Pwn2Own 有个有趣的设定:

  黑客们蹂躏某软件的时候,软件的娘家人会等在一边收尸。。。这么说有点抽象,还是以 Windows 为例吧:

  

比赛现场有一个小黑屋。如果某个黑客成功用一个 0-Day 漏洞干掉了 Windows,那么 ZDI 要先在小黑屋里查验一遍你的攻击代码,确认没有问题,再把微软的人叫进小黑屋,告诉他们漏洞的情况,让他们确认,然后回去赶紧打补丁。


  

  P2O比赛现场大概就是这样,一个人干,一堆人看

  注意,这一个流程下来,知道这个 0-Day 漏洞详情的人就有三拨:黑客本人、微软、ZDI。你想想,这里面是不是有什么不对劲的地方,我们等会儿会详细说。

  本来,Pwn2Own 就是西方黑客自娱自乐的一个比武擂台,但是从2014年开始,事情变得复杂了。

  从这年开始,国内两大漏洞安全能力最强的公司 360 和腾讯开始组团参加 Pwn2Own,把集全公司顶尖大牛之力苦心研究出来的 0-Day 漏洞都倾泻在这片战场上,誓要争个你死我活。让原本活跃在比赛里的外国安全团队集体黯然失色。

  为什么是 360 和腾讯?

  浅友们去复习一下“3Q大战”就明白了。这里限于篇幅,实在不能展开说了。

  总之,360这边就是总指挥 MJ 和他的好伙伴古河、龚广等等,腾讯那边就是幕后大神吴石和他的得意门徒陈良、黑客天才 Flanker 等等。(以上历史我“稍微”隐去了一万字精彩的细节,等到时机合适的时候,我会试着把它们写出来。)

  总之,Pwn2Own 慢慢变成了“3Q大战”的延伸,两家公司都想在这个战场上证明实力,拼命拿到那个漏洞之王的奖杯和皮夹克,然后新闻稿铺天盖地。

  2016年,腾讯拿到了第一名 ↓↓↓

  

  2017年,360 拿到了第一名↓↓↓

  

  主办方 ZDI 团队作为美国人,这几年下来都看透了其中的恩怨,他们曾经对 MJ 说:“我知道,你们两家公司不对付,你们根本不是为了这点奖金,腾讯和 360 就算倒贴钱都愿意来这比赛。。。”

  这话虽然有点伤人,但人家说得对。

  MJ 哑口无言,很多时候,两家巨大公司之间的恩怨,不是一两个黑客大神能左右的,就像大侠郭靖也左右不了宋元和战的历史局势。MJ 和陈良私下里是惺惺相惜的朋友,一起喝酒吹牛逼,但是在战场上又不得不各为其主,争风吃醋。这种感觉挺微妙。

  总之,ZDI 在中间,肯定是“有便宜不占王八蛋”,随着 360 和腾讯在比赛中竞争加剧,原来那些西方黑客团队觉得拼不过,好多都不来了。Pwn2Own 的奖金也一再压低,而且还巧立名目各种克扣。

  直到2017年参加完 Pwn2Own,两家公司突然恍然大悟:不对啊,咱们中国黑客比武,凭什么让美国人占便宜看笑话啊。

  这还不是问题的关键。

  仔细思考,更可怕的细节出现了。。。。

  坐在对面的 MJ 问了我三个直击灵魂的问题:

  第一、我们使用 0-Day 漏洞攻击的过程,主办方 ZDI 全部记录了下来,等于他拷贝了一份我们的武林秘籍,虽然这个漏洞会第一时间提交给厂商修复,但是,厂商修复是有排期的,短则几月,长则半年,这期间,ZDI 用这个漏洞做了什么,谁能知道?

  第二、在 Pwn2Own 的比赛上,规则要求“受害者”点击一下攻击者发来的远程链接,如果系统被控制,就算挑战成功。也就是说,他们只认可 One Click 的漏洞,而 Zero Click 漏洞虽然更厉害,但是比赛里没有这个项目。ZDI 肯定知道 像“永恒之蓝”这样的Zero Click 更厉害,但是在NSA曝光之前,他们却坚持用不加入这个规则,这是为什么?

  第三、现在在世界范围内最重要的基础设施——云计算——相关的虚拟化软件,在很长时间以来,也并没有出现在 Pwn2Own 的比赛项目中,又是为了什么?

  我眨眨眼,缓缓点头,似乎想到了一些东西,对他说:“我 TM 哪知道为什么!”

  MJ 所描述的事实,其实在表明 ZDI 有意在引导全世界黑客在一个固定的圈子里研究,而那些杀伤力更大,破换范围更广的新型 0-Day 漏洞,ZDI 似乎在有意规避,不鼓励全世界的黑客去研究。

  那么,ZDI 在规避什么呢?

  

  接下来,MJ 说出了他自己的分析:

  

虽然没有证据表明 ZDI 和美国政府之间有超越友谊的关系,但是,也有很多黑客怀疑他们之间有信息互通的机制。


  之前说过,美国的 NSA,仅仅是不小心泄露的旧武器“永恒之蓝”,都能把全世界几十万台电脑打得鸡飞狗跳。

  因而有理由推测,NSA 掌握着针对 Windows、Android、iOS、MacOS、Linux 全套“指哪打哪”的“Zero Click”漏洞,还有能穿透云计算来盗取企业信息的漏洞,而他们不希望全世界的黑客向着他们已经领先的方向研究,从而逼近他们的水平。

  所以,ZDI 有意规避这些最新的攻击方法,很可能出于一种和美国大内高手的“默契”。

  

  顺着这个思路想下去,可怕的结论就出现了——过去几年,中国黑客在“比武大会” Pwn2Own上掐架,一招一式却很有可能被某只眼睛看得清清楚楚。

  虽然疑车无据,但 360 和腾讯都觉得,“再也不能这样活,再也不能这样过”。。。

  2018年开始,Pwn2Own 上一个中国队都没有了。别问原因,问就是不想去了。

  腾讯和 360 掐归掐,但是在民族大义面前,无论是马化腾还是周鸿祎,还是这些漏洞侠客们,都用行动做出了自己的选择。

  虽然现在还说不清,不过中哥觉得,多年后回望,这将被追认为一次伟大的抉择。

  不去 Pwn2Own,这些大侠可要寂寞了。那么他们从此就不比武了吗?呵呵,门儿也没有。不让大侠比武,还不如杀了他们。。。

  几家国内互联网公司大佬们,终于平心静气地坐在一起合计:比武在哪儿不行啊?凭什么要跋山涉水去国外?咱们在自己的地盘上搞个“华山论剑”,邀请全世界的黑客来比武,不是更好吗?!

  说干就干,比武的场地选在哪呢?

  既然是华山论剑,就选在华山?华山不行,信号不太好。。。