干货解读|关注“未来安全”的XPwn
作者:星期三, 四月 13, 20160

继GeekPwn和HackPwn之后,国内智能设备破解盛事又添新成员,XPwn。

640.webp (11)

与极棒和黑棒不同,前者的支撑者是腾讯,后者则由360主办,XPwn是安全焦点创始人呆神发起的,从创办者的角度来看,与前二者相比XPwn安全圈的性质更浓些。

呆神在昨日Xpwn的启动会上表示,XPwn将秉承极客“不受任何规则束缚创造力”的原则,在不定规则的大前提下,确定了:智能终端、智能穿戴、智能家居、智能交通、生活O2O和未来安全六个有关“智能生活”的方向。在这六个大方向中,呆神表示重中之重是“未来安全”,即此次XPwn的主题。

虽然没有比赛规则,但却有五大评分标准,分别是:突破、展现、修正、通用、创新。这五个评分标准恰恰反应了安全不断改进的过程。

1. 从基础的“突破”,即“Pwn”,是对一事物认识和理解到达一定程度后自然而然的状态 >>

2. 到“展现”即通过一些简单、直接(cū bào)的方式,show出一些很现实的东西,让每个人对安全都有切身体会 >>

3.“修正”是一个改进过程的开始,提出一个改进措施,解决一个安全问题,而不是单纯的说问题、“发牢骚” >>

4.“通用”则比起修正更深一层,通过问题的普遍性,找出通用性更强的解决方案 >>

5.“创新”是最深层次的东西,也是此次会议精神以及第一要务,创新才有未来。

以上5点的每一级都有相应的评审标准及对应的奖励。

640.webp (12)

王英建(呆神)

虽然是一场破解大会,但Pwn只是一个开始。在后续的漏洞披露方面,呆神表示将在XPwn会前直接联系厂商,通过相关的SRC,提交相关安全漏洞的报告并给出修复建议,但不会对外公开技术细节;如果实在无法和厂商取得直接联系,会考虑乌云、补天等第三方漏洞报送平台,而这部分合作也还在商谈中。

在漏洞披露方面,各家都有各家的态度。乌云坚持在一定时间后披露细节,以期监督督促厂商在合理的时间内对问题产品进行版本更新,并与唐朝安全巡航联动,为企业提供风险评估服务;补天则通过私有SRC模式、补天众测,为厂商提供相对完整的漏洞解决方案,通过知产归厂商,保护厂商和白帽间的信任关系。

大家都在成长的阶段,问题肯定会有,我们更看重的是如何解决问题以及解决过程中的态度,但也不想看到客户因为厂商的不负责任的解决而利益受到损害。

在奖金设置方面,总数将达500万人民币以上。其目的不在于通过高额奖金来抢白帽手里的漏洞,而是对破解者的一种态度和回报。另外,XPwn计划8月底与 XCon 2016 十五周年庆典联合举办。

干货介绍完,小编分析(bā guà)一下各大Pwn的名字:

GeekPwn是指极客,泛指一切技术宅;
HackPwn直白通俗,就是黑客破解;
X代表未知、未来,XPwn可以看作对未知的破解和对未来的向往。

最后用启动会上的一句话结束本文:

面对未知,我们用好奇代替恐惧!

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章