實力炸裂!2023首屆阿里云CTF 大賽冠軍揭曉

  • 人閱讀
  • 2023-04-26 15:08:12

  • 來源:西盟科技資訊

  • 相關關鍵詞

在黑客電影里,神秘的黑客們在鍵盤上十指如飛,電腦屏幕成串代碼飛快刷屏,靜靜操縱影響世界的走向。

在現(xiàn)實中,有一群白帽子黑客,與用技術惡意牟利的“黑帽子”相反,白帽子是正義的一方,“講武德”的,在技術江湖中,使出高超技術發(fā)現(xiàn)系統(tǒng)安全漏洞,并及時提交給企業(yè)進行修復,幫助企業(yè)提升產(chǎn)品質(zhì)量。他們像一位位大隱隱于市的“掃地僧”,默默守衛(wèi)著我們的數(shù)字生活。

在武俠小說里,武功高手為了提高武藝,喜歡相約擂臺相互切磋。在網(wǎng)絡安全領域也有這樣的技術競技比賽——CTF(Capture The Flag)。電視劇《親愛的,熱愛的》將 CTF 推向大眾視野,其實CTF已有20多年了,起源于 1996 年的 DEFCON 全球黑客大會,在網(wǎng)絡安全領域進行技術競技,已經(jīng)成為全球網(wǎng)安圈子流行的形式。如果說奧運會是挑戰(zhàn)身體極限的競技,那么 CTF 就是網(wǎng)安圈的“運動會”,大家相互 PK 網(wǎng)絡技術,挑戰(zhàn)智力極限。近年來,國內(nèi)外 CTF 大賽層出不窮,為熱愛安全技術的人提供展示能力和鍛煉技術的絕佳平臺。

圖片1.png

近日,一場國內(nèi)超高水準的2023首屆阿里云CTF大賽(下文簡稱“大賽”)落下帷幕。本大賽由阿里云依托阿里云天池平臺與清華大學網(wǎng)絡與信息安全實驗室共同舉辦的,共有2500多名全球網(wǎng)絡安全開發(fā)者報名參賽,組成1600多支隊伍。來自 Redbud (清華大學)、NeSE(中國科學院大學)AAA(浙江大學)、Vidar-Team(杭州電子科技大學)、0ops(上海交通大學)、天樞(北京郵電大學)、Syclover(成都信息工程大學)、SU 南京大學及部分其他大學聯(lián)合戰(zhàn)隊等國內(nèi)知名高校戰(zhàn)隊同臺競技,大部分為“00后”年輕極客,妥妥現(xiàn)實版的“韓商言”。

歷經(jīng)激烈鏖戰(zhàn),Straw Hat戰(zhàn)隊突出重圍,以 6651 的高分一舉拿下冠軍榮譽。

圖片2.png

比賽驚心動魄,攻防大神成長記

時間緩緩向前推進,屏幕前的年輕面孔專心致志攻克最后一道難題,經(jīng)過近兩天兩夜的鏖戰(zhàn),時間還剩下最后半個小時。Straw Hat戰(zhàn)隊每個成員都不敢松懈,關鍵時刻終于解出最后一道題,并趕在截至時間提交Flag。

團隊最終分數(shù)定格在6651分!遙遙領先第二名,成功奪冠。由于是線上比賽形式,大家齊齊在群里刷屏歡呼,終于贏了!

說到Straw Hat戰(zhàn)隊,來頭不小,戰(zhàn)隊成立于2022年,由Nu1L Team、W&M、美國西北大學邢新宇教授團隊,還有國內(nèi)熱愛信息安全的優(yōu)秀選手組成,在 2022年闖入DEFCON CTF并獲得全球第七名,曾獲得2022年巔峰極客冠軍。每個人身懷絕技,分工明確,各有擅長的領域。

那么擁有豐富參賽經(jīng)驗的他們,為什么選擇來到阿里云CTF 大賽?Straw Hat認為阿里云技術團隊過硬,很多知名CTF選手選擇就職阿里云安全團隊,同時大賽匯集國內(nèi)頂尖的出題人,題目新穎,大賽的技術含量較高。“我們都是做技術的,如果認為比賽的技術性較高,都想來參加。阿里云作為國內(nèi)TOP大廠,可能不用怎么宣傳,大家都會過來參賽的。” Straw Hat 負責人說。

說到賽題,本次賽題緊貼潮流,不僅設置傳統(tǒng)的WEB、CRYPTO、PWN賽,面對日漸復雜的云計算環(huán)境和安全問題,還特別設置云計算環(huán)境的題目,融合多種新型云上安全元素的賽題設計,充分考驗參賽團隊對云上安全的理解。

盡管“身經(jīng)百戰(zhàn)”的 Straw Hat團隊也是首次碰到如此“不按常理”出牌的主辦方,一道創(chuàng)新的云上題目“llama.sgx.easy”,需要一個真的SGX設備才能通過遠程證明的驗證,預期沒有密碼學、內(nèi)存破壞漏洞、條件競爭導致的漏洞。

對Straw Hat來說,這道題有些棘手。但對于 CTFer 來說,碰到問題時,不能說卡住了就卡住了,總要想辦法解決它,通常解決問題的方法很多種,不會只盯住一條道路,他可能會往左邊右邊往天上地下到處折騰嘗試。

他們嘗試在阿里云上開了臺具有支持SGX的機器完成本地需求,題目遠端的KMS在遠程證明本地enclave的時候存在有遺漏,沒檢查是否開啟了debug,導致了題目漏洞的出現(xiàn),順利完成這次挑戰(zhàn)。

除此之外,主辦方從比賽的運維、平臺支持上也對選手提供幫助,“組委會響應十分及時,中間遇到一些問題跟組委會反饋后,迅速解決。” Straw Hat 負責人如此說。

筆者還發(fā)現(xiàn)官網(wǎng)賽事提醒十分詳盡和貼心,為組委會點贊:

圖片3.png

從本次大賽中,Straw Hat團隊不僅提高了逆向、密碼學等技術能力,并鍛煉團隊協(xié)作,配合得更加熟練,為備戰(zhàn)今年的 DEFCON 大賽打下基礎。

在黑客電影中主角輕敲鍵盤,輕松又優(yōu)雅。然而 CTF大賽考驗參賽者的體力、意志力、技術能力和團隊精神,在48小時內(nèi)進行積分對戰(zhàn),高手過招,唯快不破,稍微大意可能會導致失敗。Straw Hat團隊大部分成員在兩天時間里一共睡了五六個小時,甚至還有人通宵兩天,只想攻克一個個的難關,實在談不上酷炫有型,等比賽結束后他們累癱了。

可能在CTF 大賽這種腦力競技中,我們無法像觀看體育競技比賽那樣直觀感受其中扣人心弦的緊張氣氛,但從Straw Hat團隊奪冠后風輕云淡的描述中,我們也能體會其中的驚心動魄,感受到這群年輕極客對安全的熱愛,享受技術對抗帶來的成就感,同時嘗試挑戰(zhàn)與傳統(tǒng)CTF賽事不同,全新的云上攻防環(huán)境體驗,積累云上安全知識,正是本大賽的魅力所在,也是阿里云的初心。

從一個人到一群人,極客精神的傳承

據(jù)教育部《網(wǎng)絡安全人才實戰(zhàn)能力白皮書》數(shù)據(jù)顯示,國內(nèi)已有34個高校設立網(wǎng)絡空間安全一級學科。到2027年,我國網(wǎng)絡安全人員缺口將達327萬,而高校人才培養(yǎng)規(guī)模為3萬/年,許多行業(yè)面臨著網(wǎng)絡安全人才缺失的困境。

從本次CTF 大賽,我們看到如今相關大賽日趨成熟,從愛好者的自發(fā) PK競技,演變成人才培養(yǎng)和選拔的關鍵平臺。

從上面Straw Hat的故事中,我們可能會好奇,為什么大賽會加入云安全類的創(chuàng)新題目?

作為大賽的顧問、前 CTF 大牛,現(xiàn)藍蓮花戰(zhàn)隊教練,清華大學副教授張超表示,云時代下,云安全問題已不容忽視:一是虛擬化問題,虛擬化是云廠商使用最多的基礎技術,是支撐云的關鍵技術,虛擬化安全是云安全的最基礎安全問題。二是隱私計算。如今數(shù)據(jù)作為新型生產(chǎn)力工具,數(shù)據(jù)涉及到隱私和安全的問題,比如企業(yè)數(shù)據(jù)放在云上時,可能會擔心數(shù)據(jù)安全問題,因此出現(xiàn)隱私計算、機密計算、可行性計算等技術,這些是近幾年來很熱門的安全話題。三是 CDN,云改變現(xiàn)有網(wǎng)絡拓撲的形式,云場景下可能存在網(wǎng)絡連接層的安全問題。

圖片4.png

清華大學藍蓮花戰(zhàn)隊教練 張超

而云上環(huán)境與傳統(tǒng)PC、手機端環(huán)境不同,云相對普通用戶和安全分析人員來說,無法直接掌控它,了解內(nèi)部結構以及背后技術,因此從安全角度來看,尋找云上安全漏洞相對有一些難度的。

隨著云時代的發(fā)展,傳統(tǒng)的安全技術已不足以應對新的云上威脅,對安全人才的技術能力隨之提高。

作為國內(nèi)云廠商領導者,阿里云自2009年成立起,建立了阿里云安全團隊,從開始的云平臺保障到賦能百余行業(yè)云上安全,至今已13余載,并堅持技術自研,建立完整的企業(yè)安全產(chǎn)品體系。而清華大學在 2010 年成立藍蓮花(Blue-Lotus)戰(zhàn)隊,2013 年歷史性闖入有極客界“奧斯卡”之稱的DEFCON CTF 總決賽,2014 年,清華大學舉辦起國內(nèi)第一場CTF,隨后相關 CTF 賽事如雨后春筍般出現(xiàn)?;诎⒗镌曝S富的云場景積累,與有豐富的 CTF賽事積累的清華大學共同設計這場比賽,讓參賽者對云安全有更深了解,同時儲備相關的安全人才。

回顧7、8年前,在大眾眼里 CTF 是一種業(yè)余愛好,并沒有像今天那么重視安全技術。他觀察到,自 2015 年開始,國內(nèi)安全領域開始快速發(fā)展,這十多年來發(fā)生天翻地覆的改變,從大眾到國家層面均對安全領域十分關注。像張超帶的學生、參賽選手屬于“Z世代”的年輕人趕上這波安全發(fā)展浪潮,熱愛技術,一些人還成為頂尖的極客。

自從張超從選手轉(zhuǎn)變成老師和帶隊的角色后,心態(tài)產(chǎn)生較大的變化,他越來越意識到,光通過打比賽,像做奧數(shù)一樣是不夠的,無法解決當下的人才缺口難題。打比賽時,選手更多的是學習一些經(jīng)驗和技巧,它可能是出題人根據(jù)實際案例抽象而成、融會貫通,里面有很多精心設計,選手相當于在復雜的迷宮里找捷徑。

而如今他發(fā)現(xiàn)網(wǎng)絡發(fā)展迅速,安全漏洞與日俱增,一個人的時間和精力是有限的,很難解決層出不窮的安全問題。光靠個人來做相關建設是遠遠不夠的,從社會發(fā)展規(guī)律來看,很多技術最開始是手藝活,但隨著生產(chǎn)力的提高,新技術不斷更替,自動化替代人工,提高生產(chǎn)效率。尤其是今年 ChatGPT 以驚人速度發(fā)展,正在革命我們的工作和生活。如何培養(yǎng)更多人才成為張超關心的問題。

在技術上,張超建議同學們往自動化、智能化發(fā)展,未來智能化技術將替代人工來挖漏洞、做攻防,可以多利用自動化方法來解決問題,從而提高生產(chǎn)力。另外不妨多參加像本次CTF 比賽的活動,讀本科同學通過比賽快速入門掌握基礎知識,感受 CTF 的魅力,培養(yǎng)興趣。到了研究生階段,轉(zhuǎn)變理念,不是簡單靠個人分析,而是思考問題背后的本質(zhì),找根本性解決方案,并形成新的知識,通過實踐驗證。在工作階段,拓寬視野,慢慢對領域形成認識,不斷終身學習。

張超建議,聽說過安全的人,或者沒有聽說過的人,可以來嘗試 CTF 比賽,這是最快理解安全領域的方式。希望大家將 CTF 當做一件“好玩”的事情,最早期的極客也是為了“好玩”,通過一些特殊的技術做別人做不到的事。

從張超的身上中,我們看到傳承的力量,張超將結合過往CTF的經(jīng)驗并與時俱進傳授給年輕一代極客,帶領他們走上更大的舞臺,從一個人到一群人,為培養(yǎng)我國網(wǎng)絡安全人才不斷努力。

新生代的極客,該你們上場了

走出學校,在比賽競技中或在現(xiàn)實世界的中找到解決問題的思路,正成為新一代科技人才的潮流。同時我們看到,阿里云等大廠提供給這些年輕人實現(xiàn)夢想的平臺,為中國安全領域年輕力量的崛起而助力。

曾經(jīng)是上海交通大學0ops戰(zhàn)隊的一員、本大賽出題人之一,花名為“道者”的阿里云安全工程師告訴我們,現(xiàn)在的 CTF大賽將會越來越難,簡單的題都出過了,所以出題人會絞盡腦汁想出新的類型、新的研究方向,但對于選手來說也在不斷進步。對道者來說,作為一名 CTF 選手和現(xiàn)在當大賽的出題人,又是兩種完全不同的體驗。之前作為選手,他常常猜出題人可能會考察哪些點,本次作為出題人,同樣想給選手傳達一些新的知識點。出題和解題相當于是選手和出題人員之間的交流碰撞。他通常預設一套解法,而選手的思路有所不同,賽后大家會一起交流碰撞。

道者畢業(yè)后果斷選擇了阿里云安全團隊。道者很早就聽說阿里云安全團隊經(jīng)常在關鍵比賽中拿第一,在業(yè)內(nèi)自帶“光環(huán)”,所以他找實習時選擇加入團隊。

道者在實習過程中通過工具發(fā)現(xiàn)隔壁團隊平臺漏洞,并和團隊小伙伴一起頭腦風暴不斷嘗試突破它的安全機制,成功“拿”下來了。

和道者聊天時,感受到他作為新生代極客陽光一面,可能和他們團隊氛圍有關,大家很 Open 地交流溝通,一群志趣相投的人在做有意義的事情,他深深被感染。

和以上三位受訪者聊天時,他們不約而同地說出“興趣”“熱愛”等詞,興趣對白帽子極客很重要,正是有了興趣大家才能沉下心專研技術,正是與其他成員有相同的興趣愛好,才能一起探索,共同進步。正是因為熱愛,一群好玩、高智商像道者、Straw Hat等優(yōu)秀白帽子選擇阿里云,相聚本大賽而相識相知。盡管大賽已結束,但這些新生代極客的故事沒有結束,從他們背后我們看到對技術始終堅持、保持創(chuàng)新、無所畏懼的品質(zhì),在安全領域里熠熠發(fā)光。

正如阿里云首席安全官歐陽欣給新一代年輕極客們/參賽選手們的寄語:“云計算在提升IT資源服務效率的同時,也對其安全防護技術提出了更高的要求。對于新一代安全極客們而言,那些未知的云上安全環(huán)境一定會激發(fā)他們更多關于破界與探索的欲望,非常高興能通過本次賽事讓ctfer多一些云上ctf體驗,年輕極客們,未來云上安全該你們上場了!”

一直以來,阿里云積極搭建安全人才培養(yǎng)的平臺。據(jù)了解,阿里云安全團隊每年都會有很多優(yōu)秀成員像道者那樣通過校招進來。早在2020年,阿里云面向高校發(fā)布“青色計劃”招募令,與高校通過科研、產(chǎn)品等多種合作方式來培養(yǎng)安全人才。并連續(xù)多年,阿里云依托天池平臺與清華大學舉辦 “安全AI挑戰(zhàn)者計劃”大賽,持續(xù)助力新生代技術人的能力提升。本次 CTF 大賽也一樣,阿里云不留余力為更多年輕人提供戰(zhàn)斗和成長的練兵場,以培養(yǎng)未來頂尖安全實戰(zhàn)人才。

(免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。 )