图1 : Raspberry Pi Pico 2板卡与板卡上的主控晶片RP2350（图片来源：树莓派）

Raspberry Pi Pico 2主控晶片资安悬赏

上个月树莓派官方发表Raspberry Pi Pico 2的新板卡，同月官方也叁与一年一度的资安骇客盛会DEF CON（注1），盛会的报名叁与者都可以获得一个纪念徽章，但徽章并非与寻常徽章一样，只是在金属、塑胶材质上印有特殊图案，而是一个小型的电子产品，有小萤幕、小按钮可以互动操作，该电子产品内部所用的主控晶片，其实跟Raspberry Pi Pico 2的主控晶片一样，都是RP2350。

注1：DEF CON最早是1993年骇客间的聚会，之後演变成年度盛会，2024年也称为DEF CON 32，意即第32届年会。

树莓派官方提供主控晶片做成与会者都有的电子纪念徽章，并非只是单纯赞助支持活动，而是另有用意。由於RP2350晶片较前一代的RP2040晶片增强了诸多资安防护功能，故树莓派向广大与会者（多数为资安骇客）表示：晶片内有烧录一组128位元的资料，谁能在9月底以前读取出那组资料就可以获得1万美元的赏金。

言下之意树莓派官方发出了资安漏洞悬赏，哪个骇客能找到晶片的资安漏洞，运用该漏洞得知内部受保护的资料数据，让防护破功，就能得到赏金。这作法其实在资安领域行之有年，即便企业自身的研发单位、内部测试单位已积极找寻自有产品的各种漏洞，都可能有思考上的盲点，故对外广召各路好手也来找看看。

图2 : DEF CON 32的与会者徽章为电子小物，具有徽章模式与游戏模式（图片来源：DEF CON）

资安悬赏行之有年

虽然完全无报酬，仍可能有好心的高手无偿告知漏洞问题，但有赏金比较让人有动力。许多大企业都对其产品或企业网站广发资安悬赏，找出产品或网站漏洞便可获得赏金，更具制度者则对可能造成不同程度危害的漏洞提供不同额度的奖金，高威胁性的漏洞自然赏金较高。

另外，这种找出内藏资料的作法，也类似资安竞赛的夺旗赛（Capture The Flag, CTF），典型为两队互竞，各队有自己的电脑，电脑内藏有旗子（可能是某个档案、某组数字），谁先取得对手电脑内的旗子即告获胜。除了CTF外资安竞赛还有多种类似，如Jeopardy解谜、King of Hill抢滩等。

树莓派官方原订9月底以前取出资料者得1万美元，但看来还没有人成功，所以官方决定把截止日期延至今（2024）年底，同时赏金加倍，达2万美元，用更长的时间、更高的赏金，激励大众找出晶片可能的资安问题。

最後，为何树莓派官方要积极找出新晶片的资安漏洞？因为树莓派日益朝产业实务应用市场发展了，过去RP2040没有太重视资安防护，但新一代的RP2350开始注重，为此用上了Arm公司的TrustZone技术来提供晶片内资料的防护能力，每颗RP2350内允许烧录一组128位元的资料，且只能烧一次无法再变更，此在电子工程领域称为OTP（One-Time-Programmable，Program在这里有把资料烧写、烧入到记忆体内的意思）。

倘若RP2350晶片历经各方千锤百链都没有破功，确认具有强大的资安防护能力，往後就能说服产业界将该晶片用於实务应用，例如用於无人搬运车、用於产线控制、交通号志控制等。

虽然资安悬赏立意良善，然过去也不乏不愉快的争议，例如Apple发出对其产品的资安漏洞悬赏，在他人提报漏洞後，不仅支付奖金的动作慢，支付金额也与期??有落差（对自身从宽，认定威胁程度低，支付较少的赏金），漏洞确认後Apple对漏洞的修补也很慢。

小结

会发出悬赏的几??都是国际级名门大厂，毕竟大公司才有赏金预算、才重视产品跟企业名声（有资安漏洞毕竟不光彩），不仅Apple其他大厂也屡屡发生悬赏或修补争议，例如迟迟不补漏洞，或释出修补漏洞的修补程式（patch）但其实根本没有修补效果，或修补了某个漏洞却产生另一个或多个漏洞，或漏洞修补了反而造成系统吃重、系统不稳等，看来资安防护仍有漫长的路要走。

延伸阅读

RP2350晶片资安骇入挑战赛：https://github.com/raspberrypi/rp2350_hacking_challenge

（本文由VMAKER授权转载；连结原文网址）