Pwn2Own 三连冠团队成员访谈实录:如何才能登峰造极?
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
在 IT 安全圈子,没有一种黑客竞赛比 Pwn2Own 更令人瞩目。
Pwn2Own 大赛设立于2007年,由趋势科技的 ZDI (Zero-Day Initiative) 负责组织,多年来该大赛吸引全球最顶级的人才,颁发行业内最高的现金奖励,声名鹊起。
如果你想为自己争得名誉,用自己的黑客技能征服信息安全圈,那么参加已有12年历史之久的 Pwn2Own 大赛绝对是不二之选。昔日的获胜者已成为当今信息安全领域最重要的人物,我们可以从当前全球最大的企业安全团队中见到他们的身影。
当前Pwn2Own大赛每年举办两次。第一次是在温哥华举办的春季赛,主要针对桌面和服务器应用程序以及操作系统。第二次是在东京举办的秋季赛,主要关注移动手机和智能设备。
这一年,有一支团队在 Pwn2Own 大赛上发出了耀眼的光芒,他们蝉联大赛三连冠。他们就是由 Amat Cama 和 Richard Zhu 组成的 Fluoroacetate 团队。这个二人组摘得2018年秋季赛、2019年春季赛和刚刚落下帷幕的2019年秋季赛的桂冠。
在大赛结束后的上个月,ZDNet 媒体就采访了该团队其中的一名成员 Amat Cama,聊了聊达到职业生涯顶峰所需要的条件以及参赛 Pwn2Own 时紧张不安的感受。
如下是采访实录:
ZDNet:首先请向读者介绍一下自己。
Amat Cama:我是 AmatCama。我是来自塞内加尔共和国的独立安全研究员,从2016年开始涉足安全研究。我真正开始接触安全是通过2012年以来的 CTF 比赛。生活中我喜欢拳击、冲浪、航空飞行攀岩以及打视频游戏。
ZDNet:连续三年获得 Pwn2Own 大赛的冠军是你作为安全研究员的职业生涯顶峰吗?还是你还有其它更大的目标待实现?
Amat Cama:三次获得Pwn2Own 冠军确实是值得骄傲的一件事。因为我一度认为攻克竞赛中哪怕一个题目都是不可能完成的目标,所以连续三次赢得比赛确实让人心满意足。不过我不想将其称作作为安全研究员的职业顶峰。在这个领域,你总会发现更多的东西,你总是能做更多的事情或者总能把事情做得更好。
ZDNet:你认为哪个场次的比赛更难?是关于桌面和虚拟机的春季赛还是关注物联网和手机的秋季赛?
Amat Cama:我个人认为春季赛更难,因为攻克目标在安全社区更受欢迎,因此已经接受了其他研究员更多的审查。
ZDNet:你在 Pwn2Own 比赛现场也就是在运行 exploit 代码之前有何感受?是紧张不安还是你就笃定自己的 exploit 代码应该会百分之百按照预设运行所以只是走流程?
Amat Cama:一般要分情况看。多数时间我们已经进行了足够的测试,相信在第一次尝试时 exploit 就会运行成功。不过由于 bug 的性质以及缓解措施的缘故,有时候很很难保证 exploit 会获得较高的成功率,而这时候就会感到紧张不安。
ZDNet:你三连冠后,在信息安全社区的识别度会更高吗?这些胜利是否改变了你的信息安全生活和日常生活?
Amat Cama:Pwn2Own 大赛冠军的头衔当然“会让你出名”,而更高的识别度会给你带来更多机会。同时我感觉非常好,因为这些胜利鼓舞着其他研究员和黑客继续努力工作并提高自己的技能水平。从这个角度来看,它确实改变了我的信息安全生活。个人生活而言我觉得没有什么改变。
ZDNet:现在对于第四次获胜有压力吗?或者说你从未将 Pwn2Own 大赛当成一种目标而更多的是出于兴趣爱好?
Amat Cama:获胜当然很好,不过我不认为第四次获胜会有压力。我一直都把Pwn2Own 大赛的经历看作是可以激励自己实现的很明确的挑战。
ZDNet:现在很多安全研究员都在向你看齐。其他研究员和渗透测试人员会问你一些问题吗?最常问的问题是什么?
Amat Cama:是的。最常见的问题也似乎是最令人感兴趣的问题是“你(获得冠军)花了多久的时间?”
ZDNet:供应商代表通常都会参加 Pwn2Own 黑客大赛,你攻破他们的应用程序/设备后他们是什么反应?
Amat Cama:他们通常的反应都是挺不错的,但有时候一些人不能很好地接受或者进行配合。不过好在 ZDI 会处理这些事情。
ZDNet:未来你期待在 Pwn2Own 大赛的目标列表上希望看到什么设备/系统?
Amat Cama:一架飞机,因为我想试试黑掉它。肯定非常酷!
ZDNet:如果黑客掌握了你现在的技术,你会惧怕他们吗?
Amat Cama:我系现在已经很惧怕他们了,因为很多(黑帽)黑客掌握的技术要比我多。我认为完美的安全是不可能实现的,因为机器总会以这种或那种方式运行代码。而人类总是制造、编程并运行这些机器的主体,而我们都知道这意味着过程中总会存在不完美的地方。
ZDNet:现在你已经赢得了所有雇主的赞赏,那么你的下一个梦想工作是什么?或者说你想加入哪个项目或组织机构?
