在IT安全领域,没有比Pwn2Own更为著名的计算机黑客大赛了。
该竞赛成立于2007年,由趋势科技的零时差计划(ZDI)组织,通过吸引全球顶尖的信息安全人才并支付了一些业内最大的现金奖励,多年来赢得了声誉。
拥有12年历史的Pwn2Own是您想要为自己取名并用自己的黑客技巧打动其他Infosec从业人员的地方。
过去的赢家是当今信息安全领域中最重要的人物,曾在一些世界上最大的公司的安全团队中工作。
按照目前的格式,Pwn2Own每年进行两次。第一个是在温哥华举行的春季版,安全研究人员可以随意破解台式机,服务器应用程序和操作系统。第二次是在每年秋天的东京举行,这一版的重点是手机和智能设备。
在过去的一年中,一支球队主导了Pwn2Own比赛,并连续三场夺冠。
氟乙酸酯团队-由Amat Cama和Richard Zhu组成-赢得了Pwn2Own 2018秋季版,Pwn2Own 2019春季版和最近结束的Pwn2Own 2019秋季版。
自上个月比赛结束以来,ZDNet坐下来采访了团队中的一名成员,以了解达到其职业生涯顶峰所需的条件以及Pwn2Own比赛在舞台上时的不安。
ZDNet: 您能向我们的读者介绍自己吗?
Amat Cama: 我叫Amat Cama。我是塞内加尔的一名独立安全研究人员,我从2016年开始进行研究。我在安全方面的真正起点是通过CTF [ Capture the Flag锦标赛 ],该比赛于2012年向我介绍。在安全研究之外,我还喜欢拳击,冲浪,航空,攀岩和视频游戏。
ZDNet: 连续三届赢得Pwn2Own会算是您作为安全研究员的职业生涯的顶峰,还是您还有其他更大的目标?
Amat Cama: 连续三次赢得Pwn2Own绝对是我引以为傲的事情。在某个时间点上,我认为即使只参加一次比赛也是一个遥不可及的目标,因此连续三届赢得比赛非常令人满足。但是,我不会将其称为安全研究人员职业生涯的顶峰。在这个领域,总会有更多,其他或更好的事情可以做。
ZDNet: 哪个更难?侧重于台式机和VM的Pwn2Own春季版,还是侧重于IoT和移动设备的秋季版?
Amat Cama: 在我看来,春季版更具挑战性,因为那里的目标在安全界更受欢迎,因此受到了其他研究人员的更多审查。
ZDNet: 在您运行漏洞利用代码之前,当您处于Pwn2Own阶段时感觉如何?是令人不安的困扰,还是到那时,您知道漏洞利用代码应在100%的情况下按需运行,这只是例行程序?
阿玛特·卡玛(Amat Cama): 通常要视情况而定。大多数时候,我们已经进行了足够的测试,以至于我们认为该漏洞可能在第一次尝试时就可以起作用。但是,由于漏洞的性质和适当的缓解措施,有时很难保证漏洞利用的高成功率。在这种情况下,事情可能会让人不知所措。
ZDNet: 在您的最后三场胜利之后,infosec社区中的人现在是否会更频繁地认识您?胜利改变了您的信息安全生活吗?您的日常生活如何?
Amat Cama: Pwn2Own的胜利肯定会“把你吸引到地图上”,而增强的知名度则带来了更多的机会。也很高兴看到这些胜利激发了其他研究人员和黑客继续推动自己的工作并提高他们的技能。在这方面,它肯定改变了我的信息安全生活。对于我的日常生活,我认为胜利并没有改变任何事情。
ZDNet: 现在赢得第四届比赛是否有压力?还是您从未将Pwn2Own视为目标,而是更多的业余爱好?
艾玛特·卡玛(Amat Cama): 胜利总是很不错的,但是我不会说赢得第四场比赛有任何压力。对我来说,Pwn2Own的经验一直是面临一个明确定义的挑战,我可以推动自己去实现。
ZDNet: 现在许多安全研究人员正在寻找您。您是否对研究人员和笔测试人员有任何疑问?最常见的是什么?
Amat Cama: 是的。人们最感兴趣的最常见问题是:“您花了多长时间?”
ZDNet: 供应商代表经常参加Pwn2Own黑客大赛,当您入侵他们的应用程序/设备时,他们会如何反应?
艾玛特·卡玛(Amat Cama): 他们的反应通常很好,但有时有些人对此不太满意或不配合。但是,ZDI始终可以处理这些问题。
ZDNet: 将来您想在Pwn2Own的目标列表上看到任何设备/系统吗?
艾玛特·卡玛(Amat Cama): 一架飞机-只是因为我想开枪攻击它。那实在是太酷了!
ZDNet: 您会以自己的技能担心黑客吗?
艾玛特·卡玛(Amat Cama): 我已经很害怕他们,因为那里有许多黑客比我拥有更多的技能。我不认为可以实现完美的安全性,因为机器将始终以某种方式运行代码。而且,人类将是制造,编程和操作这些机器的人,我们已经知道这意味着什么:过程中可能会出现缺陷。
ZDNet:现在您已经赢得了任何招募人员的称赞,您梦想中的infosec工作是什么?或者您想从事/从事的项目/组织是什么?
Amat Cama:有很多团队很荣幸能参与其中,但我认为最终我希望拥有自己的组织并为自己工作。