攻防大牛在身边,这群白帽极客的故事太精彩!

59d7b3e282a8e6a49639522752c5b00a.gif

在黑客电影里,神秘的黑客们在键盘上十指如飞,电脑屏幕成串代码飞快刷屏,静静操纵影响世界的走向。

在现实中,有一群白帽子黑客,与用技术恶意牟利的“黑帽子”相反,白帽子是正义的一方,“讲武德”的,在技术江湖中,使出高超技术发现系统安全漏洞,并及时提交给企业进行修复,帮助企业提升产品质量。他们像一位位大隐隐于市的“扫地僧”,默默守卫着我们的数字生活。

在武侠小说里,武功高手为了提高武艺,喜欢相约擂台相互切磋。在网络安全领域也有这样的技术竞技比赛——CTF(Capture The Flag)。电视剧《亲爱的,热爱的》将 CTF 推向大众视野,其实CTF已有20多年了,起源于 1996 年的 DEFCON 全球黑客大会,在网络安全领域进行技术竞技,已经成为全球网安圈子流行的形式。如果说奥运会是挑战身体极限的竞技,那么 CTF 就是网安圈的“运动会”,大家相互 PK 网络技术,挑战智力极限。近年来,国内外 CTF 大赛层出不穷,为热爱安全技术的人提供展示能力和锻炼技术的绝佳平台。

677db1cc6793f0db5258f1d75a4cca02.jpeg

近日,一场国内超高水准的2023首届阿里云CTF大赛(下文简称“大赛”)落下帷幕。本大赛由阿里云依托阿里云天池平台与清华大学网络与信息安全实验室共同举办的,共有2500多名全球网络安全开发者报名参赛,组成1600多支队伍。来自 Redbud (清华大学)、NeSE(中国科学院大学)AAA(浙江大学)、Vidar-Team(杭州电子科技大学)、0ops(上海交通大学)、天枢(北京邮电大学)、Syclover(成都信息工程大学)、SU 南京大学及部分其他大学联合战队等国内知名高校战队同台竞技,大部分为“00后”年轻极客,妥妥现实版的“韩商言”。

历经激烈鏖战,Straw Hat战队突出重围,以 6651 的高分一举拿下冠军荣誉。

e14c3bc31225e4667dcbaec110990229.png

aa575a2dad7c94396badf3de9ebef84a.png

比赛惊心动魄,攻防大神成长记

时间缓缓向前推进,屏幕前的年轻面孔专心致志攻克最后一道难题,经过近两天两夜的鏖战,时间还剩下最后半个小时。Straw Hat战队每个成员都不敢松懈,关键时刻终于解出最后一道题,并赶在截至时间提交Flag。

团队最终分数定格在6651分!遥遥领先第二名,成功夺冠。由于是线上比赛形式,大家齐齐在群里刷屏欢呼,终于赢了!

说到Straw Hat战队,来头不小,战队成立于2022年,由Nu1L Team、W&M、美国西北大学邢新宇教授团队,还有国内热爱信息安全的优秀选手组成,在 2022年闯入DEFCON CTF并获得全球第七名,曾获得2022年巅峰极客冠军。每个人身怀绝技,分工明确,各有擅长的领域。

那么拥有丰富参赛经验的他们,为什么选择来到阿里云CTF 大赛?Straw Hat认为阿里云技术团队过硬,很多知名CTF选手选择就职阿里云安全团队,同时大赛汇集国内顶尖的出题人,题目新颖,大赛的技术含量较高。“我们都是做技术的,如果认为比赛的技术性较高,都想来参加。阿里云作为国内TOP大厂,可能不用怎么宣传,大家都会过来参赛的。” Straw Hat 负责人说。

说到赛题,本次赛题紧贴潮流,不仅设置传统的WEB、CRYPTO、PWN赛,面对日渐复杂的云计算环境和安全问题,还特别设置云计算环境的题目,融合多种新型云上安全元素的赛题设计,充分考验参赛团队对云上安全的理解。

尽管“身经百战”的 Straw Hat团队也是首次碰到如此“不按常理”出牌的主办方,一道创新的云上题目 “llama.sgx.easy”,需要一个真的SGX设备才能通过远程证明的验证,预期没有密码学、内存破坏漏洞、条件竞争导致的漏洞。

