實(shí)力炸裂!2023首屆阿里云CTF 大賽冠軍揭曉

  • 人閱讀
  • 2023-04-26 15:08:12

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

在黑客電影里,神秘的黑客們?cè)阪I盤上十指如飛,電腦屏幕成串代碼飛快刷屏,靜靜操縱影響世界的走向。

在現(xiàn)實(shí)中,有一群白帽子黑客,與用技術(shù)惡意牟利的“黑帽子”相反,白帽子是正義的一方,“講武德”的,在技術(shù)江湖中,使出高超技術(shù)發(fā)現(xiàn)系統(tǒng)安全漏洞,并及時(shí)提交給企業(yè)進(jìn)行修復(fù),幫助企業(yè)提升產(chǎn)品質(zhì)量。他們像一位位大隱隱于市的“掃地僧”,默默守衛(wèi)著我們的數(shù)字生活。

在武俠小說里,武功高手為了提高武藝,喜歡相約擂臺(tái)相互切磋。在網(wǎng)絡(luò)安全領(lǐng)域也有這樣的技術(shù)競技比賽——CTF(Capture The Flag)。電視劇《親愛的,熱愛的》將 CTF 推向大眾視野,其實(shí)CTF已有20多年了,起源于 1996 年的 DEFCON 全球黑客大會(huì),在網(wǎng)絡(luò)安全領(lǐng)域進(jìn)行技術(shù)競技,已經(jīng)成為全球網(wǎng)安圈子流行的形式。如果說奧運(yùn)會(huì)是挑戰(zhàn)身體極限的競技,那么 CTF 就是網(wǎng)安圈的“運(yùn)動(dòng)會(huì)”,大家相互 PK 網(wǎng)絡(luò)技術(shù),挑戰(zhàn)智力極限。近年來,國內(nèi)外 CTF 大賽層出不窮,為熱愛安全技術(shù)的人提供展示能力和鍛煉技術(shù)的絕佳平臺(tái)。

圖片1.png

近日,一場國內(nèi)超高水準(zhǔn)的2023首屆阿里云CTF大賽(下文簡稱“大賽”)落下帷幕。本大賽由阿里云依托阿里云天池平臺(tái)與清華大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室共同舉辦的,共有2500多名全球網(wǎng)絡(luò)安全開發(fā)者報(bào)名參賽,組成1600多支隊(duì)伍。來自 Redbud (清華大學(xué))、NeSE(中國科學(xué)院大學(xué))AAA(浙江大學(xué))、Vidar-Team(杭州電子科技大學(xué))、0ops(上海交通大學(xué))、天樞(北京郵電大學(xué))、Syclover(成都信息工程大學(xué))、SU 南京大學(xué)及部分其他大學(xué)聯(lián)合戰(zhàn)隊(duì)等國內(nèi)知名高校戰(zhàn)隊(duì)同臺(tái)競技,大部分為“00后”年輕極客,妥妥現(xiàn)實(shí)版的“韓商言”。

歷經(jīng)激烈鏖戰(zhàn),Straw Hat戰(zhàn)隊(duì)突出重圍,以 6651 的高分一舉拿下冠軍榮譽(yù)。

圖片2.png

比賽驚心動(dòng)魄,攻防大神成長記

時(shí)間緩緩向前推進(jìn),屏幕前的年輕面孔專心致志攻克最后一道難題,經(jīng)過近兩天兩夜的鏖戰(zhàn),時(shí)間還剩下最后半個(gè)小時(shí)。Straw Hat戰(zhàn)隊(duì)每個(gè)成員都不敢松懈,關(guān)鍵時(shí)刻終于解出最后一道題,并趕在截至?xí)r間提交Flag。

團(tuán)隊(duì)最終分?jǐn)?shù)定格在6651分!遙遙領(lǐng)先第二名,成功奪冠。由于是線上比賽形式,大家齊齊在群里刷屏歡呼,終于贏了!

