对产品的安全性进行提升。

吕一平还向记者对比了国内外安全观念的差距，国内部分厂商在某些时候还是对安全漏洞研究报以排斥的态度，而国外的科技巨头早已通过举办这样比赛来完善自己系统的软件防御。