近日,一年一度的“全球白帽黑客奧斯卡”The Pwnie Awards大獎在萬眾矚目中揭曉。360 Alpha Lab龔廣榮膺最具含金量“史詩級成就”大獎,這是既去年360打破連續12年無中國人得獎記錄後的又一創舉,成為中國歷史上首個The Pwnie Awards“史詩級成就”得主,也是中國安全研究員14年來首次摘得此獎桂冠!
突破重圍摘“史詩級成就”桂冠
360 Alpha Lab綻放“黑客奧斯卡”
始創於2007年的The Pwnie Awards被譽為“全球白帽黑客奧斯卡”,是為在安全領域有重大和突出研究成果的資訊保安工作者設立的獎項。對於全球範圍內的資訊保安工作者來說,僅獲得提名就意味著其研究成果已經具有世界範圍的影響力,摘冠折桂則是技術實力的絕物件徵,被視為安全領域的至高榮耀。
在Pwnie所有獎項中,“史詩級成就”無疑是最重要的獎項之一。正如獎項評判標準所說,這一獎項將賦予那些利用令世人意想不到的、精妙絕倫的技巧成功挖掘重大漏洞的人。今年的Pwnie“史詩級成就”獎面向2019年6月1日至2020年5月31期間被發現的重大漏洞,全球共有10個優秀專案入圍,每個提名專案都是在全球安全領域佔有一席之地且產生深遠影響的重要突破,無論從競爭者數量還是專案價值上,其獲獎難度不言而喻。可以說,經由全球廣受尊敬的安全研究人員組成的評審團評判,最終選出的冠軍獲得者絕對稱得上“尖子生”中的佼佼者。
此次360 Alpha Lab龔廣從全球眾多優秀提名中“殺出重圍”,是全場唯一的一箇中國人獲獎,不僅代表著評審團對360漏洞研究成果的高度認可,還意味著中國網路安全產業樹立了新的標誌性里程碑,同時再度堅定了中國安全從業者的底氣與魄力。
360攻破史上最強“勁敵”
東方“梯雲縱”漏洞鏈價值一騎絕塵
根據漏洞交易平臺Zerodium價格表顯示,對Android 零點選(0-Click)漏洞利用鏈的支付價格高達250萬美元。所謂物以稀為貴,如此高昂的漏洞收購價格證明Android具備極高的安全級別,對漏洞質量的要求相對更高,同時意味著Android漏洞的挖掘更加耗時和困難。
而在Android手機中,谷歌的Pixel手機素來以固若金湯聞名,它通常有最新的作業系統版本,與其他Android手機相比,它擁有更全的安全補丁和更強的漏洞緩解措施,這使得它更難以受到攻擊。即使在移動安全領域的最高賽事Pwn2Own上,也一度是唯一未被攻破的移動裝置。然而,沒有一個裝置是100%無懈可擊的。
去年8月,360 Alpha Lab龔廣在谷歌Pixel手機裡發現了一組高危的全鏈遠端程式碼執行漏洞。通過此漏洞鏈可以毫不費力地“向上”移動,繼而一鍵遠端獲取手機最高控制許可權,彷彿將雲當作樓梯,因此被賦予了一個極富東方色彩的名字——“梯雲縱”。“梯雲縱”漏洞鏈幾乎影響所有Android系統和Chrome瀏覽器,如被不法分子利用,其波及範圍將極為廣泛,將對使用者造成嚴重危害。
目前,360 Alpha Lab已協助谷歌修復了這一漏洞鏈,並斬獲了Google史上最高獎金201,337美元。值得一提的是,Google從2010年開始啟動漏洞懸賞專案,已累計得到超過8500份有價值的報告,送出的獎金總共超過500萬美元。而在谷歌推出懸賞計劃至今,最大的受益者並不是美國安全公司,而是來自中國的360團隊。
早在2017年,360 Alpha Lab團隊龔廣就曾憑“穿雲箭”組合漏洞拿到了谷歌安卓漏洞獎勵11.25萬美元。今年,360 Alpha Lab團隊龔廣再登谷歌致謝榜首,憑藉“梯雲縱”漏洞鏈拿下Google史上最高獎金,無疑彰顯了360在漏洞挖掘方面的全球領跑地位。而此次拿下Pwnie“史詩級成就”大獎,也再度證明了“梯雲縱”漏洞鏈對使用者資訊保安和漏洞挖掘與利用研究兩大領域的重要意義,在國際舞臺上進一步展示了以360為代表的中國安全力量。
作為360 Alpha Lab負責人,龔廣已帶領團隊發現超400個谷歌、高通等國內外廠商的漏洞並獲得公開致謝;先後10次贏得Pwn2Own、天府杯等世界黑客大賽單項冠軍;並多次受邀在BlackHat, USENIX,Defcon, CanSecWest, HITB, CodeBlue,PacSec,HITCON等國內外知名安全會議上發表議題演講,其研究成果在全球範圍內產生著深遠影響。
亞洲安全力量崛起
360頂級安全團隊強勢領跑全球
作為國內網路安全領域的領軍企業,360擁有著國際頂級一流的安全專家隊伍。近年來,360安全團隊已經佔據國際榜單排名的前列位置,不僅在微軟MSRC最具價值安全精英榜中數次封神問鼎。在0day漏洞挖掘方面,360安全專家團隊已在世界範圍內挖掘主流廠商CVE漏洞2000餘個,幷包攬蘋果、谷歌、微軟等巨頭廠商的漏洞致謝,成就史上最強“漏洞挖掘大滿貫”。
值得一提的是,在剛落幕的“天府杯”上,360政企安全漏洞研究院實現了Google Chrome、Mozilla Firefox、iPhone 11pro等多個“全球首破”。這是360安全團隊繼2018、2019兩年蟬聯“天府杯”冠軍後,再度問鼎天府杯冠軍之席,毫無疑問地證明了360強勢領跑全球的漏洞研究及挖掘能力。
隨著全球數字化轉型加速,網路安全勢必會面臨更加嚴峻的威脅,無論是規模、手段還是所造成的破壞都將上升到全新的高度。而漏洞是網路安全最重要的命門,也是最重要的戰略資源。當整個世界架構在軟體之上,漏洞一旦被利用後果將不堪設想,甚至可能關乎國家安危,漏洞研究與挖掘能力無疑成為了守護網路安全“國門”的關鍵武器。
今天,360安全團隊讓全球網路安全從業者看到了中國乃至亞洲安全力量的強勢崛起,為中國網路安全企業贏得了世界的矚目。未來,360將載譽前行,持續加大在漏洞領域的投入,始終捍衛領跑全球的“挖洞”實力,在數字化大安全時代為我國網路安全提供堡壘式的堅實守護!