楠木軒

駭客們的奧斯卡不僅碰瓷了百老匯,還抄襲了小馬寶莉

由 終廷花 釋出於 科技

一晃就到新的一年啦,年終歲尾的,許多公司會在這個節骨眼上籌備辦年會。

年會上除了抽獎、吃飯、演節目外,一些公司還會藉此機會給業績好的員工發一些最佳貢獻,優秀員工之類的獎。

很多行業為了鼓勵大家上進,也都有這種一年一度的評獎,比如電影界的奧斯卡獎,音樂界的格萊美獎,新聞界的普利策獎等等。

其實駭客界也有一個類似的評獎,世超今天要說的就是駭客界的普尼獎 [ 音譯 ] ( Pwnie Awards )

但把普尼獎定位在駭客界還有點狹義,準確的說普尼獎評選範圍是在整個資訊保安領域。

說起這個普尼獎( Pwnie Awards ),這個獎項命名還挺有梗。

Pwnie 來源於 pwn 這個詞,在駭客的俚語中 pwn 發音聽起來像 own,有獲得他人計算機控制管理權的意思。

而 Pwnie 的發音又和 Pony 相似,Pony 有小馬的意思,所以普尼獎的的官網首頁有一個小馬 logo。

Pony 又和 Tony 的發音相似,而 Tony Awards 是非常出名的百老匯劇院獎。快讀起來還有點碰瓷百老匯的意思。

普尼獎創立的時間不長,畢竟網路出現也才 50 多年,第一界普尼獎創辦於 2007 年,距離現在也僅有 13 年的歷史。

雖然時間短,但普尼獎的含金量可不低,每年的美國黑帽大會上,頒發普尼獎已經成為了壓軸專案。

作為網路資訊保安領域的頂級盛會,黑帽大會每年都會有一群技術大牛前來參會,能夠在會上獲得普尼獎是每個駭客的無上榮耀。

不過這個盛會可能沒有你想象的那麼華麗。。。

受極客文化的薰陶,黑帽大會不用盛裝出席,穿著很隨意,T 恤襯衫是主流穿搭。你甚至可以在演講的時候喝香檳。

還有些酷蓋會在室內戴上墨鏡,增強自己的駭客屬性。

普尼獎的獲獎者由安全行業專業委員會從資訊保安社群收集的提名中選出。

每年普尼獎的獎項不固定,最少的時候只有 7 個獎,最多的時候翻一倍,有 14 個。

2020 年最新一屆的普尼獎有 10 個獎項,官網已經公示了 9 個,還有一個沒公佈估計是在評選中。

無論獎項多少,最佳服務端 bug 和最佳客戶端 bug 從來沒有缺席。聽上去最佳 xxx bug 好像有點矛盾,bug 還能最佳?

其實這類最佳 bug 的獎項是為了獎勵找到複雜 bug 的駭客們,獲獎物件的名稱只是對應了 bug 或者專案名稱。

所以和其他獎項相比,普尼獎的獲獎名單有點怪怪的,因為普尼獎的獎項名稱有很多行業術語,沒有點網路安全知識的人還真不一定能看懂。

雖然這些獎項的解釋晦澀難懂,實際上有很多榜上有名的 bug 都曾經出現在我們身邊。

比如這個 2019 最佳客戶端 bug 就發生在蘋果的 FaceTime 軟體。2019 年初的時候,一個 14 歲的小男孩在和自己的朋友聊天時,意外的發現了這個 bug。

這個 bug 可以讓你用 FaceTime 打電話給對方時,在他接受或拒絕來電之前,聽到他們手機裡的聲音。

有了這個 bug 你可以在他們不知情的情況下,利用 FaceTime 監聽任何 iOS 使用者,儘管蘋果在後來的版本升級中修復了這個 bug,但這個 bug 殺傷力實在是太高了。

FaceTime 背上了這個年度最佳也算實至名歸。

最後發現這個 bug 被格蘭特 · 湯普森和達文 · 莫里斯( Grant Thompson & Daven Morris )也成為了最佳客戶端 bug 的獲獎者。