說到Straw Hat戰(zhàn)隊(duì),來頭不小,戰(zhàn)隊(duì)成立于2022年,由Nu1L Team、W&M、美國西北大學(xué)邢新宇教授團(tuán)隊(duì),還有國內(nèi)熱愛信息安全的優(yōu)秀選手組成,在 2022年闖入DEFCON CTF并獲得全球第七名,曾獲得2022年巔峰極客冠軍。每個(gè)人身懷絕技,分工明確,各有擅長的領(lǐng)域。

那么擁有豐富參賽經(jīng)驗(yàn)的他們,為什么選擇來到阿里云CTF 大賽?Straw Hat認(rèn)為阿里云技術(shù)團(tuán)隊(duì)過硬,很多知名CTF選手選擇就職阿里云安全團(tuán)隊(duì),同時(shí)大賽匯集國內(nèi)頂尖的出題人,題目新穎,大賽的技術(shù)含量較高。“我們都是做技術(shù)的,如果認(rèn)為比賽的技術(shù)性較高,都想來參加。阿里云作為國內(nèi)TOP大廠,可能不用怎么宣傳,大家都會(huì)過來參賽的。” Straw Hat 負(fù)責(zé)人說。

說到賽題,本次賽題緊貼潮流,不僅設(shè)置傳統(tǒng)的WEB、CRYPTO、PWN賽,面對(duì)日漸復(fù)雜的云計(jì)算環(huán)境和安全問題,還特別設(shè)置云計(jì)算環(huán)境的題目,融合多種新型云上安全元素的賽題設(shè)計(jì),充分考驗(yàn)參賽團(tuán)隊(duì)對(duì)云上安全的理解。

盡管“身經(jīng)百戰(zhàn)”的 Straw Hat團(tuán)隊(duì)也是首次碰到如此“不按常理”出牌的主辦方,一道創(chuàng)新的云上題目“llama.sgx.easy”,需要一個(gè)真的SGX設(shè)備才能通過遠(yuǎn)程證明的驗(yàn)證,預(yù)期沒有密碼學(xué)、內(nèi)存破壞漏洞、條件競爭導(dǎo)致的漏洞。

對(duì)Straw Hat來說,這道題有些棘手。但對(duì)于 CTFer 來說,碰到問題時(shí),不能說卡住了就卡住了,總要想辦法解決它,通常解決問題的方法很多種,不會(huì)只盯住一條道路,他可能會(huì)往左邊右邊往天上地下到處折騰嘗試。

他們嘗試在阿里云上開了臺(tái)具有支持SGX的機(jī)器完成本地需求,題目遠(yuǎn)端的KMS在遠(yuǎn)程證明本地enclave的時(shí)候存在有遺漏,沒檢查是否開啟了debug,導(dǎo)致了題目漏洞的出現(xiàn),順利完成這次挑戰(zhàn)。

除此之外,主辦方從比賽的運(yùn)維、平臺(tái)支持上也對(duì)選手提供幫助,“組委會(huì)響應(yīng)十分及時(shí),中間遇到一些問題跟組委會(huì)反饋后,迅速解決。” Straw Hat 負(fù)責(zé)人如此說。

筆者還發(fā)現(xiàn)官網(wǎng)賽事提醒十分詳盡和貼心,為組委會(huì)點(diǎn)贊:

圖片3.png

從本次大賽中,Straw Hat團(tuán)隊(duì)不僅提高了逆向、密碼學(xué)等技術(shù)能力,并鍛煉團(tuán)隊(duì)協(xié)作,配合得更加熟練,為備戰(zhàn)今年的 DEFCON 大賽打下基礎(chǔ)。

在黑客電影中主角輕敲鍵盤,輕松又優(yōu)雅。然而 CTF大賽考驗(yàn)參賽者的體力、意志力、技術(shù)能力和團(tuán)隊(duì)精神,在48小時(shí)內(nèi)進(jìn)行積分對(duì)戰(zhàn),高手過招,唯快不破,稍微大意可能會(huì)導(dǎo)致失敗。Straw Hat團(tuán)隊(duì)大部分成員在兩天時(shí)間里一共睡了五六個(gè)小時(shí),甚至還有人通宵兩天,只想攻克一個(gè)個(gè)的難關(guān),實(shí)在談不上酷炫有型,等比賽結(jié)束后他們累癱了。

