活动简介

讲百遍不如打一遍，网络安全的本质是攻防的对抗。11月16日至17日，首届“天府杯”国际网络安全大赛将在成都天府新区西博城举办。在为期两天的活动中，精彩激烈的“天府杯”国际破解大赛、大咖云集的技术论坛、精彩纷呈的产业成果转化会都将与广大观众见面。

活动时间

2018年11月16日至17日

活动地点

成都天府新区西博城

活动详情

本次活动由百度、阿里巴巴、腾讯、360、清华大学、中科院、永信至诚、亚信安全、成都天府新区投资集团有限公司联合主办，启明星辰、天融信、绿盟科技、网御星云、知道创宇、四川大学、电子科技大学、中电10所、科来软件、卫士通、无声信息齐力协办。无论主办方还是协办方，活动阵容都颇为“豪华”。

记者从大赛组委会了解到，此次活动的举办，旨在深入学习贯彻习近平新时代中国特色社会主义思想，践行习近平总书记网络强国战略思想，落实全国网络安全和信息化工作会议精神，将活动打造成国际知名、天府品牌的网络安全专业赛事，推动天府新区成为“天府杯”国际网络安全大赛永久赛址，强化高端网络安全人才储备，推动天府新区网络安全产业高质量发展。天府新区出台“天府英才计划”作为大赛奖项配套政策，鼓励并支持夺得大赛奖项的个人或团队在直管区创新创业。

据悉，作为本次活动“压轴节目”，“天府杯”国际破解大赛，设立了高达100万美金的奖金，将采取与Pwn2Own等国际网络安全破解赛类似的赛制，预先设定目标赛项及其对应的积分、奖金额，公开征集参赛选手与参赛项目。比赛分为PC、移动与服务器端三种类型目标，以及虚拟化软件、操作系统软件、浏览器软件、办公软件、移动智能终端、Web服务及应用软件、DNS服务软件、共享管理类服务软件等八个类别。

“天府杯”官网（www.tianfucup.com）将于近期开放参赛者可登录官网进行注册报名。

值得注意的是，主题多元、议题重磅的行业论坛也将在两天内精彩上演，具体包括漏洞挖掘论坛、AI安全论坛、云安全论坛、区块链安全论坛、网络空间安全态势感知论坛、网络安全教育与人才培养论坛，届时将邀请政府相关主管部门领导、顶级行业智库、网络安全企业和技术专家，就漏洞挖掘、AI安全、区块链安全、人才培养等热门网络安全话题进行深入交流。

新技术、新产品是推动产业发展的重要引擎。本次活动也为国内安全企业提供了一个展览展示前沿技术成果的舞台，国内安全行业企业都可以在展会上一展风采。

在全国网络安全和信息化工作会议上，习近平总书记强调，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。而网络安全的本质是攻防的对抗，归根结底是人才的竞争。网络安全法中也指明，“要采取多种方式培养网络安全人才，促进人才交流”。

“天府杯”国际网络安全大赛的举办，将推动中国在打造顶级网络安全专业赛事上的历史进程，有助于中国本土化品牌的加速形成，吸引和培养更多网络安全人才，助力网络强国建设。

5秒破解office！360冲上榜首

11月16日，首届“天府杯”国际网络安全大赛在成都正式开幕，“天府杯”破解比赛成为关注的焦点，来自百度、阿里巴巴、腾讯、360等多家知名厂商的17个参赛单位开始了激烈的角逐。360作为国内最大的互联网安全公司，360旗下的360Security战队在开赛首日便成功破解office 365，用时仅不到5秒。号称“全球无人攻破”的微软Office 365，在国外同类的著名赛事Pwn2Own上曾连续两年难倒众多安全战队。而这一次，360Security战队不到5秒就成功破解，成为全球首个在破解比赛中攻破Office 365的安全战队。随后，“天府杯”主办方在官方推特上公布了360这一惊人战果。

开赛当日360的两支战队攻破的还有：Microsoft Edge、Google Chrome、Adobe PDF Reader、Oracle VirtualBox、Apple Safari，360的两支战队第一天总计收获56积分和50万美元奖金。

据了解，本次比赛共吸引了全球上百名选手报名，经过层层筛选，共有17个参赛单位参加了现场比赛，共同挑战13个难度系数超高的破解项目。在首日比赛已进行的6个项目中，360旗下的安全战队已经成功完成“五杀”，包括360Security战队的四连破和三六零VT战队的“First blood”，360Security战队拿下48积分和42万美元奖金，名列榜首，三六零VT战队拿下8积分和8万美元奖金，暂列第七。

“天府杯”国际破解大赛共设立了高达100万美金的奖金，采取与国际网络安全破解赛类似的赛制，预先设定目标赛项及其对应的积分、奖金额，公开征集参赛选手与参赛项目。

接下来的比赛又会有哪些精彩呢？360团队还会创造更多奇迹吗？我们拭目以待。

揭秘“30秒越狱iPhone X”纪录创造者

在“拿下”Office 365后，360Security 又成功越狱iPhone X。11月17日，在首届“天府杯”国际网络安全大赛上，360Security战队30秒内破解iPhone X，实现越狱，拿下单项比赛奖金最高数额20万美元。这是历史上首次在国际破解比赛上实现iPhone越狱，20万美元奖金不仅是本次的比赛的单项最高奖金，也是Pwn比赛历史上单项最高奖金。

