安全大牛TK教主专业发声力挺GeekPwn

  中国最大规模的国际智能设备挑战赛-GeekPwn已经正式结束,在2014年10月24和25日连续两天,GeekPwn展示了包括iOS8越狱首秀、70款主流智能手机一次性被攻破、特斯拉无人驾驶、攻破360安全路由器、攻破极路由、攻破360儿童卫士2、实现斯诺登的手机关机窃听行为等诸多精彩环节。

  中国最大规模的国际智能设备挑战赛-GeekPwn已经正式结束,在2014年10月24和25日连续两天,GeekPwn展示了包括iOS8越狱首秀、70款主流智能手机一次性被攻破、特斯拉无人驾驶、攻破360安全路由器、攻破极路由、攻破360儿童卫士2、实现斯诺登的手机关机窃听行为等诸多精彩环节。

  安全领域的知名白帽子TK教主发出一条微博,回应了外界对于GeekPwn的一些“质疑”。

  下为TK教主微博的全文。

  关于对 GeekPwn 的两点“质疑”

  2014年10月26日 13:23

  2014 年 10 月 25日,也就是 GeekPwn 的第二天,有媒体的朋友联系我,说有 GeekPwn 项目相关厂商找到他们,对以下两点提出质疑:

  1、宣布选手挑战成功,但又不说具体技术细节;

  2、“到现在”也没有将漏洞信息发给相关公司。

  这两点“质疑”乍一看非常有理,细一想十分荒谬。

  1、漏洞细节当然不能现在就公布。安全研究者和厂商们合作这么多年,形成“负责任的漏洞披露(Responsible Disclosure)”这一共识,其中第一原则就是不能在通知厂商前公开漏洞细节。其实,即使不知道这一共识,我相信任何厂商也绝不希望漏洞细节就这样被公开。所以,对这样奇怪的质疑,我觉得非常难以理解。

  2、GeekPwn 不光“到现在”都没有将漏洞信息发给相关公司,甚至还“到现在”都没给选手发奖呢。你们猜是为什么?因为“到现在”活动刚进行到一半。你大学二年级的时候会质疑为什么“到现在”学校都不发毕业证吗?

  因为这两点质疑实在太荒谬,所以我给那位媒体的朋友稍加解释,他就明白了。另外我还告诉他:为尽可能保证技术上的严谨,选手现场挑战成功后,GeekPwn 会安排专门的技术人员进一步向选手了解技术细节;并在所有项目结束后,组织评委团作最后评议;对确认是漏洞的项目,把内容整理好后,会陆续联系厂商,进行漏洞报告的流程。

  接下来说点别的。

  锤子科技的 Smartisan T1 是本次 GeekPwn 活动中被挑战的唯一手机产品,并且挑战成功,选手获得 6 万元奖金——那么多手机产品,为什么 GeekPwn 仅仅选择 Smartisan T1 呢?GeekPwn 的赞助商中,有华为、联想这两家国内的手机制造商——是不是 GeekPwn 收了赞助,所以为了抹黑锤子手机才这么干的呢?

  答案是:GeekPwn 项目中出现 Smartisan T1,只是因为选手报名时提交的就是这个。

  GeekPwn 从来没有要求选手必须挑战什么产品,所有产品都是参加活动的选手根据自己的研究,在报名时提交的。所以,GeekPwn 在收到选手的报名后,甚至因为一时买不到 Smartisan T1 而发愁。你们猜最后用于活动的 Smartisan T1 是从哪儿来的?

  GeekPwn 试着向锤子科技求助,而锤子科技非常慷慨大度地提供了两台 Smartisan T1。并在选手挑战成功后,公开表示了对 GeekPwn 的肯定:“感谢 GeekPwn 的活动,这对厂商改善安全方面的问题有很大帮助”。

特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

为您推荐

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

返回顶部