本报记者 范凌志

16日加拿大温哥华举行的有着“黑客奥运会”之称的Pwn2Own2017世界黑客大赛上，360安全战队仅用时3秒就攻破著名阅读软件AdobeReader的防护，成为本届赛事首支冠军团队。这条新闻让很多人对网络安全充满忧虑：我们常用的电脑软件当真如此不安全吗？这些黑客大赛的网络攻击技术会扩散出去吗？

360安全战队负责人郑文彬16日在接受《环球时报》记者采访时表示，Pwn2Own由民间企业主办，目的是发现流行软件和系统中的漏洞，从而推动这些厂商提升产品安全性。“攻破AdobeReader”的题目于今年1月公布在比赛主办方官网上。

郑文彬表示，Pwn2Own挑战项目大致分为五类，分别是通过浏览器和Flash插件进行攻击、虚拟机逃逸、操作系统提权、企业应用程序以及Apache服务器。他以AdobeReader为例解释说，正常情况下，电脑里常见的PDF、DOC、XLS、PPT等文件都是安全无害的。但黑客能利用软件漏洞，精心构造一个携带攻击代码的文件。一旦用户打开这个文件，黑客就能趁机控制电脑，比如下载运行病毒、打开摄像头偷窥、监控键盘输入等。在比赛中，参赛者将制作一个带有攻击代码的PDF文件。当使用AdobeReader软件打开这个文件时，如果电脑自动弹出记事本程序，代表黑客已经突破软件的防御系统。

郑文彬介绍说，当前网络攻击的主流方式有多种，例如将木马伪装为各种网络资源，诱骗用户主动下载运行，或者利用浏览器和Flash插件已经公开的漏洞攻击未打补丁的用户等。近年来，随着各大操作系统和基础软件的安全性提升，漏洞利用的难度逐渐变大。那些可以利用的0day漏洞（指已被发现、可能没有公开，且官方还没发布相关补丁的漏洞）在网络黑市上价值不菲。因此对普通用户来说，遇到0day漏洞攻击的概率反而越来越小。

但在APT攻击（高级持续性威胁）中，例如政府、机构、基础设施或大型企业等高价值目标遭遇的黑客攻击手段中，0day漏洞利用是非常普遍的。Pwn2Own参赛者使用的攻击手段，与APT攻击类似，都是使用厂商还没有发现和修复的0day漏洞作为攻击武器。360安全防护专家告诉记者，360的参赛队伍被称为“白帽子军团”，所谓“白帽子”就是扮演“黑客”的技术人员，通过模拟黑客的攻击行为，把产品漏洞细节和攻击代码现场提交给相关厂商，同时也在攻防演练中提升自身产品的防护技术。▲