趨勢科技 ZDI 計畫揭露並收購零時差漏洞，緩解不肖駭客攻擊危機

annan5168

網路資安廠商趨勢科技公布Zero Day Initiative (ZDI) 漏洞懸賞計畫的秋季Pwn2Own 駭客大賽優勝者。整場活動總共頒發高達 989,750美元的獎金，收購了63個非重複零時差漏洞。趨勢科技估計，這些漏洞若被不肖駭客開發成武器，其造成的損失可能為世界帶來10倍的衝擊。

根據民調機構 Gallup (蓋洛普) 估計，目前美國約有80%的員工有部分或全部時間在家上班。然而，在這樣的情況之下，萬一家中的路由器、智慧喇叭、印表機、網路儲存裝置 (NAS) 等裝置沒有做好安全防護措施，很可能會擴大企業的受攻擊面。今年發生好幾起Deadbolt勒索病毒入侵全球NAS裝置事件即突顯企業正面臨的潛在風險。此外，駭客還可透過已駭入的小型/家庭辦公室 (SOHO) 連網裝置作為跳板，進而找到一個連上企業資源的裝置。

這正是為何今年秋季 Pwn2Own 駭客大賽會特別設計了一個名為「SOHO Smashup」的類別，考驗駭客入侵Wi-Fi路由器與連網裝置的能力。只要參賽者能在 30 分鐘內同時取得兩種裝置的完整控制權，就能贏得10萬美元與10點駭客大師 (Master of Pwn) 點數。

今年的Pwn2Own已在趨勢科技加拿大多倫多辦公室順利落幕， 本屆拿下駭客大師 (Master of Pwn) 最高榮耀的隊伍是DEVCORE，成績為 18.5分，共獲得142,500 美元的獎金。