最近在互联网安全领域争议最大,最热门的事件当属“xp挑战赛”,主办方资质遭质疑、比赛涉嫌违规、比赛结果存在黑箱,各种质疑声音让大家渐渐了解了事情的真相。偶然间从一知名论坛中发现一个有关XP比赛的文章,一位黑客对xp挑战赛表达了自己的看法,并对传闻中无人能破的360盾甲进行了攻破,表示不到10秒钟就轻松攻破,且记录了攻破全过程和视频。
(以下为黑客发表全文)
出于对一个免费服务大部分国人13年之久系统的尊重,没有去参加此次“合天智汇”这家莫名其妙也毫无资质背景机构搞出来的“XP挑战赛”, 如果这样的比赛有意义,那么av-test、av-comparatives、vb-100这样诸多有背景和历史的机构为何不来做它一做?国外也有Pwn2Own这样类型的比赛?
疑点多到让人“承受不来”…
1、主办方资质可疑;
合天智汇去年9月注册,今年1月备案,没有任何资质和背景,举办这样的活动权威性可想而知。抛开这个,主办方连最基本的公证处工作人员都没有邀请?没有实时公证这样的比赛可行度有多高?
2、奇葩的比赛成绩;
在公布的成绩中, 360惊为天人没有一次被攻破,而主办方却至今也没有给出360、金山、腾讯三家企业的比赛过程材料。从业内人士得来消息,其实在AV-C、AV-test、VB100各项评测中360曾经多次垫底(黑客界最好过的杀软)
3、哪里来的媒体关注度?
一家毫无背景资质的公司,却引发了大量媒体的关注,没有权威、没有此类活动历史背景,媒体却拿着比赛数据四处背书报道和发布,这种没有任何权威的结果之所以会被媒体采用,这背后一定有大公司在操纵。
对于比赛的疑点,有很多媒体已经报到过,在此不必多说。
实测破360XP盾甲,“5秒”就搞定
处于对XP系统的尊重,没有去参加挑战赛,一直在想一个问题,是不是没有参加的原因之一是中国稍微有点资格的黑客都对这个活动嗤之以鼻,还是大家都看懂了?于是花了一个上厕所的时间来对360XP盾甲进行了全面防护测试,
XP历史上的漏洞有很多,随便选了一个2012年被曝光的Office Word漏洞(word 2003和2007版本都存在此漏洞)进行攻击测试。这个漏洞当时影响面很广,过了2年时间了,本以为360能够防住,没想到很容易的就被攻破了。(开诚布公,不妨公布下漏洞编号:CVE-2012-0158,省得数字到处乱喷。)
我构造了一个内含一些“非正常”代码的word文档,可以通过利用office word 2007的漏洞,在网民打开此文档时,执行远程代码,下载任意程序。注意,是任意程序,包括病毒等等你能想到和想不到的程序,做所有你能想到和想不到的事情,包括上传网民隐私、盗取网民文档、远程监控、运行网购木马、盗号木马等等。
为了方便演示,我将这个程序改成了一个计算器。这里说明下“比赛”规则。
如果该“病毒”计算器成功下载和运行,那么,代表当前用户的电脑被攻击成功,用户电脑被病毒感染,杀毒软件防护失败;否则,代表杀毒软件拦截成功。
好了,360,我来了。
第一步:首先前往360官网下载最新版360安全卫士,安装并运行
第二步:360XP盾甲2.0是最新版本,检查XP盾甲功能全开,如系统加固引擎、程序加固引擎、补天热补丁、关键程序隔离引擎!
第三步:一并检查安全防护是否功能全开,包括浏览器防护,系统防护,入口防护,隔离防护。程序加固引擎中的word加固防护也已打开。
第四步:360安全卫士,XP盾甲所有功能全开,现在打开Word触发漏洞测试样本WORDPoc文档
第五步:计算器成功下载并运行。360XP盾甲被攻破!360无任何提示!
抛开介绍和其它废操作,360安全卫士在XP盾甲、安全防护中心等所有功能全开的情况下,仅需5秒即被攻破缴械认耸,这样Low的表现和XP挑战赛上的神勇反差很明显。
而且这可是一个2012年的老漏洞,这样的已知漏洞360都无法防御,何谈未知漏洞的防御?,今天的测试我仅仅用的是一个“计算器的非恶意程序”如果这是一个病毒或者木马,后果我不多说。
回想前两天卡饭有一个小伙伴也曾经直接爆了360,我弱弱的问一句,360这满分的成绩是因为我没参加,还是我没参加,还是我没参加!?
当然,相信数字看到这篇文章也能亡羊补牢,所以下面的测试我录了视频。