对Straw Hat来说,这道题有些棘手。但对于 CTFer 来说,碰到问题时,不能说卡住了就卡住了,总要想办法解决它,通常解决问题的方法很多种,不会只盯住一条道路,他可能会往左边右边往天上地下到处折腾尝试。

他们尝试在阿里云上开了台具有支持SGX的机器完成本地需求,题目远端的KMS在远程证明本地enclave的时候存在有遗漏,没检查是否开启了debug,导致了题目漏洞的出现,顺利完成这次挑战。

除此之外,主办方从比赛的运维、平台支持上也对选手提供帮助,“组委会响应十分及时,中间遇到一些问题跟组委会反馈后,迅速解决。” Straw Hat 负责人如此说。

笔者还发现官网赛事提醒十分详尽和贴心,为组委会点赞:

275adb0652d85c80c61b1170f07d9232.png

从本次大赛中,Straw Hat团队不仅提高了逆向、密码学等技术能力,并锻炼团队协作,配合得更加熟练,为备战今年的 DEFCON 大赛打下基础。

在黑客电影中主角轻敲键盘,轻松又优雅。然而 CTF大赛考验参赛者的体力、意志力、技术能力和团队精神,在48小时内进行积分对战,高手过招,唯快不破,稍微大意可能会导致失败。Straw Hat团队大部分成员在两天时间里一共睡了五六个小时,甚至还有人通宵两天,只想攻克一个个的难关,实在谈不上酷炫有型,等比赛结束后他们累瘫了。

可能在CTF 大赛这种脑力竞技中,我们无法像观看体育竞技比赛那样直观感受其中扣人心弦的紧张气氛,但从Straw Hat团队夺冠后风轻云淡的描述中,我们也能体会其中的惊心动魄,感受到这群年轻极客对安全的热爱,享受技术对抗带来的成就感,同时尝试挑战与传统CTF赛事不同,全新的云上攻防环境体验,积累云上安全知识,正是本大赛的魅力所在,也是阿里云的初心。

57951658d7aac0a014c20cfef9089415.png

从一个人到一群人,极客精神的传承

据教育部《网络安全人才实战能力白皮书》数据显示,国内已有34个高校设立网络空间安全一级学科。到2027年,我国网络安全人员缺口将达327万,而高校人才培养规模为3万/年,许多行业面临着网络安全人才缺失的困境。

从本次CTF 大赛,我们看到如今相关大赛日趋成熟,从爱好者的自发 PK竞技,演变成人才培养和选拔的关键平台。

从上面Straw Hat的故事中,我们可能会好奇,为什么大赛会加入云安全类的创新题目?

作为大赛的顾问、前 CTF 大牛,现蓝莲花战队教练,清华大学副教授张超表示,云时代下,云安全问题已不容忽视:一是虚拟化问题,虚拟化是云厂商使用最多的基础技术,是支撑云的关键技术,虚拟化安全是云安全的最基础安全问题。二是隐私计算。如今数据作为新型生产力工具,数据涉及到隐私和安全的问题,比如企业数据放在云上时,可能会担心数据安全问题,因此出现隐私计算、机密计算、可行性计算等技术,这些是近几年来很热门的安全话题。三是 CDN,云改变现有网络拓扑的形式,云场景下可能存在网络连接层的安全问题。

61e3128823b348c7e03af7d0c4f903d4.png

清华大学蓝莲花战队教练 张超

而云上环境与传统PC、手机端环境不同,云相对普通用户和安全分析人员来说,无法直接掌控它,了解内部结构以及背后技术,因此从安全角度来看,寻找云上安全漏洞相对有一些难度的。

随着云时代的发展,传统的安全技术已不足以应对新的云上威胁,对安全人才的技术能力随之提高。

作为国内云厂商领导者,阿里云自2009年成立起,建立了阿里云安全团队,从开始的云平台保障到赋能百余行业云上安全,至今已13余载,并坚持技术自研,建立完整的企业安全产品体系。而清华大学在 2010 年成立蓝莲花(Blue-Lotus)战队,2013 年历史性闯入有极客界“奥斯卡”之称的DEFCON CTF 总决赛,2014 年,清华大学举办起国内第一场CTF,随后相关 CTF 赛事如雨后春笋般出现。基于阿里云丰富的云场景积累,与有丰富的 CTF赛事积累的清华大学共同设计这场比赛,让参赛者对云安全有更深了解,同时储备相关的安全人才。

