在IT安全領(lǐng)域，沒(méi)有比Pwn2Own更為著名的計(jì)算機(jī)黑客大賽了。

該競(jìng)賽成立于2007年，由趨勢(shì)科技的零時(shí)差計(jì)劃(ZDI)組織，通過(guò)吸引全球頂尖的信息安全人才并支付了一些業(yè)內(nèi)最大的現(xiàn)金獎(jiǎng)勵(lì)，多年來(lái)贏得了聲譽(yù)。

擁有12年歷史的Pwn2Own是您想要為自己取名并用自己的黑客技巧打動(dòng)其他Infosec從業(yè)人員的地方。

過(guò)去的贏家是當(dāng)今信息安全領(lǐng)域中最重要的人物，曾在一些世界上最大的公司的安全團(tuán)隊(duì)中工作。

按照目前的格式，Pwn2Own每年進(jìn)行兩次。第一個(gè)是在溫哥華舉行的春季版，安全研究人員可以隨意破解臺(tái)式機(jī)，服務(wù)器應(yīng)用程序和操作系統(tǒng)。第二次是在每年秋天的東京舉行，這一版的重點(diǎn)是手機(jī)和智能設(shè)備。

在過(guò)去的一年中，一支球隊(duì)主導(dǎo)了Pwn2Own比賽，并連續(xù)三場(chǎng)奪冠。

氟乙酸酯團(tuán)隊(duì)-由Amat Cama和Richard Zhu組成-贏得了Pwn2Own 2018秋季版，Pwn2Own 2019春季版和最近結(jié)束的Pwn2Own 2019秋季版。

自上個(gè)月比賽結(jié)束以來(lái)，ZDNet坐下來(lái)采訪了團(tuán)隊(duì)中的一名成員，以了解達(dá)到其職業(yè)生涯頂峰所需的條件以及Pwn2Own比賽在舞臺(tái)上時(shí)的不安。

ZDNet： 您能向我們的讀者介紹自己?jiǎn)?

Amat Cama： 我叫Amat Cama。我是塞內(nèi)加爾的一名獨(dú)立安全研究人員，我從2016年開(kāi)始進(jìn)行研究。我在安全方面的真正起點(diǎn)是通過(guò)CTF [ Capture the Flag錦標(biāo)賽 ]，該比賽于2012年向我介紹。在安全研究之外，我還喜歡拳擊，沖浪，航空，攀巖和視頻游戲。

ZDNet： 連續(xù)三屆贏得Pwn2Own會(huì)算是您作為安全研究員的職業(yè)生涯的頂峰，還是您還有其他更大的目標(biāo)?

Amat Cama： 連續(xù)三次贏得Pwn2Own絕對(duì)是我引以為傲的事情。在某個(gè)時(shí)間點(diǎn)上，我認(rèn)為即使只參加一次比賽也是一個(gè)遙不可及的目標(biāo)，因此連續(xù)三屆贏得比賽非常令人滿足。但是，我不會(huì)將其稱為安全研究人員職業(yè)生涯的頂峰。在這個(gè)領(lǐng)域，總會(huì)有更多，其他或更好的事情可以做。

ZDNet： 哪個(gè)更難?側(cè)重于臺(tái)式機(jī)和VM的Pwn2Own春季版，還是側(cè)重于IoT和移動(dòng)設(shè)備的秋季版?

Amat Cama： 在我看來(lái)，春季版更具挑戰(zhàn)性，因?yàn)槟抢锏哪繕?biāo)在安全界更受歡迎，因此受到了其他研究人員的更多審查。

ZDNet： 在您運(yùn)行漏洞利用代碼之前，當(dāng)您處于Pwn2Own階段時(shí)感覺(jué)如何?是令人不安的困擾，還是到那時(shí)，您知道漏洞利用代碼應(yīng)在100%的情況下按需運(yùn)行，這只是例行程序?

