🔥 热搜 🔥
1中共中央123456@葫芦岛都市网@律法帝国@i商周@930老友记@日照日报九边@景来律师
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
1中共中央123456@葫芦岛都市网@律法帝国@i商周@930老友记@日照日报九边@景来律师
分类
社会娱乐国际人权科技经济其它
查看原文
其他

Pwn2Own 三连冠团队成员访谈实录:如何才能登峰造极?

Catalin Cimpanu 代码卫士 2022-04-06
 聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
 IT 安全圈子,没有一种黑客竞赛比 Pwn2Own 更令人瞩目。
Pwn2Own 大赛设立于2007年,由趋势科技的 ZDI (Zero-Day Initiative) 负责组织,多年来该大赛吸引全球最顶级的人才,颁发行业内最高的现金奖励,声名鹊起。如果你想为自己争得名誉,用自己的黑客技能征服信息安全圈,那么参加已有12年历史之久的 Pwn2Own 大赛绝对是不二之选。昔日的获胜者已成为当今信息安全领域最重要的人物,我们可以从当前全球最大的企业安全团队中见到他们的身影。当前Pwn2Own大赛每年举办两次。第一次是在温哥华举办的春季赛,主要针对桌面和服务器应用程序以及操作系统。第二次是在东京举办的秋季赛,主要关注移动手机和智能设备。这一年,有一支团队在 Pwn2Own 大赛上发出了耀眼的光芒,他们蝉联大赛三连冠。他们就是由 Amat Cama 和 Richard Zhu 组成的 Fluoroacetate 团队。这个二人组摘得2018年秋季赛、2019年春季赛和刚刚落下帷幕的2019年秋季赛的桂冠。在大赛结束后的上个月,ZDNet 媒体就采访了该团队其中的一名成员 Amat Cama,聊了聊达到职业生涯顶峰所需要的条件以及参赛 Pwn2Own 时紧张不安的感受。如下是采访实录:

ZDNet首先请向读者介绍一下自己。
Amat Cama我是 AmatCama。我是来自塞内加尔共和国的独立安全研究员,从2016年开始涉足安全研究。我真正开始接触安全是通过2012年以来的 CTF 比赛。生活中我喜欢拳击、冲浪、航空飞行攀岩以及打视频游戏。
ZDNet:连续三年获得 Pwn2Own 大赛的冠军是你作为安全研究员的职业生涯顶峰吗?还是你还有其它更大的目标待实现?
Amat Cama三次获得Pwn2Own 冠军确实是值得骄傲的一件事。因为我一度认为攻克竞赛中哪怕一个题目都是不可能完成的目标,所以连续三次赢得比赛确实让人心满意足。不过我不想将其称作作为安全研究员的职业顶峰。在这个领域,你总会发现更多的东西,你总是能做更多的事情或者总能把事情做得更好。
ZDNet:你认为哪个场次的比赛更难?是关于桌面和虚拟机的春季赛还是关注物联网和手机的秋季赛?
Amat Cama我个人认为春季赛更难,因为攻克目标在安全社区更受欢迎,因此已经接受了其他研究员更多的审查。
ZDNet:你在 Pwn2Own 比赛现场也就是在运行 exploit 代码之前有何感受?是紧张不安还是你就笃定自己的 exploit 代码应该会百分之百按照预设运行所以只是走流程?
Amat Cama一般要分情况看。多数时间我们已经进行了足够的测试,相信在第一次尝试时 exploit 就会运行成功。不过由于 bug 的性质以及缓解措施的缘故,有时候很很难保证 exploit 会获得较高的成功率,而这时候就会感到紧张不安。
ZDNet:你三连冠后,在信息安全社区的识别度会更高吗?这些胜利是否改变了你的信息安全生活和日常生活?
Amat CamaPwn2Own 大赛冠军的头衔当然“会让你出名”,而更高的识别度会给你带来更多机会。同时我感觉非常好,因为这些胜利鼓舞着其他研究员和黑客继续努力工作并提高自己的技能水平。从这个角度来看,它确实改变了我的信息安全生活。个人生活而言我觉得没有什么改变。
ZDNet:现在对于第四次获胜有压力吗?或者说你从未将 Pwn2Own 大赛当成一种目标而更多的是出于兴趣爱好?
Amat Cama获胜当然很好,不过我不认为第四次获胜会有压力。我一直都把Pwn2Own 大赛的经历看作是可以激励自己实现的很明确的挑战。
ZDNet:现在很多安全研究员都在向你看齐。其他研究员和渗透测试人员会问你一些问题吗?最常问的问题是什么?
Amat Cama是的。最常见的问题也似乎是最令人感兴趣的问题是“你(获得冠军)花了多久的时间?
ZDNet:供应商代表通常都会参加 Pwn2Own 黑客大赛,你攻破他们的应用程序/设备后他们是什么反应?
Amat Cama他们通常的反应都是挺不错的,但有时候一些人不能很好地接受或者进行配合。不过好在 ZDI 会处理这些事情。
ZDNet:未来你期待在 Pwn2Own 大赛的目标列表上希望看到什么设备/系统?
Amat Cama一架飞机,因为我想试试黑掉它。肯定非常酷!
ZDNet:如果黑客掌握了你现在的技术,你会惧怕他们吗?
Amat Cama我系现在已经很惧怕他们了,因为很多(黑帽)黑客掌握的技术要比我多。我认为完美的安全是不可能实现的,因为机器总会以这种或那种方式运行代码。而人类总是制造、编程并运行这些机器的主体,而我们都知道这意味着过程中总会存在不完美的地方。
ZDNet:现在你已经赢得了所有雇主的赞赏,那么你的下一个梦想工作是什么?或者说你想加入哪个项目或组织机构?
Amat Cama虽然现在有很多优秀团队,而如能加入将是我的荣幸,但我认为最终我希望拥有一家自己的机构,为自己工作。



推荐阅读

高中生,一年,从 0 到 0day 的秘密



原文链接
https://www.zdnet.com/article/interview-with-one-of-the-worlds-best-competitive-bug-hunters/




题图:Pixabay License



本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存