可能在CTF 大賽這種腦力競技中,我們無法像觀看體育競技比賽那樣直觀感受其中扣人心弦的緊張氣氛,但從Straw Hat團(tuán)隊(duì)奪冠后風(fēng)輕云淡的描述中,我們也能體會(huì)其中的驚心動(dòng)魄,感受到這群年輕極客對(duì)安全的熱愛,享受技術(shù)對(duì)抗帶來的成就感,同時(shí)嘗試挑戰(zhàn)與傳統(tǒng)CTF賽事不同,全新的云上攻防環(huán)境體驗(yàn),積累云上安全知識(shí),正是本大賽的魅力所在,也是阿里云的初心。

從一個(gè)人到一群人,極客精神的傳承

據(jù)教育部《網(wǎng)絡(luò)安全人才實(shí)戰(zhàn)能力白皮書》數(shù)據(jù)顯示,國內(nèi)已有34個(gè)高校設(shè)立網(wǎng)絡(luò)空間安全一級(jí)學(xué)科。到2027年,我國網(wǎng)絡(luò)安全人員缺口將達(dá)327萬,而高校人才培養(yǎng)規(guī)模為3萬/年,許多行業(yè)面臨著網(wǎng)絡(luò)安全人才缺失的困境。

從本次CTF 大賽,我們看到如今相關(guān)大賽日趨成熟,從愛好者的自發(fā) PK競技,演變成人才培養(yǎng)和選拔的關(guān)鍵平臺(tái)。

從上面Straw Hat的故事中,我們可能會(huì)好奇,為什么大賽會(huì)加入云安全類的創(chuàng)新題目?

作為大賽的顧問、前 CTF 大牛,現(xiàn)藍(lán)蓮花戰(zhàn)隊(duì)教練,清華大學(xué)副教授張超表示,云時(shí)代下,云安全問題已不容忽視:一是虛擬化問題,虛擬化是云廠商使用最多的基礎(chǔ)技術(shù),是支撐云的關(guān)鍵技術(shù),虛擬化安全是云安全的最基礎(chǔ)安全問題。二是隱私計(jì)算。如今數(shù)據(jù)作為新型生產(chǎn)力工具,數(shù)據(jù)涉及到隱私和安全的問題,比如企業(yè)數(shù)據(jù)放在云上時(shí),可能會(huì)擔(dān)心數(shù)據(jù)安全問題,因此出現(xiàn)隱私計(jì)算、機(jī)密計(jì)算、可行性計(jì)算等技術(shù),這些是近幾年來很熱門的安全話題。三是 CDN,云改變現(xiàn)有網(wǎng)絡(luò)拓?fù)涞男问?云場景下可能存在網(wǎng)絡(luò)連接層的安全問題。

圖片4.png

清華大學(xué)藍(lán)蓮花戰(zhàn)隊(duì)教練 張超

而云上環(huán)境與傳統(tǒng)PC、手機(jī)端環(huán)境不同,云相對(duì)普通用戶和安全分析人員來說,無法直接掌控它,了解內(nèi)部結(jié)構(gòu)以及背后技術(shù),因此從安全角度來看,尋找云上安全漏洞相對(duì)有一些難度的。

隨著云時(shí)代的發(fā)展,傳統(tǒng)的安全技術(shù)已不足以應(yīng)對(duì)新的云上威脅,對(duì)安全人才的技術(shù)能力隨之提高。

作為國內(nèi)云廠商領(lǐng)導(dǎo)者,阿里云自2009年成立起,建立了阿里云安全團(tuán)隊(duì),從開始的云平臺(tái)保障到賦能百余行業(yè)云上安全,至今已13余載,并堅(jiān)持技術(shù)自研,建立完整的企業(yè)安全產(chǎn)品體系。而清華大學(xué)在 2010 年成立藍(lán)蓮花(Blue-Lotus)戰(zhàn)隊(duì),2013 年歷史性闖入有極客界“奧斯卡”之稱的DEFCON CTF 總決賽,2014 年,清華大學(xué)舉辦起國內(nèi)第一場CTF,隨后相關(guān) CTF 賽事如雨后春筍般出現(xiàn)?;诎⒗镌曝S富的云場景積累,與有豐富的 CTF賽事積累的清華大學(xué)共同設(shè)計(jì)這場比賽,讓參賽者對(duì)云安全有更深了解,同時(shí)儲(chǔ)備相關(guān)的安全人才。

