第二种核武器——你所不知道的漏洞战争

　　值得一提的是，最近几年，很多领先的国产厂商也陆续开启了漏洞赏金计划。阿里、腾讯、百度、小米、华为、滴滴等等，几乎你想得到的大互联网企业，都在悬赏收漏洞，只不过大多所给的赏金远远不如谷歌、微软。

　　我觉得，“漏洞赏金计划”不是赤裸裸的金钱交易，反而是世界越来越文明的标志：

　　之前的日子，世界上一直存在“地下漏洞黑市”，很多靠正常渠道生计堪忧的漏洞研究者万般无奈，只好把漏洞偷偷卖给坏人，换来锦衣玉食。

　　“官方漏洞赏金计划”虽然没有让黑市完全消失，却让这个黑暗森林一般的网络世界照进了一抹光线。至少它让一些有“侠客”情怀，不愿意做坏事的黑客找到了被认可，被奖励的土壤。不至于空有一身武艺还得长年吃土。

　　好，截止到目前，中哥给你讲的都是基础知识。接下来扶稳坐好，我们准备开车了。

　　看过《射雕英雄传》的浅友们都知道，习武之人虽然都有家国情怀，但是高手之间难免想争个高低，于是才有了各大门派的比武大会——“华山论剑”。

　　网络安全的江湖，和武侠小说很相似。全世界有那么多“漏洞大神”，他们之间也想分个高下。

　　接下来，我们就说说顶级黑客界的“比武”的往事。

　　（三）比武大会

　　从2014年开始，一个神奇的比赛开始走进了中国黑客的视野。

　　这个比赛叫做Pwn2Own（直接翻译大概是“破解就赢钱”），举办者是美国网络安全公司趋势科技名下一个名为ZDI的小组，比赛始于2007年，历史悠久。

　　就是这个比赛，撩拨了一代中国顶级黑客们绵延至今又波澜壮阔的爱、恨、情、仇。

　　Pwn2Own的比赛规则简单粗暴：

　　比赛设置几个攻击目标，每年略不相同，一般就是Windows、MacOS、Safari浏览器、Edge浏览器这类大型常用软件，黑客队伍们用0-Day漏洞分别进行攻击，控制了对方电脑就算攻击成功，获得相应的积分和奖金。

　　最后还会算一下每个队的总分，积分最多的那个队，除了已经得到的各个项目的相应奖金，还能得到“破解王”（MasterofPwn）的称号，发个奖杯，有时候还给个皮夹克，挺威风的。

　　形式不重要，重要的是内容：这个称号意味着，对手们公认他是年度“武林盟主”，心服，口也服。这很重要。

　　穿着皮夹克拿着奖杯的MJ摆出了六亲不认的表情，旁边就是腾讯的漏洞大神TK。

　　Pwn2Own有个有趣的设定：

　　黑客们蹂躏某软件的时候，软件的娘家人会等在一边收尸。。。这么说有点抽象，还是以Windows为例吧：

　　比赛现场有一个小黑屋。如果某个黑客成功用一个0-Day漏洞干掉了Windows，那么ZDI要先在小黑屋里查验一遍你的攻击代码，确认没有问题，再把微软的人叫进小黑屋，告诉他们漏洞的情况，让他们确认，然后回去赶紧打补丁。

　　P2O比赛现场大概就是这样，一个人干，一堆人看

　　注意，这一个流程下来，知道这个0-Day漏洞详情的人就有三拨：黑客本人、微软、ZDI。你想想，这里面是不是有什么不对劲的地方，我们等会儿会详细说。

　　本来，Pwn2Own就是西方黑客自娱自乐的一个比武擂台，但是从2014年开始，事情变得复杂了。

　　从这年开始，国内两大漏洞安全能力最强的公司360和腾讯开始组团参加Pwn2Own，把集全公司顶尖大牛之力苦心研究出来的0-Day漏洞都倾泻在这片战场上，誓要争个你死我活。让原本活跃在比赛里的外国安全团队集体黯然失色。

　　为什么是360和腾讯？

　　浅友们去复习一下“3Q大战”就明白了。这里限于篇幅，实在不能展开说了。