Amat Cama:虽然现在有很多优秀团队,而如能加入将是我的荣幸,但我认为最终我希望拥有一家自己的机构,为自己工作。
推荐阅读
高中生,一年,从 0 到 0day 的秘密
原文链接
https://www.zdnet.com/article/interview-with-one-of-the-worlds-best-competitive-bug-hunters/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点,转载请注明“转自奇安信代码卫士 www.codesafe.cn”
Pwn2Own 三连冠团队成员访谈实录:如何才能登峰造极?相关推荐
- 【洞见趋势】博睿数据创始人兼CTO孟曦东访谈实录:聊聊2023年重要战略技术趋势“可观测性”
随着各个企业在数字化转型的浪潮中不断翻涌前进,IT业务复杂程度与规模体积爆发式增长,可观测性工具成为发展刚需.在Gatner发布的2023年需要探索的十大战略技术趋势中,"可观测性" ...
- 【13位CEO访谈实录】疫情对科技企业带来的影响及应对
13位CEO访谈实录:疫情对科技企业带来的影响及应对 本文为"苏宁零售技术研究院"原创,内容来源于苏宁零售技术研究院&江苏省互联网协会联合调研.致谢江苏省互联网协会及13家 ...
- 优维科技CTO黎明访谈实录:“大场景+小算法”构建AiOps运维技术哲学
智能运维.自动化运维发展到现在,已经有将近7成的IT管理者学会利用大数据.人工智能产品及解决方案赋能团队,在生产效率.适应性和决策能力等层面实现了切实有效的正向转型. 今天的中国企业,已经在云端新基建 ...
- 【InfoQ】博睿数据CTO孟曦东访谈实录:可观测性技术是未来发展方向
差不多在五年前,分布式系统已经成熟,微服务架构尚未普及,可观测问题就已经在桎梏技术团队的工作效率.一个To C的软件使用问题可能由客服发起,整条支撑链路的所有技术部门,都要逐一排查接口和日志,流程非常 ...
- 传奇程序员John Carmack 访谈实录 (zz.is2120)
约翰卡马克介绍 //z 2012-10-06 09:57:04 IS2120@BG57IV3.T2508037555.K[T58,L515,R22,V686] id Software的大名鼎鼎的 ...
- 陌陌COO王力访谈实录:当股价在过山车时 我们在想什么?
陌陌公司创始成员.COO王力 陌陌5周年庆典在近期举行,那时候公司全员700多人集体飞赴巴厘岛,这是一次"土豪式"的庆祝. 但对于陌陌公司,或者它的投资者而言,这算不上高歌猛进的一 ...
- Vue.js 官方团队成员霍春阳新作,深入解析 Vue.js 设计细节
霍春阳(Hcy),Vue.js 官方团队成员.专注于 Web 研发领域,是 Vue.js 3 的核心贡献者之一,Vue.js 文档生成工具 Vuese 的作者,技术社区活跃者,曾撰写大量颇受好评的技术 ...
- 很多人都在埋怨没有遇到好的团队,但好的团队不可能凭空出现,一流的团队不能仅靠团队成员努力,作为Leader,要有可行的规划,并坚定地执行、时势地调整(转)...
<西游记>中的唐僧团队历经千难万险,终于求得真经,目标明确.分工合理为这支队伍最终走向成功奠定了基础.唐僧从一开始,就为这个团队设定了西天取经的目标,虽然经历各种挫折与磨难,但目标从未动摇 ...
- 访谈实录:网管员如何踏上高薪之路(1)
访谈实录:网管员如何踏上高薪之路(1) http://expert.51cto.com 2008-04-14 10:46 沁屿 51CTO.com 我要评论(49) 摘要:网管员的工资取决于你自身的能 ...
最新文章
- 0x21.搜索 - 树与图的遍历、拓扑排序
- vue27-2.0-自定义键盘事件
- ASP.NET查询页面设置form的action属性只弹出一个页面,并且每次将页面设置到最前...
- Python 调用pyaudio库录制以及播放wav音频文件
- 前端常见算法的JS实现
- 洛谷P3349:小星星(容斥dp)
- 代码中 密码存储_你还记得浏览器自动存储的密码吗?用js代码恢复一下记忆吧...
- c# winform如何异步不卡界面
- C#操作SQL Server数据库
- MSDN Visual系列:在MOSS中创建一个BDC实体
- 一张图读懂MVC设计模式,从用户发起请求到获取响应,应用内部到底是如何数据流转、业务串联的
- linux 字符驱动 tty,打通linux的tty驱动的数据链路
- 项目管理系统设计方案
- 学术会议论文查重吗_投国际会议论文会查重吗
- BUUCTF:小易的U盘
- Predicting Lymph Node Metastasis Using Histopathological Images Based on Multiple Instance Learning
- 孩子,外面的世界不会轻易原谅你…
- HADOOP学习详细教程
- OpenCV色域转换
- 我和Python的Py交易》》》》》》函数