跟踪黑客大赛 了解最新安全漏洞

　　在一些大型黑客安全大会上，常常会举办一些入侵大赛，旨在发现一些系统和软件存在的漏洞，以更好的防护企业网络安全。

　　入侵大赛的形式非常简单，首先比赛组织者提供一些运行主流操作系统的计算机。参赛者被指定完成一些入侵任务，例如在受攻击计算机上安装一个软件等。

　　在比赛之初，攻击者不具有该计算机上的任何权限，他们不得不通过网络工具和默认应用及服务来攻击这些计算机。如果这些计算机坚持过第一轮还未被攻破，将会去除一些对参赛者的限制，然后继续进行比赛，如此循环直到有人入侵成功。

　　如果赞助商允许的话，攻击者一般会公布入侵过程，安全研究者则会对这些结果进行研究，而安全厂商通常也会跟踪关注这类入侵比赛，以验证和确认自己的产品是否存在安全漏洞，对针对自己产品的漏洞及时进行修复。

　　不过，这些比赛也存在一些问题。攻击者更倾向于尝试入侵他们所熟悉、最容易攻破的计算机。例如在2008年3月的PWN2OWN黑客大赛中，比赛组织者悬赏10000美元来让参赛者入侵三台计算机。获胜者入侵了一台新苹果MacBookAIR笔记本，而没有去尝试攻击安装Windows和Linux的计算机。攻击者利用的是一个简单的浏览器漏洞，为了让苹果公司有足够的时间来修复该漏洞，该安全组织并没有公布该漏洞的详细信息。

　　奖励安全研究人员

　　运行零日项目(ZeroDayInitiative)的安全顾问公司TippingPoint通过奖励安全研究人员的方式，来防止重大的安全缺陷流入黑帽黑客社区。

　　安全研究人员提交的安全漏洞越多，就会获得越多的积分奖励，积分越多意味着可以获得越多的现金奖励，以及更多参加黑客大赛、黑客大会的机会。

　　对安全研究人员发现自己产品漏洞进行奖励，并非只有TippingPoint一家机构。据传多数操作系统厂商都会对自己系统的未公开安全缺陷进行奖励。

　　厂商之所以愿意花钱来购买这些安全研究成果，目的是能够提前修复这些安全漏洞，以免零日恶意软件利用它们来入侵自己的产品系统。

　　为避免安全缺陷被恶意分子利用，它们需要被提前发现和修复。如果没有白帽黑客的存在，黑帽黑客将更加肆无忌惮地通过多种方式来入侵我们的计算机。