哦,忘記說了,那個 14 歲的小男孩就叫格蘭特 · 湯普森,那麼誰是達文 · 莫里斯呢?我猜是他的朋友吧。

不過拿到普尼獎不一定都是好事,有些普尼獎就是為了嘲諷設立的,拿了還不如不拿。

比如 2020 年的史詩級失敗獎頒給了微軟,2016 年最失敗廠商獎頒給了西部資料。。。。

當時西部資料的行動硬碟驅動器發生了很嚴重的 bug,按理說這時候西數應該啪的一下跳出來及時釋出安全修復補丁。

但西數卻不痛不癢,說了一句將繼續評估觀察,把使用者的資料安全置身事外。

行動硬碟這東西在如今比內褲都隱私,因行動硬碟洩密的事情不勝列舉,西數自己造的 bug 還不及時修復,那這個最失敗廠商就非你莫屬了。

普尼獎代表著駭客老哥們對技術的崇拜也充斥著他們對現實的批判,在普尼獎裡還能找到年度最烏龍 bug,其中 2019 年的最大烏龍 bug 就和中國有關。

當時,彭博社出了一份報道稱,美國一家為企業提供 IT 和雲計算等服務的 SuperMicro 公司,銷售的伺服器被中國大陸的生產廠植入了微型晶片。這塊微型晶片可以透過網路來入侵任意一臺計算機。

作為 SuperMicro 客戶的蘋果和亞馬遜等主要客戶都堅決否認這篇報道的內容。

組委會最後把這件事認定為年度烏龍,也對這件事情做出了評價:純屬扯淡!

從這項獎頒給了彭博社的喬丹 · 羅伯遜和邁克爾 · 萊利( Jordan Robertson and Michael Riley of Bloomberg )就能看出這個 bug 不像是技術問題,更像是謠言。

當然,中國也不是隻靠著這些獎項榜上有名,一些國內的廠商還是憑著真本事征服了老外。

360 VulcanTeam 的招啟汛獲得了 2019 年度最佳提權漏洞獎,成為中國歷史首個 The Pwnie Awards 大獎得主。

騰訊安全聯合實驗室旗下科恩實驗室也曾多次獲得普尼獎的提名,而且還在會上做過報告。

從後門到 bug,看上去普尼獎的獎項都是圍繞著技術設立的,其實普尼獎裡還有一個完全和技術不沾邊的最佳歌曲獎。

誒,什麼?駭客的獎項居然有最佳歌曲獎?是不是搞錯了?我沒寫錯你也沒看錯,最佳歌曲確實是普尼獎的一部分,而且駭客老哥們還非常鍾愛這個獎項。

如果說最失敗廠商獎是對技術的批判,那在最佳歌曲獎就是駭客老哥們內心深處的浪漫。

普尼最佳歌曲獎可以是原創也可以是翻唱,但歌詞大多是和網路、漏洞相關,總之駭客們的最佳歌曲當然是標榜駭客啦。

2014 年的最佳歌曲獎.mp3來自差評00:0000:33

還有這種翻拍原版 MV 的大製作,曼努埃爾 · 韋伯和丹尼爾 · 格魯斯( Manuel Weber & Daniel Gruss )憑藉一首翻唱阿黛爾的 hello 奪得 2017 年的最佳歌曲獎。

別說,跟原唱還有那麼點神似。

程式設計師是女裝大佬的傳聞坐實了。

當然最佳歌曲獎還有現場版,2016 年的最佳歌曲就頒給了 2015 年紐西蘭駭客大會的開場曲目。

你可能想不到,唱唱跳跳還鑽圈的會是一群駭客。

截至目前,2020 年唯一個沒有公示的普尼獎就是最佳歌曲。估計是駭客老哥們競爭太激烈,還需要一段時間才能有結果吧。

普尼獎有對業界領軍人物的肯定,也有娛樂大眾的精神。這樣一看,普尼獎組委會考慮的還挺全面。

和其他獎項一樣,普尼獎的設定是為了鼓勵為行業做出突出貢獻的技術大佬們。每年選出的不同 bug 也在見證著網路的發展程序和技術革新。

對於從事與網路資訊保安領域的從業者來說,每年一次的普尼獎評選更像是駭客界戒尺,給網路人一個交流技術的平臺,同時也在鞭策在網路領域廠商要更加重視資訊保安。