网络安全企业3Com公司旗下的TippingPoint公司宣布,在即将到来的全球黑客大会CanSecWest上,TippingPoint公司对可 以成功攻击一系列网页浏览器及移动设备的黑客提供10万美元的奖励。
今年的全球黑客大会CanSecWest将于3月24日召开,期间将举办第四 届 Pwn2Own黑客竞赛。TippingPoint公司对可以成功攻击四大主流网页浏览器的参赛者,奖励4万美元。这四大网页浏览器为:微软公司的IE浏 览器、火狐公司的Firefox浏览器、谷歌公司的Chrome浏览器、及苹果公司的Safari浏览器。平均每攻破一个主流浏览器奖励1万美元。
在比赛中,被攻击的IE浏览器将在安装安全补丁的Windows 7操作系统下运行。Safari浏览器将在安装苹果OS雪豹操作系统下运行。如果黑客对IE浏览器的攻击同样可以在Vista或XP操作系统下有效,那么该参赛者将会获得加分。专家认为,如果对Windows 7操作系统下的IE浏览器浏览器攻击成功,那么相同的攻击手段对Vista或XP操作系统下的IE极有可能同样有效。
为了增加比赛难度,参加黑客竞赛的参赛者不准使用Adobe Flash等第三方插件。这些第三方插件一直都是操作系统中的安全弱项,黑客极易通过攻击这些第三方插件成功攻击操作系统。所以TippingPoint 公司禁止使用这些第三方插件,以增加比赛难度。
另外,对于可以成功攻击四大主流品牌手机的参赛者奖励6万美元。这四大主流品牌手机是:苹果公司的iPhone、黑莓Bold 9700、诺基亚/塞班S60、运行Android操作系统的摩托罗拉手机(尚未确定哪一种机型)。平均每攻击成功一款手机奖励1.5万美元。
在对网络浏览器和手机攻击的比赛过程中,如果黑客可以攻击成功,那么被攻击的产品将归成功者所有(比如说,成功攻击苹果iPhone的参赛者,将获得这部苹果iPhone的奖励)。
尽管TippingPoint公司需要为这次黑客大赛提供丰厚的奖金成本,但其零日攻击计划本身不失为一种良好的市场营销手段。通过黑客比赛,TippingPoint公司可以找到如今主流网络浏览器及手机设备的薄弱项,并使得公司研究人员可以进一步在这些产品中增加入侵检测引擎,TippingPoint公司可以将研发出的入侵检测引擎对客户进行销售。
零日攻击项目自从2005年举办以来,广受竞争对手及一些电脑专家的批评。他们认为,TippingPoint公司此举等同于公开出价购买黑客攻击其制定产品。TippingPoint公司指出 ,在Pwn2Own黑客竞赛中发现的所有攻击手段,TippingPoint公司都会无偿的告知被攻击产品的所属企业,并将这些攻击手段添加到 TippingPoint公司数据库中。
Pwn2Own黑客竞赛由TippingPoint和Aaron Portnoy两家公司共同举办。这两家公司指出,对黑客来说,手机产品的攻击相对容易一些,同时在浏览器中Windows 7操作系统下的IE浏览器攻击相对容易。而在浏览器产品中最难攻击的应当是谷歌公司的Chrome浏览器。
Aaron Portnoy声称:“通过举办Pwn2Own黑客竞赛,我们可以很清晰的得知这些主流品牌厂家产品的安全性能究竟如何。”