回顧7、8年前,在大眾眼里 CTF 是一種業(yè)余愛好,并沒有像今天那么重視安全技術(shù)。他觀察到,自 2015 年開始,國內(nèi)安全領(lǐng)域開始快速發(fā)展,這十多年來發(fā)生天翻地覆的改變,從大眾到國家層面均對(duì)安全領(lǐng)域十分關(guān)注。像張超帶的學(xué)生、參賽選手屬于“Z世代”的年輕人趕上這波安全發(fā)展浪潮,熱愛技術(shù),一些人還成為頂尖的極客。

自從張超從選手轉(zhuǎn)變成老師和帶隊(duì)的角色后,心態(tài)產(chǎn)生較大的變化,他越來越意識(shí)到,光通過打比賽,像做奧數(shù)一樣是不夠的,無法解決當(dāng)下的人才缺口難題。打比賽時(shí),選手更多的是學(xué)習(xí)一些經(jīng)驗(yàn)和技巧,它可能是出題人根據(jù)實(shí)際案例抽象而成、融會(huì)貫通,里面有很多精心設(shè)計(jì),選手相當(dāng)于在復(fù)雜的迷宮里找捷徑。

而如今他發(fā)現(xiàn)網(wǎng)絡(luò)發(fā)展迅速,安全漏洞與日俱增,一個(gè)人的時(shí)間和精力是有限的,很難解決層出不窮的安全問題。光靠個(gè)人來做相關(guān)建設(shè)是遠(yuǎn)遠(yuǎn)不夠的,從社會(huì)發(fā)展規(guī)律來看,很多技術(shù)最開始是手藝活,但隨著生產(chǎn)力的提高,新技術(shù)不斷更替,自動(dòng)化替代人工,提高生產(chǎn)效率。尤其是今年 ChatGPT 以驚人速度發(fā)展,正在革命我們的工作和生活。如何培養(yǎng)更多人才成為張超關(guān)心的問題。

在技術(shù)上,張超建議同學(xué)們往自動(dòng)化、智能化發(fā)展,未來智能化技術(shù)將替代人工來挖漏洞、做攻防,可以多利用自動(dòng)化方法來解決問題,從而提高生產(chǎn)力。另外不妨多參加像本次CTF 比賽的活動(dòng),讀本科同學(xué)通過比賽快速入門掌握基礎(chǔ)知識(shí),感受 CTF 的魅力,培養(yǎng)興趣。到了研究生階段,轉(zhuǎn)變理念,不是簡單靠個(gè)人分析,而是思考問題背后的本質(zhì),找根本性解決方案,并形成新的知識(shí),通過實(shí)踐驗(yàn)證。在工作階段,拓寬視野,慢慢對(duì)領(lǐng)域形成認(rèn)識(shí),不斷終身學(xué)習(xí)。

張超建議,聽說過安全的人,或者沒有聽說過的人,可以來嘗試 CTF 比賽,這是最快理解安全領(lǐng)域的方式。希望大家將 CTF 當(dāng)做一件“好玩”的事情,最早期的極客也是為了“好玩”,通過一些特殊的技術(shù)做別人做不到的事。

從張超的身上中,我們看到傳承的力量,張超將結(jié)合過往CTF的經(jīng)驗(yàn)并與時(shí)俱進(jìn)傳授給年輕一代極客,帶領(lǐng)他們走上更大的舞臺(tái),從一個(gè)人到一群人,為培養(yǎng)我國網(wǎng)絡(luò)安全人才不斷努力。

新生代的極客,該你們上場了

走出學(xué)校,在比賽競技中或在現(xiàn)實(shí)世界的中找到解決問題的思路,正成為新一代科技人才的潮流。同時(shí)我們看到,阿里云等大廠提供給這些年輕人實(shí)現(xiàn)夢(mèng)想的平臺(tái),為中國安全領(lǐng)域年輕力量的崛起而助力。

