一晃就到新的一年啦,年终岁尾的,许多公司会在这个节骨眼上筹备办年会。
年会上除了抽奖、吃饭、演节目外,一些公司还会借此机会给业绩好的员工发一些最佳贡献,优秀员工之类的奖。
很多行业为了鼓励大家上进,也都有这种一年一度的评奖,比如电影界的奥斯卡奖,音乐界的格莱美奖,新闻界的普利策奖等等。
其实黑客界也有一个类似的评奖,世超今天要说的就是黑客界的普尼奖 [ 音译 ] ( Pwnie Awards ) 。
但把普尼奖定位在黑客界还有点狭义,准确的说普尼奖评选范围是在整个信息安全领域。
说起这个普尼奖( Pwnie Awards ),这个奖项命名还挺有梗。
Pwnie 来源于 pwn 这个词,在黑客的俚语中 pwn 发音听起来像 own,有获得他人计算机控制管理权的意思。
而 Pwnie 的发音又和 Pony 相似,Pony 有小马的意思,所以普尼奖的的官网首页有一个小马 logo。
Pony 又和 Tony 的发音相似,而 Tony Awards 是非常出名的百老汇剧院奖。快读起来还有点碰瓷百老汇的意思。
普尼奖创立的时间不长,毕竟网络出现也才 50 多年,第一界普尼奖创办于 2007 年,距离现在也仅有 13 年的历史。
虽然时间短,但普尼奖的含金量可不低,每年的美国黑帽大会上,颁发普尼奖已经成为了压轴项目。
作为网络信息安全领域的顶级盛会,黑帽大会每年都会有一群技术大牛前来参会,能够在会上获得普尼奖是每个黑客的无上荣耀。
不过这个盛会可能没有你想象的那么华丽。。。
受极客文化的熏陶,黑帽大会不用盛装出席,穿着很随意,T 恤衬衫是主流穿搭。你甚至可以在演讲的时候喝香槟。
还有些酷盖会在室内戴上墨镜,增强自己的黑客属性。
普尼奖的获奖者由安全行业专业委员会从信息安全社区收集的提名中选出。
每年普尼奖的奖项不固定,最少的时候只有 7 个奖,最多的时候翻一倍,有 14 个。
2020 年最新一届的普尼奖有 10 个奖项,官网已经公示了 9 个,还有一个没公布估计是在评选中。
无论奖项多少,最佳服务端 bug 和最佳客户端 bug 从来没有缺席。听上去最佳 xxx bug 好像有点矛盾,bug 还能最佳?
其实这类最佳 bug 的奖项是为了奖励找到复杂 bug 的黑客们,获奖对象的名称只是对应了 bug 或者项目名称。
所以和其他奖项相比,普尼奖的获奖名单有点怪怪的,因为普尼奖的奖项名称有很多行业术语,没有点网络安全知识的人还真不一定能看懂。
虽然这些奖项的解释晦涩难懂,实际上有很多榜上有名的 bug 都曾经出现在我们身边。
比如这个 2019 最佳客户端 bug 就发生在苹果的 FaceTime 软件。2019 年初的时候,一个 14 岁的小男孩在和自己的朋友聊天时,意外的发现了这个 bug。
这个 bug 可以让你用 FaceTime 打电话给对方时,在他接受或拒绝来电之前,听到他们手机里的声音。
有了这个 bug 你可以在他们不知情的情况下,利用 FaceTime 监听任何 iOS 用户,尽管苹果在后来的版本升级中修复了这个 bug,但这个 bug 杀伤力实在是太高了。
FaceTime 背上了这个年度最佳也算实至名归。
最后发现这个 bug 被格兰特 · 汤普森和达文 · 莫里斯( Grant Thompson & Daven Morris )也成为了最佳客户端 bug 的获奖者。
哦,忘记说了,那个 14 岁的小男孩就叫格兰特 · 汤普森,那么谁是达文 · 莫里斯呢?我猜是他的朋友吧。
不过拿到普尼奖不一定都是好事,有些普尼奖就是为了嘲讽设立的,拿了还不如不拿。
比如 2020 年的史诗级失败奖颁给了微软,2016 年最失败厂商奖颁给了西部数据。。。。
当时西部数据的移动硬盘驱动器发生了很严重的 bug,按理说这时候西数应该啪的一下跳出来及时发布安全修复补丁。
但西数却不痛不痒,说了一句将继续评估观察,把用户的数据安全置身事外。
移动硬盘这东西在如今比内裤都隐私,因移动硬盘泄密的事情不胜枚举,西数自己造的 bug 还不及时修复,那这个最失败厂商就非你莫属了。
普尼奖代表着黑客老哥们对技术的崇拜也充斥着他们对现实的批判,在普尼奖里还能找到年度最乌龙 bug,其中 2019 年的最大乌龙 bug 就和中国有关。
当时,彭博社出了一份报道称,美国一家为企业提供 IT 和云计算等服务的 SuperMicro 公司,销售的服务器被中国大陆的生产厂植入了微型芯片。这块微型芯片可以通过网络来入侵任意一台计算机。
作为 SuperMicro 客户的苹果和亚马逊等主要客户都坚决否认这篇报道的内容。
组委会最后把这件事认定为年度乌龙,也对这件事情做出了评价:纯属扯淡!
从这项奖颁给了彭博社的乔丹 · 罗伯逊和迈克尔 · 莱利( Jordan Robertson and Michael Riley of Bloomberg )就能看出这个 bug 不像是技术问题,更像是谣言。
当然,中国也不是只靠着这些奖项榜上有名,一些国内的厂商还是凭着真本事征服了老外。
360 VulcanTeam 的招啟汛获得了 2019 年度最佳提权漏洞奖,成为中国历史首个 The Pwnie Awards 大奖得主。
腾讯安全联合实验室旗下科恩实验室也曾多次获得普尼奖的提名,而且还在会上做过报告。
从后门到 bug,看上去普尼奖的奖项都是围绕着技术设立的,其实普尼奖里还有一个完全和技术不沾边的最佳歌曲奖。
诶,什么?黑客的奖项居然有最佳歌曲奖?是不是搞错了?我没写错你也没看错,最佳歌曲确实是普尼奖的一部分,而且黑客老哥们还非常钟爱这个奖项。
如果说最失败厂商奖是对技术的批判,那在最佳歌曲奖就是黑客老哥们内心深处的浪漫。
普尼最佳歌曲奖可以是原创也可以是翻唱,但歌词大多是和网络、漏洞相关,总之黑客们的最佳歌曲当然是标榜黑客啦。
2014 年的最佳歌曲奖.mp3来自差评00:0000:33
还有这种翻拍原版 MV 的大制作,曼努埃尔 · 韦伯和丹尼尔 · 格鲁斯( Manuel Weber & Daniel Gruss )凭借一首翻唱阿黛尔的 hello 夺得 2017 年的最佳歌曲奖。
别说,跟原唱还有那么点神似。
程序员是女装大佬的传闻坐实了。
当然最佳歌曲奖还有现场版,2016 年的最佳歌曲就颁给了 2015 年新西兰黑客大会的开场曲目。
你可能想不到,唱唱跳跳还钻圈的会是一群黑客。
截至目前,2020 年唯一个没有公示的普尼奖就是最佳歌曲。估计是黑客老哥们竞争太激烈,还需要一段时间才能有结果吧。
普尼奖有对业界领军人物的肯定,也有娱乐大众的精神。这样一看,普尼奖组委会考虑的还挺全面。
和其他奖项一样,普尼奖的设置是为了鼓励为行业做出突出贡献的技术大佬们。每年选出的不同 bug 也在见证着网络的发展进程和技术革新。
对于从事与网络信息安全领域的从业者来说,每年一次的普尼奖评选更像是黑客界戒尺,给网络人一个交流技术的平台,同时也在鞭策在网络领域厂商要更加重视信息安全。
