Pwn2Own冠军团队Keen Team背后故事
　　世界顶级黑客大赛Pwn2Own 2015已经过去一周多了，本届大赛见证了超一流安全研究团队Keen Team成功拿到第五个世界冠军，也见证了Keen Team 成为Pwn2Own历史上第一支一次拿到两个系统权限的顶级安全团队。
　　在这次难忘的比赛里，大家一定记住了代表Keen Team夺冠的两位年轻小伙子：30秒攻破Flash的面孔Peter，不到60秒攻破PDF阅读器的90后研究员陆吉辉。
　　那么黑客在现实生活中究竟是什么样子?这是一个被反复问到的问题。因为在大众的想象中，& 黑客作为技术宅，有着对技术极其狂热，不擅长与人沟通，却可以在电脑前黑白颠倒，性格偏执，喜欢逆向思维。&
　　的确，努力执着是必须的，Keen Team的首席科学家吴石就曾说：&搞学问要宅，就算你智商200，现在这个环境下不努力不静心也是不行的，这些话送给那些天才少年们。&
　　台上一分钟 台下十年功
　　很多人其实不知道Pwn2Own比赛以后，陆吉辉在基本上没有出去玩，都在睡觉，因为前面亏得实在太多了，一天连续睡十几个小时。实际上Keen Team在比赛之前连续作战，体力透支，比赛以后需要时间恢复。
比赛当天，Peter和陆吉辉早早出发去赛场
　　Pwn2Own作为代表业界最高水平的赛事，主办方对于规则的制定可以说有些&任性&。比如今年规则上的突然变化，留给研究人员的时间是非常紧张的。另外，这项赛事历来吸引最高水平选手参与竞争，能够脱颖而出绝非易事。&微软这次2月份推出的补丁升级，把我们大部分发现的操作系统内核的漏洞都补掉了，当时离Pwn2Own只有不到一个月的时间，最终这两个漏洞是在赛前两天时间左右才全部完成的。&陆吉辉介绍。
　　台上几十秒钟的成功展示，背后是Keen Team几个月每天工作十五六个小时，全身心连续奋战的结果。包括陆吉辉首席科学家吴石在内的多名研究员，春节一天都没有休息，家在外地实习生Azure甚至整个春节都没有回家，一直在办公室里度过。
　　陈良是Keen Team前两届三夺Pwn2Own冠军的主攻手，在去年准备Pwn2Own 比赛时，得了肺炎，还坚持每天十几个小时攻坚克难，做出让国际安全社区为之一振的研究成果，在比赛中大放异彩。
　　KEEN的创始人、CEO王琦这样评价团队取得的成功说：&一群nerd geek，在小黑屋里持续忍耐着寂寞，也终会让世人看到自己的无比潜力、无比热爱、无比坚持、无比努力和无比团结&&&
Keen Team在东京Pwn2Own Mobile 2013中攻破当时苹果最新iOS 7.0.3
　　(左：陈良 中：王琦 右：方家弘)
　　热爱，是这一切的动力，协作，是成功的保证。
　　据Keen Team官方透露，代表Keen Team 夺冠的两位年轻面孔，Peter 是88年生人，陆吉辉91年。他们加入Keen Team还不到一年时间，就已经登上了世界安全竞赛的最高舞台。
Peter在Pwn2Own2015夺冠瞬间
　　Peter年少时就将安全研究作为自己的梦想。高中毕业后考入大学，可在大二时，由于父亲事业无法支持其学业，他辍学开始找工作，独立支持家庭生活和妹妹的学费。
　　他数次向斯洛伐克防病毒专业安全公司ESET投去简历，都被对方婉拒，但他没有放弃，最终进入ESET，开始了基础安全研究工作。为了提高安全研究能力，Peter曾多次自费到参加技术培训。
　　而在去年的安全会议上，Keen Team成员在与Peter的交流中，发现他在安全领域的潜力，于是邀请他加入团队。去年7月Peter 来到Keen Team后，团队的开放氛围拓展了他的研究领域和方向，他的天赋得到了最大程度的施展，研究领域从他熟悉的PC逐步拓展到移动互联网。在团队的支持下，Peter通过自己的努力在国际舞台上崭露头角，成为活跃在国际众多安全会议的Speaker。
　　陆吉辉，从高中时就对信息安全很感兴趣，2013年毕业于上海交通大学信息安全工程专业。作为一名90后，毕业后在奇虎360工作不到一年就回到家乡上海加入Keen Team。半年时间迅速成长，在Pwn2Own 2015上成功夺冠。
　　&在360和Keen Team我都是做Windows操作系统的漏洞挖掘工作，对比360，Keen Team更强调团队协作，技术是团队共享的，吴石也是倾囊相授，使整个团队少走了很多弯路。&陆吉辉说。
　　技术狂人的日常生活
