在黑客电影里,神秘的黑客们在键盘上十指如飞,电脑屏幕成串代码飞快刷屏,静静操纵影响世界的走向。
在现实中,有一群白帽子黑客,与用技术恶意牟利的“黑帽子”相反,白帽子是正义的一方,“讲武德”的,在技术江湖中,使出高超技术发现系统安全漏洞,并及时提交给企业进行修复,帮助企业提升产品质量。他们像一位位大隐隐于市的“扫地僧”,默默守卫着我们的数字生活。
在武侠小说里,武功高手为了提高武艺,喜欢相约擂台相互切磋。在网络安全领域也有这样的技术竞技比赛——CTF(Capture The Flag)。电视剧《亲爱的,热爱的》将 CTF 推向大众视野,其实 CTF 已有 20 多年了,起源于 1996 年的 DEFCON 全球黑客大会,在网络安全领域进行技术竞技,已经成为全球网安圈子流行的形式。如果说奥运会是挑战身体极限的竞技,那么 CTF 就是网安圈的“运动会”,大家相互 PK 网络技术,挑战智力极限。近年来,国内外 CTF 大赛层出不穷,为热爱安全技术的人提供展示能力和锻炼技术的绝佳平台。
近日,一场国内超高水准的 2023 首届阿里云 CTF 大赛(下文简称“大赛”)落下帷幕。本大赛由阿里云依托阿里云天池平台与清华大学网络与信息安全实验室共同举办的,共有 2500 多名全球网络安全开发者报名参赛,组成 1600 多支队伍。来自 Redbud (清华大学)、NeSE(中国科学院大学)AAA(浙江大学)、Vidar-Team(杭州电子科技大学)、0ops(上海交通大学)、天枢(北京邮电大学)、Syclover(成都信息工程大学)、SU 南京大学及部分其他大学联合战队等国内知名高校战队同台竞技,大部分为“00 后”年轻极客,妥妥现实版的“韩商言”。
历经激烈鏖战,Straw Hat 战队突出重围,以 6651 的高分一举拿下冠军荣誉。
比赛惊心动魄,攻防大神成长记
时间缓缓向前推进,屏幕前的年轻面孔专心致志攻克最后一道难题,经过近两天两夜的鏖战,时间还剩下最后半个小时。Straw Hat 战队每个成员都不敢松懈,关键时刻终于解出最后一道题,并赶在截至时间提交 Flag。
团队最终分数定格在 6651 分!遥遥领先第二名,成功夺冠。由于是线上比赛形式,大家齐齐在群里刷屏欢呼,终于赢了!
说到 Straw Hat 战队,来头不小,战队成立于 2022 年,由 Nu1L Team、W&M、美国西北大学邢新宇教授团队,还有国内热爱信息安全的优秀选手组成,在 2022 年闯入 DEFCON CTF 并获得全球第七名,曾获得 2022 年巅峰极客冠军。每个人身怀绝技,分工明确,各有擅长的领域。
那么拥有丰富参赛经验的他们,为什么选择来到阿里云 CTF 大赛?Straw Hat 认为阿里云技术团队过硬,很多知名 CTF 选手选择就职阿里云安全团队,同时大赛汇集国内顶尖的出题人,题目新颖,大赛的技术含量较高。“我们都是做技术的,如果认为比赛的技术性较高,都想来参加。阿里云作为国内 TOP 大厂,可能不用怎么宣传,大家都会过来参赛的。” Straw Hat 负责人说。
说到赛题,本次赛题紧贴潮流,不仅设置传统的 WEB、CRYPTO、PWN 赛,面对日渐复杂的云计算环境和安全问题,还特别设置云计算环境的题目,融合多种新型云上安全元素的赛题设计,充分考验参赛团队对云上安全的理解。
尽管“身经百战”的 Straw Hat 团队也是首次碰到如此“不按常理”出牌的主办方,一道创新的云上题目“llama.sgx.easy”,需要一个真的 SGX 设备才能通过远程证明的验证,预期没有密码学、内存破坏漏洞、条件竞争导致的漏洞。
对 Straw Hat 来说,这道题有些棘手。但对于 CTFer 来说,碰到问题时,不能说卡住了就卡住了,总要想办法解决它,通常解决问题的方法很多种,不会只盯住一条道路,他可能会往左边右边往天上地下到处折腾尝试。