曾經(jīng)是上海交通大學(xué)0ops戰(zhàn)隊(duì)的一員、本大賽出題人之一,花名為“道者”的阿里云安全工程師告訴我們,現(xiàn)在的 CTF大賽將會(huì)越來越難,簡單的題都出過了,所以出題人會(huì)絞盡腦汁想出新的類型、新的研究方向,但對(duì)于選手來說也在不斷進(jìn)步。對(duì)道者來說,作為一名 CTF 選手和現(xiàn)在當(dāng)大賽的出題人,又是兩種完全不同的體驗(yàn)。之前作為選手,他常常猜出題人可能會(huì)考察哪些點(diǎn),本次作為出題人,同樣想給選手傳達(dá)一些新的知識(shí)點(diǎn)。出題和解題相當(dāng)于是選手和出題人員之間的交流碰撞。他通常預(yù)設(shè)一套解法,而選手的思路有所不同,賽后大家會(huì)一起交流碰撞。

道者畢業(yè)后果斷選擇了阿里云安全團(tuán)隊(duì)。道者很早就聽說阿里云安全團(tuán)隊(duì)經(jīng)常在關(guān)鍵比賽中拿第一,在業(yè)內(nèi)自帶“光環(huán)”,所以他找實(shí)習(xí)時(shí)選擇加入團(tuán)隊(duì)。

道者在實(shí)習(xí)過程中通過工具發(fā)現(xiàn)隔壁團(tuán)隊(duì)平臺(tái)漏洞,并和團(tuán)隊(duì)小伙伴一起頭腦風(fēng)暴不斷嘗試突破它的安全機(jī)制,成功“拿”下來了。

和道者聊天時(shí),感受到他作為新生代極客陽光一面,可能和他們團(tuán)隊(duì)氛圍有關(guān),大家很 Open 地交流溝通,一群志趣相投的人在做有意義的事情,他深深被感染。

和以上三位受訪者聊天時(shí),他們不約而同地說出“興趣”“熱愛”等詞,興趣對(duì)白帽子極客很重要,正是有了興趣大家才能沉下心專研技術(shù),正是與其他成員有相同的興趣愛好,才能一起探索,共同進(jìn)步。正是因?yàn)闊釔?一群好玩、高智商像道者、Straw Hat等優(yōu)秀白帽子選擇阿里云,相聚本大賽而相識(shí)相知。盡管大賽已結(jié)束,但這些新生代極客的故事沒有結(jié)束,從他們背后我們看到對(duì)技術(shù)始終堅(jiān)持、保持創(chuàng)新、無所畏懼的品質(zhì),在安全領(lǐng)域里熠熠發(fā)光。

正如阿里云首席安全官歐陽欣給新一代年輕極客們/參賽選手們的寄語:“云計(jì)算在提升IT資源服務(wù)效率的同時(shí),也對(duì)其安全防護(hù)技術(shù)提出了更高的要求。對(duì)于新一代安全極客們而言,那些未知的云上安全環(huán)境一定會(huì)激發(fā)他們更多關(guān)于破界與探索的欲望,非常高興能通過本次賽事讓ctfer多一些云上ctf體驗(yàn),年輕極客們,未來云上安全該你們上場了!”

一直以來,阿里云積極搭建安全人才培養(yǎng)的平臺(tái)。據(jù)了解,阿里云安全團(tuán)隊(duì)每年都會(huì)有很多優(yōu)秀成員像道者那樣通過校招進(jìn)來。早在2020年,阿里云面向高校發(fā)布“青色計(jì)劃”招募令,與高校通過科研、產(chǎn)品等多種合作方式來培養(yǎng)安全人才。并連續(xù)多年,阿里云依托天池平臺(tái)與清華大學(xué)舉辦 “安全AI挑戰(zhàn)者計(jì)劃”大賽,持續(xù)助力新生代技術(shù)人的能力提升。本次 CTF 大賽也一樣,阿里云不留余力為更多年輕人提供戰(zhàn)斗和成長的練兵場,以培養(yǎng)未來頂尖安全實(shí)戰(zhàn)人才。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )