自從XP停止維護後,對於XP安全應該如何去防護的話題就從未停止過。事實證明XP停止維護後,雖然並沒有傳聞中那么危險,“10分鐘就會中毒”,不過中毒的幾率的確是比平時上升了很多倍,這就意味著電腦不能再向以前一樣可以不安裝安全防護軟體。不過面對市場上如此多的安全防護軟體,選哪個又是一個疑問,所以xp挑戰賽應運而生。
基本介紹
- 中文名:xp挑戰賽
- 測試產品:windows xp
國內背景,比賽流程,點評,有關報導,相關組織,結果,
國內背景
我國網路安全人才外流嚴重。網路安全業界流傳著一張由知道創宇公司繪製的中國安全人才遷徙路線圖。遷徙圖顯示,我國網路安全人才由早期網路安全企業流向國外網路安全公司和其他網際網路公司等,部分頂尖人才選擇到美國發展。
另一方面,國內高校人才培養供不應求。多位來自高校的網路安全專家反映,國內信息安全專業人才供給遠不能滿足社會需求。據教育部高等學校信息安全專業教學指導委員會秘書長封化民介紹,我國高校開始設定信息安全本科專業。2013年11月,在工信部和教育部聯合指導下,我國信息安全人才普查啟動,結果顯示,全國已有80餘所高校開設了信息安全本科專業,每年全國能夠培養的信息安全專業人才約有1萬人,人才供需缺口巨大。人才問題已經成為嚴重製約網路信息安全產業發展的瓶頸。
比賽流程
xp挑戰平台比賽的主辦方合天智匯制定的大賽流程是,在2014年3月26日-4月3日24:00接受報名, 4月5日上午8:00正式開始挑戰,當天20:00挑戰結束,4月8日公布挑戰賽戰果。為了吸引一些黑客參加比賽,“XP挑戰平台”設立了總計38萬元的獎金,最快攻破任意一款XP防護產品的前10名挑戰者,均可獲得3千元到5萬元不等的獎金。最快攻破所有三款防護產品,還可額外獲得5萬元“全壘打”特別獎。挑戰者理論上最多可獲20萬元獎金,這也是國內有獎金的網路競技項目。
點評
微軟公司正式宣布WindowsXP退休後,一場“XP挑戰賽”在網際網路安全行業掀起軒然大波。
據了解,在此之前,國內網際網路公司紛紛推出XP用戶專業版,以保護XP用戶的網路安全。2014年4月5日,國內第三方機構合天智匯邀請一些黑客,對國內三家企業推出的XP保護系統進行攻擊、測試,即所謂"XP挑戰賽"。
然而,對此次“XP挑戰賽”的主辦方資質、比賽機制的合法性及比賽結果的公正性等問題,不少業界專家提出了質疑。
安全專家谷明對“安全測試”相關情況進行了介紹。谷明表示,國際通行安全測試是通過模擬惡意黑客的攻擊方法,以此評估計算機網路系統安全的一種評估。而安全測試的合法前提是和廠商合作。
有關報導
由於微軟於2014年4月8日停止對XP系統的技術支持此次XP挑戰賽基於Windows XP無補丁環境進行,模擬微軟停止支持後漏洞百出的XP系統。黑客挑戰者可以利用漏洞對XP系統進行入侵攻擊,盜取電腦內的檔案。
2014年4月5日,一個名不見經傳的合天智匯公司發起了名為“XP挑戰平台”的網路攻擊賽,針對360、騰訊、金山三大主流安全廠商上線的XP防護專版產品,然而這個測試卻遭到業內人士的普遍質疑。
在微博中也發現,很多白帽子發微博抱怨,該“XP挑戰平台”根本無法註冊,填完註冊信息提交時頻繁提示“伺服器異常,請稍後重試”,此情況引起了不少參賽人士不滿,這是技術問題還是人為限制參與者也成為一個疑點。
當天下午,“被參與者”騰訊電腦管家也通過官方微博對此進行了回應,對比賽公正性提出質疑,稱“沒有被任何機構邀請參加比賽,對比賽的客觀公正性提出了質疑”。
對此,有業內人士一語道破:“XP挑戰平台”更像是一個有預謀的公關事件,比賽結果先於比賽開始之前就曝光,參賽者無法註冊,挑戰環境與真實環境差別也較大,此賽事就像一場鬧劇,漏洞百出。尤其值得一提的是,360作為參賽者之一,其參與比賽的XP防護盾甲產品與推送給用戶的版本完全不同;通俗地說,360針對本次比賽做了一個用戶根本無法使用的特別版本,而這個版本的沙箱開啟狀態下,因為很多調用都被禁止了,會導致用戶電腦系統崩潰和許多常用程式無法使用。就好比一家正常營業的銀行和一家大門緊閉的銀行,後者擋住了小偷也擋住了有業務需求的顧客,兩種狀態是不可比的。
相關組織
此次XP挑戰賽由競評演練工作組主辦,賽事組織機構包括競演辦、技術委員會、監督委員會、用戶觀察團,以及核心技術運作團隊。其中,監督委員會主要由行業代表、業內第三方專家、參賽企業代表、賽事組織人員等組成,實現對整個比賽過程的監督,統一媒體宣傳策略等,以避免出現刻意的違規作弊或其他有違根本原則的行為。技術委員會成員主要由業內第三方技術專家、參賽企業代表、賽事組織人員等組成,主要指導比賽的所有技術環節,包括比賽流程、相關技術方案、靶標選擇等。用戶觀察團由國內重要信息系統用戶、普通個體用戶自願申請加入,能夠觀戰挑戰賽的全過程,但不能幹涉挑戰賽。核心技術運作團隊由挑戰平台建設團隊組成,主要負責XP挑戰賽的靶場建設運行、具體賽事運作、相關數據分析、攻擊方法提取、信息通報宣傳等。
結果
從2014年5日8時至21時,有數百名安全技術高手發起進攻,騰訊、金山和360三家公司的XP防護安全軟體同時接受“實彈”檢驗,最終360堅守成功。