PWN2OWN黑客大赛2009到底有哪些猛料？

【51CTO.com 独家报道】3月18日在温哥华举办的CanSecWest
黑客大赛如火如荼的开始之后，网上出现了很多相关赛事的报道。如“黑客5秒钟攻破Mac系统 Safari是罪魁祸首”和“黑客大赛曝Safari、IE8与Firefox零日攻击”等。51CTO也在之前为网友们提供了介绍和时间表，详情请见：“http://netsecurity.51cto.com/art/
200902/110496.htm”到底今年的大赛到底准备了那些系统和软件让大家来测试和攻击？到底准备了那些猛料？我们
来看看以下来自51CTO记者的报道。PWN2OWN 2009在
经过多次讨论和研究之后，PWN20WN比赛的最终安排
如下：浏览器和联合测试的平台索尼VAIO - Windows 7（51CTO
编者按：去年也是索尼VAIO。）IE8 Firefox Chrome苹果机 - （这个不用说啥系统了吧）Safari Firefox第一天：默认不安装额外插件，用户去连接。第二天：安装flash, java, .net, quicktime。用户去连接。第三天：安装像Acrobat Reader那样的大众软件，用户去连接。任务？- 在应用程序的环境中执行代码。(51CTO编者按：提权溢出之类的)--------------------------------------------------------------------------------电话(和其他相关的测试平台)黑莓（TBA）谷歌Android手机（G1开发测试版）苹果iphone手机（2.0正式版）Nokia/Symbian（机型N95）Windows Mobile (宏达 Touch)第一天SMS 短信MMS 彩信Email 电子邮件（只看收取的）wifi 无线，如果默认开启的话bluetooth蓝牙，同上Radio 无线接收器第二天 电子邮件/短信/彩信(只可以读取-不可以有间接行为)无线保持启动蓝牙保持启动（默认不接受配对。耳机是配好的。配对过程不可见。）第三天在默认应用程序用户界面的一个层面蓝牙保持启动（默认不接受配对。耳机和满足以上要求的其他设备是配好的。配对过程不可见。）任务？必须去实现……1.造成信息丢失（用户数据）2.造成财务损失51CTO编辑观察：首先，对老外能举办这类真刀真枪测试产品的活动表示赞扬。大致看了一下，基本上国外顶尖安全厂商全部参与。这次的大赢家是德国人Nils，这哥们快把所有主流浏览器都破坏了个遍。成功收获15000美元和一台笔记本电脑。上届冠军Charlie Miller在10秒内拿下Safari，顺利收获5000美元和一台苹果笔记本。相对来说，智能手机的安全性还是比较经受考验的，没有出现30秒内被攻破的事情。事实证明，世界上并不存在绝对安全的浏览器，以前说什么用Firefox不会中毒这样的事情，很遗憾只是YY。这一年来Firefox的漏洞甚至超过其他浏览器的
总和，虽然它的修补速度够快。在51CTO记者截稿前，谷歌Chrome的表现似乎足够坚挺。但之前爆的漏洞也不少。笔者
认为暂时的未攻破有以下几点原因：1.相对Firefox和IE8、Safari之类浏览器来说，谷歌chrome本身的代码量就少，说是个精悍的浏览器内核都不为过。2.它真的是足够新了，目前还算是“非主流”（51CTO编者按：Windows默认IE，MAC默认Safari，Linux默认Firefox。Chrome虽系出名门，但要想雄霸一方尚需时日）其他浏览器都至少出了三代，它最近才出2.0beta，而且还已经是升的非常非常勤了。3.Google设计chrome的初衷就是，除了本地的管理员以外，
普通用户也可以不限使用。加上沙盒(sandbox)技术，让它的安全性显著提高，换句话说，即使发现了chrome的漏洞，骇客也只有很小的权限，无法造成很大的破坏。当然，黑客们找到Chrome
新的攻击方式只是时间问题，我们可以拭目以待。希望我们国家也能尽快出现此类活动，并对国内的信息安全研究给予支持和良好导向。这类活动不仅能为社会发掘更多的技术天才，更是能有效推进我国的信息安全产业发展。有攻才有防，有防才有保障。将更多的安全人才引向“白色产业链”，避免让更多的优秀人才戴上“黑帽”，这是好事，更是值得去做的事。【51CTO.com 独家报道，转载请注明出处及作者！】