　　被称为&技术狂人&的白帽黑客们，如果发现了一个漏洞就想要尽快把它分析出来，完成一个利用程序，就会整天处于亢奋的状态。在Pwn2Own之前，Keen Team就一直处于这种状态。&你觉得这件事情没做完，晚上躺在床上即使感觉很疲劳也是睡不着的，那还不如把事情做完再睡。任何行业要做到一个比较高的层次肯定是要付出很多东西。&曾代表Keen Team出征前两届Pwn2Own的方家弘如是说。
　　当然，除了技术之外，研究员们也有自己的独特业余爱好。例如中文名是&何志鹏&的Peter就十分热爱中国武术，在斯洛伐克就开始接触武术，并多次自费来中国学习武术，在少林寺接受过训练，他的妻子便是在学习武术的时候相识相恋。在收到Keen Team的offer后，他与未婚妻结婚并一起来到中国工作生活，现在他每个礼拜都要在上海体育学院进行武术练习。
去年Keen主办的GeekPwn上，Peter还在现场进行了一段精彩的舞剑表演，让现场的人眼前一亮。
　　向顶级安全人才敞开的大门
　　Keen Team作为一个非科研学术机构，能够始终保持世界领先的技术水平，与其对年轻安全人才的重视与培养是分不开的。
　　据悉，Keen Team正式成员中最小的Flanker生于1994年，他18岁大学毕业，到目前已经有两三年的工作经历了，被称为&天才少年&。
　　与此同时，Keen Team也希望发现更多基础好，能力强，潜力足的年轻人才，能够把更多新面孔推到类似Pwn2Own这样的国际舞台上。让他们的能力得到最大的发挥，是Keen Team一直坚持的。
　　除此之外，Keen Team需要能够始终接受、吸收安全领域的新思维、新思路的人才。毕竟长期的深耕研究才能拥有行业前瞻性的眼光。
　　作为一支面向国际的安全研究团队，Keen Team始终保持国际视野，发掘国外的顶尖安全人才，参与国际顶级安全赛事是Keen Team与国内安全研究团队最大的区别。
责编：李文瑶
环球时报系产品
用手机继续阅读> 黑客大赛Pwn2own有两个冠军？小编带你“打假”
黑客大赛Pwn2own有两个冠军？小编带你“打假”
来源：互联网&&阅读：23570&&
导言：北京时间3月18日，在加拿大进行的Pwn2Own 2017世界黑客大赛上，360安全战队成功实现了对Edge+Win10+ VMware虚拟机的连环三杀破解，一举创下单项积分27分的历史最高记录，这也是Pwn2Own举办十年来首次打破VMware的“不败金身”。在这场黑客大赛史上最高难度破解之后，360安全战队以63分的成绩锁定积分榜首，荣获大赛官方颁发的“Master of Pwn”（世界破解大师）总冠军。而在另在腾讯口中，比赛结果变得与众不同据腾讯安全联合实验室的官方新浪微博报道，腾讯却是世界第一。。。我们来看一下腾讯的“独家”积分榜。。等等，战队怎么这么少？Pwn2own这么有名的大赛就几个战队参与？我们再来看一下Pwn2own官方的积分榜这才是正版的好吧！实际上腾讯自称获得了总冠军，实际上是派了很多队伍把一个项目打n遍，然后把所有战队的分加在一起，叫“腾讯安全战队”并称总比分最高。而Pwn2own是比谁能把不同的项目打出最高积分。冠军奖杯是由大赛官方发的，而不是靠假新闻自封的。早上10点的时候，小编去翻看腾讯联合安全实验室的官方微博时，声称自己得了“总冠军”的微博还在，等到下午1点的时候，微博已被删除了。独家点评：一场比赛，看出公司的实力，更看出公关的素质。其实，一场比赛过后，往往我们看到的不仅仅是获得冠军的公司实务能力有多强，更看出来公司的公关部门在面对不同情况时表现出来的不同态度。而这种态度则在一定程度上反映了公司对待用户的态度。腾讯公司，面对比赛结果，企图用混淆视听的方式蒙混众人视听。以为大众不懂比赛的规则，实则是搬起石头砸自己的脚，不但没有达到自己想要的宣传结果，相反给自身抹黑，为对手添光。这种触及道德底线的公关方式是大忌。而360公司的公关水平则是在业界数一数二的。回看之前与酷派和乐视的股权风波，360运用众人痛恨的“小三”来恰如其分的形容，更是激起了网友“一边倒”的声援。事实证明，巧妙地利用众人对道德的认知和对价值观的一致取向，更能达到意想不到的效果。回到此次事件中，360及时的利用腾讯公关的“漏洞”，给予对手痛击，更是体现了其公关能力的强大。为此，我强烈建议腾讯公司以后在此类事件能端正自己的态度，不要以为网友很好骗，扎破了的气球不但没有以前大，反而显得苍老无力。变革加科技独家撰稿未经许可，严禁转载！
现如今，人们普遍把苹果看做是伪多任务，并把安卓是真多任务。因此不少安卓用户因为系统是真多任务而洋洋自得。但殊不知，安卓的真多任务其实并不比苹果的伪多任务先进多少。
实际上苹果一直坚持伪多任务模式…...