目前，这一破解结果已经被苹果官方确认，同时，天府杯主办方也在官方推特对360Security战队再次表示祝贺。

360Security战队还原了创下这个新纪录的过程，以及纪录背后的故事。

30秒实现对iPhone的远程控制

Q:这次破解iPhoneX的过程很刺激吧？

360Security战队：过程很简单，在具体进行破解时，我们使用了不到30秒就通过浏览器获取了手机的完全控制，远程越狱。

之后，裁判进行了验证：在被破解的iPhone X手机上访问一个我们的网址，接着手机就被完全控制，可以获取用户的信息，也可以系统权限安装App。

这是历史上首次在国际破解比赛上实现iPhone越狱，目前，这一破解结果已经被苹果官方确认。

Q：你们平时怎么备战的？

360Security战队：我们的漏洞研究团队主要的日常工作之就是做主流软件的安全漏洞研究工作，平时也都会将发现的漏洞报告给诸如微软、苹果、谷歌、Adobe、VMware等公司，可以说是国内乃至全球贡献漏洞最多的团队之一，这次比赛也是我们平时积累的一次体现。在我们看来，要找到单个漏洞并不难，难就难在平日的技术积累和对安全的理解。

远程越狱是越狱难度最高的

Q：要实现iPhone X的远程越狱，和前几代iPhone、iOS系统相比是否更难？难在哪里？

360Security战队：苹果在iOS系统的安全性有非常大的投入，不仅通过封闭的应用市场控制了手机的软件环境，对安全漏洞的修补、安全防护的机制也不断更新换代。所以每一次新的破解相对于之前的系统和手机，难度就更上一层。不仅FBI曾悬赏百万美元破解iPhone，著名的国际漏洞军火商Zerodium也为iPhone远程越狱开出了百万美元的赏金。

具体到这次破解，它是一次远程越狱（Remote Jailbreak)，这是越狱中难度最高的一种，通常需要搭配多个0day漏洞才能实现。在此次破解中，我们仅使用了两个漏洞就完成了整个过程。其中最大的难点就是在仅使用一个0day漏洞的情况下，直接从Safari浏览器控制iOS内核。从Safari浏览器到内核的入口早被苹果“严防死守”，要突破很不容易，但我们通过这个漏洞，巧妙地绕过防护，实现了越狱。

Q：在很多Pwn比赛前，厂商会狂补漏洞，与参加比赛的白帽黑客赛跑。这一次有同样的情况吗？

360Security战队：就在比赛的前一天，苹果还修复了一个刚在日本东京Pwn2Own 2018年赛事中发现的Safari漏洞，微软也在11月14日的补丁日修补了大量浏览器漏洞。我们本次比赛准备了四个苹果的漏洞，但是这个修补和我们准备的一个漏洞冲突了，因此最后我们从剩下的漏洞出手破解。可以说，这是Pwn比赛的常态，其激烈程度也可见一斑。

Q：苹果、微软这样的顶级科技公司都存在产品漏洞，这是否能在一定层面上说明漏洞是不可避免的？

答：一般来说，平均每千行的软件代码会有6到8个漏洞。从每年的漏洞统计（CVE数量）可以看到，苹果、微软这几家顶级公司都是漏洞最多的，但这不能说明他们是最不安全的。相反这也是一种很好的生态：有非常多的白帽黑客参与其漏洞研究，帮助他们发现安全漏洞，提出修复建议。无时无刻，白帽黑客都在跟黑帽黑客们赛跑，赶在他们之前发现这些安全漏洞，在危险萌生之初就“熄灭”它。

吐槽：黑客里女生太少了

Q：这次发现的漏洞，如果不及时修复被恶意利用的话，会给用户带来哪些安全问题？

360Security战队：这次的攻击项目涉及到微软、苹果和谷歌的多款PC浏览器、苹果手机和国内的多款主流手机、虚拟机软件等，如果没有修复，对用户都会造成不同程度的影响，例如浏览网页就会导致用户的隐私信息、企业的数字资产泄漏、财产丢失、遭到勒索等各类危害。

Q：著名国际漏洞军火商Zerodium为iPhone最新版本越狱开出100万美元的不菲价格，但你们把这些漏洞交给了厂商帮助他们作出安全改进。

360Security战队：作为白帽黑客来说，无论有没有奖励，我们的原则都是希望将发现到的漏洞提供给厂商，帮助他们给用户提供更好、更安全的产品。360公司的漏洞挖掘团队一年为微软、谷歌、苹果等巨头贡献上百漏洞，如果按照漏洞军火来出售，肯定能卖出上千万美元的价值，造成上百亿美元的损失，但是我们的团队都选择将漏洞通过厂商的漏洞响应平台，或者通过与厂商共同参与破解比赛这样的形式，提交漏洞给厂商进行修复。这体现了360白帽黑客的职业操守，也充实了我们以“为爱守护”、“保护用户安全”为出发点的黑客精神。

Q：提起黑客，大众都很好奇你们是群什么样的人？

360Security战队：现在都戏说第一批90后已经开始秃了。但我们可能是从心理到生理都很“年轻”的一群人，平均28岁左右。在大众想象力，黑客的工作一定很酷，但那是来自好莱坞大片的影响。如果大众看到我们是一群每天对着电脑敲代码的人，一定会感觉很枯燥。可是，这就是我们热爱的事，并愿意为此付出大量时间和精力，喜欢挑战，愈战愈勇。如果非要吐槽一下这个群体的话，那就是女生太少了。