他们尝试在阿里云上开了台具有支持 SGX 的机器完成本地需求,题目远端的 KMS 在远程证明本地 enclave 的时候存在有遗漏,没检查是否开启了 debug,导致了题目漏洞的出现,顺利完成这次挑战。
除此之外,主办方从比赛的运维、平台支持上也对选手提供帮助,“组委会响应十分及时,中间遇到一些问题跟组委会反馈后,迅速解决。” Straw Hat 负责人如此说。
笔者还发现官网赛事提醒十分详尽和贴心,为组委会点赞:
从本次大赛中,Straw Hat 团队不仅提高了逆向、密码学等技术能力,并锻炼团队协作,配合得更加熟练,为备战今年的 DEFCON 大赛打下基础。
在黑客电影中主角轻敲键盘,轻松又优雅。然而 CTF 大赛考验参赛者的体力、意志力、技术能力和团队精神,在 48 小时内进行积分对战,高手过招,唯快不破,稍微大意可能会导致失败。Straw Hat 团队大部分成员在两天时间里一共睡了五六个小时,甚至还有人通宵两天,只想攻克一个个的难关,实在谈不上酷炫有型,等比赛结束后他们累瘫了。
可能在 CTF 大赛这种脑力竞技中,我们无法像观看体育竞技比赛那样直观感受其中扣人心弦的紧张气氛,但从 Straw Hat 团队夺冠后风轻云淡的描述中,我们也能体会其中的惊心动魄,感受到这群年轻极客对安全的热爱,享受技术对抗带来的成就感,同时尝试挑战与传统 CTF 赛事不同,全新的云上攻防环境体验,积累云上安全知识,正是本大赛的魅力所在,也是阿里云的初心。
从一个人到一群人,极客精神的传承
据教育部《网络安全人才实战能力白皮书》数据显示,国内已有 34 个高校设立网络空间安全一级学科。到 2027 年,我国网络安全人员缺口将达 327 万,而高校人才培养规模为 3 万/年,许多行业面临着网络安全人才缺失的困境。
从本次 CTF 大赛,我们看到如今相关大赛日趋成熟,从爱好者的自发 PK 竞技,演变成人才培养和选拔的关键平台。
从上面 Straw Hat 的故事中,我们可能会好奇,为什么大赛会加入云安全类的创新题目?
作为大赛的顾问、前 CTF 大牛,现蓝莲花战队教练,清华大学副教授张超表示,云时代下,云安全问题已不容忽视:一是虚拟化问题,虚拟化是云厂商使用最多的基础技术,是支撑云的关键技术,虚拟化安全是云安全的最基础安全问题。二是隐私计算。如今数据作为新型生产力工具,数据涉及到隐私和安全的问题,比如企业数据放在云上时,可能会担心数据安全问题,因此出现隐私计算、机密计算、可行性计算等技术,这些是近几年来很热门的安全话题。三是 CDN,云改变现有网络拓扑的形式,云场景下可能存在网络连接层的安全问题。
如果你对网络安全入门感兴趣,那么你点击这里👉CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
如果你对网络安全感兴趣,学习资源免费分享,保证100%免费!!!(嘿客入门教程)
👉网安(嘿客)全套学习视频👈
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。
👉网安(嘿客红蓝对抗)所有方向的学习路线👈
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
学习资料工具包
压箱底的好资料,全面地介绍网络安全的基础理论,包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解各种主流工具背后的实现机制。
面试题资料
独家渠道收集京东、360、天融信等公司测试题!进大厂指日可待!
👉嘿客必备开发工具👈
工欲善其事必先利其器。学习嘿客常用的开发软件都在这里了,给大家节省了很多时间。
扫一扫
3056
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