阅读：18458
近来智能手机的效能虽然相当强大，不过使用一年以上，装置就不会像初时购买回来般流畅，使用时感觉越使用越变慢，而现在来到年底，为迎接新一年，不如一同为你的iPhone进行大扫除吧。
你的iPh…...
阅读：31693
京华时报讯(记者古晓宇)昨天，记者从北京联通了解到，目前北京市的十个郊区都已陆续完成光纤改造，北京市郊区通信全面迈入“全光网络时代”。
所谓全光网络通信，就是指区域内光纤到户的宽带用户占比超过9…...
阅读：27306
Hello，亲们，起床上班了？世界上最悲剧的事情就是，雾霾散了，假期结束了......不说了，看看今天的早报吧～
新年新气象？
【人民网董事长马利辞职】人民网股份有限公司（月3…...
阅读：11263
网易科技讯 1月4日消息，据华尔街日报报道，特斯拉汽车公司在2015年第四季度交货量17400辆电车，同比去年增加了75%，这主要是公司急着想要将ModelX功能型运动车辆交付给早在三年前就已经支…...
阅读：29617
本报讯2015年，全椒县依托产业优势，强化政策支持，完善支撑体系，优化发展环境，促进网络经济与实体经济深度融合，推动电子商务快速健康发展。全县目前参与电子商务的企业约300家，全县电子商务零售交易…...
阅读：29589一篇文章看懂Pwn2Own与DefconCTF的区别 -
| 关注黑客与极客
一篇文章看懂Pwn2Own与DefconCTF的区别
共180720人围观
，发现 10 个不明物体
3月18日，Pwn2Own 2015将在加拿大温哥华拉开战幕。在持续两天的比赛中，来自全球顶尖黑客高手，将向IE、Chrome、Safari、Firefox等常见浏览器以及IE的Flash和PDF插件发起攻击，夺取高额比赛奖金。
不过对于很多信息安全的新手来说，他们往往会将Pwn2Own与另一著名国际黑客赛事Defcon ctf混淆，搞不清楚两者的区别。
借着Pwn2Own 2015开赛在即的间隙，小编从比赛形式、参赛门槛、参赛选手、活动氛围四个维度对两大国际黑客大赛进行全面对比，帮助年轻黑客及安全技术研究爱好者更好的认识和了解Pwn2Own与Defcon CTF 。
Pwn2Own像射击，Defcon CTF像足球
Defcon CTF更倾向于人与人之间的对抗。CTF赛制代替之前黑客们通过互相发起真实攻击进行技术比拼的方式，得到广泛普及。仅2014年全球就有超过50场国际性CTF赛事举办，而DEFCON CTF总决赛则是CTF赛事中最顶尖的舞台。
与之相比，至今仅第七个年头的Pwn2Own就要年轻的多，比赛形式也更新颖。Pwn2Own比赛的目标硬件为安装当年最新系统的Windows或苹果笔记本，软件则是最新版浏览器及其插件。
由美国五角大楼入侵防护系统供应商TippingPoint的DVLabs赞助总计近百万美元的赛事奖金每年吸引着无数顶尖的黑客对这些产品发起挑战。
不难看出，Defcon CTF对临场发挥的要求更高。而从竞技的角度来说CTF更倾向于对抗，Pwn2Own则是对同目标的比拼。用体育项目来比喻的话，CTF就是足球比赛，Pwn2Own就是目标明确的射击比赛。
顺便说说今年Pwn2Own的6个“靶心”。浏览器目标有三个，分别为Chrome 42、 IE 11、Firefox，两个Windows浏览器插件目标即运行在IE 11内的Flash播放器和PDF阅读器，以及苹果系统自带的Safari浏览器。
与以往不同的是，2015PWN2OWN的“靶心”更小了。本届赛事IE浏览器、Flash、PDF阅读器三个目标都运行在64位下并且打开了EPM（增强保护模式），致使赛事的整体难度大幅提升。
如何直观了解项目的难度，从主办方为其悬赏的奖金就可以看出。攻破Chrome、IE、Firefox和Safari四大主流浏览器分别为7.5万美元、6.5万美元、3万美元、5万美元。而IE浏览器插件Flash与PDF的奖金均为6万美元。当然如果能够在此基础上，获取目标更高的系统级权限，还能拿到2.5万元的额外奖金，鼓励黑客们去发现更多更高级漏洞。
