比賽流程
xp挑戰平台比賽的主辦方合天智匯制定的大賽流程是,在2014年3月26日-4月3日24:00接受報名, 4月5日上午8:00正式開始挑戰,當天20:00挑戰結束,4月8日公布挑戰賽戰果。為了吸引全球頂級黑客參加比賽,合天智匯在“XP挑戰平台”設立了總計38萬元的豐厚獎金,最快攻破任意一款XP防護產品的前10名挑戰者,均可獲得3千元到5萬元不等的獎金。最快攻破所有三款防護產品,還可額外獲得5萬元“全壘打”特別獎。挑戰者理論上最多可獲20萬元獎金,這也是國內迄今獎金最高的網路競技項目。點評
微軟公司正式宣布WindowsXP退休後,一場“XP挑戰賽”在網際網路安全行業掀起軒然大波。據了解,在此之前,國內網際網路公司紛紛推出XP用戶專業版,以保護XP用戶的網路安全。2014年4月5日,國內第三方機構合天智匯邀請200名黑客高手,對國內三家企業推出的XP保護系統進行攻擊、測試,即"XP挑戰賽"。
然而,對此次“XP挑戰賽”的主辦方資質、比賽機制的合法性及比賽結果的公正性等問題,不少業界專家提出了質疑。
安全專家、KEENTeam團隊成員谷明對“安全測試”相關情況進行了介紹。谷明表示,國際通行安全測試是通過模擬惡意黑客的攻擊方法,以此評估計算機網路系統安全的一種評估。而安全測試的合法前提是和廠商合作。
在法律方面,中國政法大學教授、法學專家於志剛也表示,”XP挑戰賽“主辦方卻在未獲得授權的前提下,單方面對比賽結果進行公布並傳播,這種行為本身就構成侵權。
國內首個網路攻防大賽“XP挑戰賽”鳴鑼開戰。360安全衛士XP盾甲、金山毒霸XP防護盾和騰訊電腦管家XP專屬版本將面對全球200多名黑客的挑戰。
有關報導
由於微軟於2014年4月8日停止對XP系統的技術支持此次XP挑戰賽基於Windows XP無補丁環境進行,模擬微軟停止支持後漏洞百出的XP系統。黑客挑戰者可以利用漏洞對XP系統進行入侵攻擊,盜取電腦內的doc文檔。2014年4月5日,一個名不見經傳的合天智匯公司發起了名為“XP挑戰平台”的網路攻擊賽,針對360、騰訊、金山三大主流安全廠商上線的XP防護專版產品,然而這個測試卻遭到業內人士的普遍質疑。
在微博中也發現,很多白帽子發微博抱怨,該“XP挑戰平台”根本無法註冊,填完註冊信息提交時頻繁提示“伺服器異常,請稍後重試”,此情況引起了不少參賽人士不滿,這是技術問題還是人為限制參與者也成為一個疑點。
當天下午,“被參與者”騰訊電腦管家也通過官方微博對此進行了回應,對比賽公正性提出質疑,稱“沒有被任何機構邀請參加比賽,對比賽的客觀公正性提出了質疑”。其微博原文如下:“騰訊電腦管家安全可靠,能夠抵禦病毒和木馬侵襲,在漏洞防護上功能上業內領先。此前微軟更是選擇騰訊電腦管家作為首個合作的XP系統防護產品,在相關XP防護的專業測試中,騰訊電腦管家實力最好,100%防護。大家可以放心使用!”
與此同時,另外一個XP漏洞防護評測成績也於當天被媒體曝光,與XP挑戰賽所公布的“電腦管家1分鐘被攻破”的結果大相逕庭。報導稱,在模擬用戶真實使用環境下針對典型的10個漏洞測試結果, 騰訊電腦管家全部攔截,成功率100%完勝,金山90%位列第二。值得一提的是,在XP挑戰賽中聲稱無人能破的360軟體,在此評測中成績僅50%。
對此,有業內人士一語道破:“XP挑戰平台”更像是一個有預謀的公關事件,比賽結果先於比賽開始之前就曝光,參賽者無法註冊,挑戰環境與真實環境差別也較大,此賽事就像一場鬧劇,漏洞百出。尤其值得一提的是,360作為參賽者之一,其參與比賽的XP防護盾甲產品與推送給用戶的版本完全不同;通俗地說,360針對本次比賽做了一個用戶根本無法使用的特別版本,而這個版本的沙箱開啟狀態下,因為很多調用都被禁止了,會導致用戶電腦系統崩潰和許多常用程式無法使用。就好比一家正常營業的銀行和一家大門緊閉的銀行,後者擋住了小偷也擋住了有業務需求的顧客,兩種狀態是不可比的。