阿瑪特·卡瑪(Amat Cama)： 通常要視情況而定。大多數(shù)時(shí)候，我們已經(jīng)進(jìn)行了足夠的測(cè)試，以至于我們認(rèn)為該漏洞可能在第一次嘗試時(shí)就可以起作用。但是，由于漏洞的性質(zhì)和適當(dāng)?shù)木徑獯胧?，有時(shí)很難保證漏洞利用的高成功率。在這種情況下，事情可能會(huì)讓人不知所措。

ZDNet： 在您的最后三場(chǎng)勝利之后，infosec社區(qū)中的人現(xiàn)在是否會(huì)更頻繁地認(rèn)識(shí)您?勝利改變了您的信息安全生活嗎?您的日常生活如何?

Amat Cama： Pwn2Own的勝利肯定會(huì)“把你吸引到地圖上”，而增強(qiáng)的知名度則帶來(lái)了更多的機(jī)會(huì)。也很高興看到這些勝利激發(fā)了其他研究人員和黑客繼續(xù)推動(dòng)自己的工作并提高他們的技能。在這方面，它肯定改變了我的信息安全生活。對(duì)于我的日常生活，我認(rèn)為勝利并沒(méi)有改變?nèi)魏问虑椤?/p>

ZDNet： 現(xiàn)在贏得第四屆比賽是否有壓力?還是您從未將Pwn2Own視為目標(biāo)，而是更多的業(yè)余愛(ài)好?

艾瑪特·卡瑪(Amat Cama)： 勝利總是很不錯(cuò)的，但是我不會(huì)說(shuō)贏得第四場(chǎng)比賽有任何壓力。對(duì)我來(lái)說(shuō)，Pwn2Own的經(jīng)驗(yàn)一直是面臨一個(gè)明確定義的挑戰(zhàn)，我可以推動(dòng)自己去實(shí)現(xiàn)。

ZDNet： 現(xiàn)在許多安全研究人員正在尋找您。您是否對(duì)研究人員和筆測(cè)試人員有任何疑問(wèn)?最常見(jiàn)的是什么?

Amat Cama： 是的。人們最感興趣的最常見(jiàn)問(wèn)題是：“您花了多長(zhǎng)時(shí)間?”

ZDNet： 供應(yīng)商代表經(jīng)常參加Pwn2Own黑客大賽，當(dāng)您入侵他們的應(yīng)用程序/設(shè)備時(shí)，他們會(huì)如何反應(yīng)?

艾瑪特·卡瑪(Amat Cama)： 他們的反應(yīng)通常很好，但有時(shí)有些人對(duì)此不太滿意或不配合。但是，ZDI始終可以處理這些問(wèn)題。

ZDNet： 將來(lái)您想在Pwn2Own的目標(biāo)列表上看到任何設(shè)備/系統(tǒng)嗎?

艾瑪特·卡瑪(Amat Cama)： 一架飛機(jī)-只是因?yàn)槲蚁腴_(kāi)槍攻擊它。那實(shí)在是太酷了!

ZDNet： 您會(huì)以自己的技能擔(dān)心黑客嗎?

艾瑪特·卡瑪(Amat Cama)： 我已經(jīng)很害怕他們，因?yàn)槟抢镉性S多黑客比我擁有更多的技能。我不認(rèn)為可以實(shí)現(xiàn)完美的安全性，因?yàn)闄C(jī)器將始終以某種方式運(yùn)行代碼。而且，人類將是制造，編程和操作這些機(jī)器的人，我們已經(jīng)知道這意味著什么：過(guò)程中可能會(huì)出現(xiàn)缺陷。

ZDNet：現(xiàn)在您已經(jīng)贏得了任何招募人員的稱贊，您夢(mèng)想中的infosec工作是什么?或者您想從事/從事的項(xiàng)目/組織是什么?

Amat Cama：有很多團(tuán)隊(duì)很榮幸能參與其中，但我認(rèn)為最終我希望擁有自己的組織并為自己工作。