然而曾在Pwn2Own比赛上攻破Chrome的“常胜将军”VUPEN黑客团队创始人Chaouki Bekrar就公开在推特上表示：“2015年的Pwn2Own你在开玩笑吗？奖金少了，难度却增加了（64位、EMET、增强沙箱保护、禁止注销/重启等），坐等2016的到来。”
业内专家“TK教主”于旸在知乎上对此事的评价称是VUPEN认为比赛难度提升，奖金却变少了，不合理。毕竟VUPEN是以此为业的。
比赛者区别
CTF赛事入门门槛相对较低，鼓励大众的参与，无论是专业人士、泛专业人士、爱好者都可参与，除正式比赛外，年轻黑客还可以考虑报名CTF外围赛磨练自己。
参加PWN2OWN赛事门槛就相对高了许多，仅仅注册报名就需上万人民币。即便是顶级黑客没有充分的准备也不会贸然参赛的，毕竟每个“靶心”背后站着全球著名互联网公司的安全团队倾力打造的安全体系。
换个角度来说，CTF赛事中不乏学生战队，如国内的参加CTF的常客蓝莲花战队，就是以清华学生为参赛主体。而Pwn2Own中学生参赛情况较为罕见。
不过这不能代表CTF或Pwn2Own的最高参赛者水平孰高孰低，CTF赛事的顶尖队伍参加Pwn2Own也不在少数。
CTF赛事多数是团队作战，毕竟在48小时或者更短的时间需要完成主办方设置的题目获取旗帜，进行技术攻防，所以单人作战往往顾此失彼，力不从心。优势互补的团队作战是CTF赛事的主流。
然而盘点历年PWN2OWN个人参赛者就不少，但随着比赛难度的逐步提高，PWN2OWN团队作战比例呈现上升趋势。如图所示，去年被破解的项目中团队作战占比超过63%。
2014 PWN2OWN 冠军一览左至右依次是冠军得主、团队名、年份、挑战项目
团队作战的代表中除了夺冠次数最多的VUPEN战队外，来自中国的Keen Team战队也是团队作战的代表战队，连续两届夺冠的他们俨然成为国内乃至亚洲顶级黑客战队的旗帜。
从活动气氛上来说，CTF相比PWN2OWN更活跃。这可能与CTF赛制的诞生地Defcon有关，Defcon一直以嘉年华的形式举办，CTF比赛现场常常在现场设置大屏幕观看排名，炫目的示意图等。
今年2月日本举办的SECCONCTF中攻防可视化技术的展示
相比之下PWN2OWN更注重研究院员的技术成果，现场气氛较为严肃，毕竟挑战全球知名软件背后的安全团队并不是一件容易的事情。&
Defcon CTF气氛活跃可能还有历史基因的关系在里面。Defcon创始人、黑客社区的“摇滚巨星”JeffMoss创建Defcon的初衷，源自有一次他为朋友办了一个告别Party，结果他朋友先走了。MOSS就把熟悉的黑客叫过来继续开Party，最后演变成全球著名的黑客大会Defcon。
最后分享个冷知识，Pwn2Own里的“Pwn”是一个黑客语法的俚语词，自“own”这个字引申出来的，这个词的初始含义是玩家在整个游戏对战中处在胜利的优势，或是说明竞争对手处在完全惨败的情形下，这个词习惯上在网络游戏文化主要用于嘲笑竞争对手在整个游戏对战中已经完全被击败。
在黑客界中意为攻破、控制的意思，黑客需要利用漏洞来修改程序（或者进程）中的标准执行路径，从而达到执行任意命令的目的。Pwn2Own顾名思义就是攻破控制设定好的挑战目标。
说了那么多，相信大家心中对Pwn2Own与Defcon CTF有清晰的轮廓。其实黑客大赛和其他竞技比赛一样，外行看热闹，内行看门道。同级别的比赛中GeekPwn可谓是最亲民的黑客大赛，感兴趣的可以自行了解下，在此就不复述了。
2015 PWN2OWN马上就要开始了，最终会有哪些中国或亚洲的安全研究团队出现在Pwn2Own现场，又有谁能够打中”靶心”成为今年的神枪手呢，让我们拭目以待吧。
[本文由FreeBuf整理，转载须注明来自FreeBuf黑客与极客（）]
参加pwn2own的人每个公司高都抢着高薪聘用，参加ctf的可能拿着实习工资去不知名的小作坊，是吧？
一个是破解比赛，一个是攻防比赛
必须您当前尚未登录。
必须（保密）
FreeBuf小编
关注我们 分享每日精选文章