中国战队360喜获亚军 Keen Team腾讯电脑管家双夺冠

这几天都是被Pwn2Own的新闻刷屏，中国黑客团队战绩到处都是亮点。中国第一黑客天团KeenTeam又拿到两个冠军，是毫无疑问的中国第一。

同样第一次走上国际赛场的腾讯电脑管家和Keen Team联合组队，也拿到了一项冠军。

中国的三支战队取得了如此出色的战绩，使得中国民间科技领域从业者欢欣鼓舞，小编决定做一件厘清事实的艰苦工作，用Pwn2Own2015赛事官方页面上的结果给大家做一个战绩总排行榜，也总结了八大看点，这样比赛里的亮点，最终谁是冠军一目了然。也让我们了解中国与世界的差距其实并不大。

这届比赛，韩国队大放异彩，以三个单项第一成为全球总冠军。Keen Team总成绩也不错，拿到14万美元，两个单项冠军，在中国参赛队伍里排名第一，全球第二。360也拿到3.25万美元奖金，所幸360没有垫底，有一只队伍成绩更差，只拿到1.5万美元奖金。

看奖金和战队就感觉到Pwn2Own的精彩了。八大看点继续往下划：

1、抽签很重要

如果你要参加Pwn2Own，记得要从平时开始攒人品。在Pwn2Own比赛场上，如果选择攻打同样的目标，所有选手并不是同时开始比赛，而是抽签决定谁先上。假设选手们同样都能攻打成功，那么手气好的抽到第一个出场则能赢得全部基础奖金。手气不好的则只能在后面出场，即使攻打成功，也只能拿到一半的基础奖金。

但是补充一个说明，如果攻击方法不获得大赛认可，就算你是第一个出场，也只能拿到一半基础奖金，360就因此惜败给了韩国队。

2、拿到系统权限表明技术更高

在基础难度环节拼的是人品，但是在更高难度的系统级权限比拼环节拼的就是纯技术了。

无论你采用何种方式，无论你是第几个出场，只要能够攻破基础难度标的，并最终拿到更高系统权限，那么你就能够额外获得2.5万美元奖金。

所以很多优秀战队都会搞定系统权限，来显示自己出色技术并拿到额外奖金。

3、难度加大，奖金减少

Pwn2Own在所有黑客大赛中，一直以高额奖金著称，虽然其对技术的要求近乎苛刻，还得交上万元人民币的报名费，但还是有众多顶尖黑客团队从世界各地慕名而来。但是让很多黑客不满的是，今年Pwn2Own的比赛难度明显加大，什么禁止注销和重启，各种增强系统和沙箱等等难度障碍增加了好多，奖金却少了不少。

大赛还规定，如果漏洞利用过程中部分不符合规则，主办方有权给参赛者一部分奖金。

为此，大赛的常客VUPEN创始人Chaouki Bekrar开赛前公开吐槽并宣布退赛。不过VUPEN战队有两位高手个人参赛和韩国队的到来，使得本届比赛竞争难度进一步提高。

4、Chrome难度最高

为什么说chrome最难呢，因为chrome的沙箱难度历来被认可，攻破chrome的奖金也是最高的。

Pwn2Own以Chrome、IE、Safari、Firefox等常见浏览器以及IE的Flash和PDF插件作为主要攻击目标，参赛的黑客们通常会以参赛项目的奖金额以及获取权限的程度，也就是最后能够拿到多少奖金，来作为最终评判赛事难易度的一个可量化衡量标准。

今年奖金最多的仍然是Chrome，7.5万美金。接下来就是IE和基于IE的Flash和PDF插件，分别是6.5万、6万、6万美金。

5、亚洲团队成绩出众

Pwn2Own自2007年创办以来，至今已经第九年。但是九年来，亚洲团队只有近两年亮相的Keen Team展示出与世界最高水平接轨的实力，连续两届拿到三个冠军，加上本届再次拿下两个冠军，实现了五冠王的出色战绩。此前，欧美国家在该赛事上占有绝对统治地位。

不过让人惊喜的是，今年首次参赛的中国两只安全研究团队腾讯电脑管家和360都表现出了很强的实力，腾讯电脑管家和Keen Team联合研究团队拿下PDF项目的最高权限，360VulcanTeam在17秒内一举攻破IE11，给中国黑客圈大大的长了脸，虽然最后360不敌开挂一般的韩国队，也没有获得更高系统权限，但是即使是亚军，也让老外也知道中国安全技术除了Keen Team之外，360和腾讯电脑管家也都顶呱呱。

至于本届大黑马韩国队，据说历来是举国之力来扶持个别高手参赛，有说法称韩国队报名的背后是整个韩国“国家队”在支持。至于此前的比赛，更是出现过选手在比赛过程中打电话求助的有趣场景。

不过本届韩国队实力惊人，看来一直在潜修内功。传说中的韩国黑客“神童” JungHoon Lee一口气报名参加了Chrome、IE和Safari三个项目。

不过这个被冠以“神童”的韩国人，背景可能没有那么单纯。业内传说JungHoon Lee单挑三大浏览器只是韩国政府的“造神”伎俩，这个“神童”背后站着的其实是庞大的韩国黑客“国家队”。

不过无论如何，韩国队真实实力仍然很强劲，能够击败在中韩唯一一个交手项目上击败中国的360，也表明其实力不容小觑。

实际上，韩国、日本都格外重视对安全攻防人才的培养，培养黑客从娃娃抓起，一路保送上大学，先是打CTF攻防比赛成为职业选手，如今又力图在Pwn2Own黑客大赛上扬名立万。

6、XX秒攻破真靠谱吗?

上面吐槽了韩国举国之力扶持，再说360高调宣传的“17秒攻破IE”。虽然我喜欢360，举贤不避亲，但是这件事上360的说法明显是欺骗用户小白不懂。

事实上业内都明白，Pwn2Own的比赛就是个演示，攻击代码是赛前早已经准备好的，上场就是操作一下。手快的十几秒搞定，手慢的一两分钟搞定，没有本质差别。

俗话说得好，台上一分钟，台下十年功。挖掘漏洞和深入研究漏洞的原理、攻击方式、防护方案，都需要长时间的积累。17秒，怎么不说13秒呢?

7、Firefox赤膊上阵

Firefox可以说是Pwn2Own比赛中安全性最低的浏览器。在2014年Pwn2Own上，Firefox就被打成了“筛子”，总共被四组参赛选手用四种方法轮流攻陷。

其实，Firefox最大的短板是没有沙箱，基本相当于赤膊上阵，堪称本次比赛头号“软柿子”。所以奖金也最低，本届比赛的最低奖金就是一个Firefox的参赛队伍，只实现了最基础的攻破没有拿到系统权限，还是第二个出场，奖金只有1.5万美元，仅次于360的3.25万美元奖金。排名在所有队伍中垫底。

8、被攻破的软件厂商才是大赢家

很多人都很关心比赛利用的0day漏洞是否会泄密?实际上完全不必有这种担心。无论是Pwn2Own，还是其他有奖金的黑客比赛，在比赛结束后，所有选手找到的漏洞都会一并提交给厂商进行修复。这也是包括微软、苹果、谷歌这些互联网巨头举办黑客比赛的目的之一，花小钱补大漏洞，何乐而不为。

全世界对于漏洞的规则历来如此，不要挟厂商，不恐吓用户，多赢。