回顾7、8年前,在大众眼里 CTF 是一种业余爱好,并没有像今天那么重视安全技术。他观察到,自 2015 年开始,国内安全领域开始快速发展,这十多年来发生天翻地覆的改变,从大众到国家层面均对安全领域十分关注。像张超带的学生、参赛选手属于“Z世代”的年轻人赶上这波安全发展浪潮,热爱技术,一些人还成为顶尖的极客。

自从张超从选手转变成老师和带队的角色后,心态产生较大的变化,他越来越意识到,光通过打比赛,像做奥数一样是不够的,无法解决当下的人才缺口难题。打比赛时,选手更多的是学习一些经验和技巧,它可能是出题人根据实际案例抽象而成、融会贯通,里面有很多精心设计,选手相当于在复杂的迷宫里找捷径。

而如今他发现网络发展迅速,安全漏洞与日俱增,一个人的时间和精力是有限的,很难解决层出不穷的安全问题。光靠个人来做相关建设是远远不够的,从社会发展规律来看,很多技术最开始是手艺活,但随着生产力的提高,新技术不断更替,自动化替代人工,提高生产效率。尤其是今年 ChatGPT 以惊人速度发展,正在革命我们的工作和生活。如何培养更多人才成为张超关心的问题。

在技术上,张超建议同学们往自动化、智能化发展,未来智能化技术将替代人工来挖漏洞、做攻防,可以多利用自动化方法来解决问题,从而提高生产力。另外不妨多参加像本次CTF 比赛的活动,读本科同学通过比赛快速入门掌握基础知识,感受 CTF 的魅力,培养兴趣。到了研究生阶段,转变理念,不是简单靠个人分析,而是思考问题背后的本质,找根本性解决方案,并形成新的知识,通过实践验证。在工作阶段,拓宽视野,慢慢对领域形成认识,不断终身学习。

张超建议,听说过安全的人,或者没有听说过的人,可以来尝试 CTF 比赛,这是最快理解安全领域的方式。希望大家将 CTF 当做一件“好玩”的事情,最早期的极客也是为了“好玩”,通过一些特殊的技术做别人做不到的事。

从张超的身上中,我们看到传承的力量,张超将结合过往CTF的经验并与时俱进传授给年轻一代极客,带领他们走上更大的舞台,从一个人到一群人,为培养我国网络安全人才不断努力。

953fe39710f5a4eef9d2956832d8fd70.png

新生代的极客,该你们上场了

走出学校,在比赛竞技中或在现实世界的中找到解决问题的思路,正成为新一代科技人才的潮流。同时我们看到,阿里云等大厂提供给这些年轻人实现梦想的平台,为中国安全领域年轻力量的崛起而助力。

曾经是上海交通大学0ops战队的一员、本大赛出题人之一,花名为“道者”的阿里云安全工程师告诉我们,现在的 CTF大赛将会越来越难,简单的题都出过了,所以出题人会绞尽脑汁想出新的类型、新的研究方向,但对于选手来说也在不断进步。对道者来说,作为一名  CTF 选手和现在当大赛的出题人,又是两种完全不同的体验。之前作为选手,他常常猜出题人可能会考察哪些点,本次作为出题人,同样想给选手传达一些新的知识点。出题和解题相当于是选手和出题人员之间的交流碰撞。他通常预设一套解法,而选手的思路有所不同,赛后大家会一起交流碰撞。

道者毕业后果断选择了阿里云安全团队。道者很早就听说阿里云安全团队经常在关键比赛中拿第一,在业内自带“光环”,所以他找实习时选择加入团队。

道者在实习过程中通过工具发现隔壁团队平台漏洞,并和团队小伙伴一起头脑风暴不断尝试突破它的安全机制,成功“拿”下来了。

和道者聊天时,感受到他作为新生代极客阳光一面,可能和他们团队氛围有关,大家很 Open 地交流沟通,一群志趣相投的人在做有意义的事情,他深深被感染。

和以上三位受访者聊天时,他们不约而同地说出“兴趣”“热爱”等词,兴趣对白帽子极客很重要,正是有了兴趣大家才能沉下心专研技术,正是与其他成员有相同的兴趣爱好,才能一起探索,共同进步。正是因为热爱,一群好玩、高智商像道者、Straw Hat等优秀白帽子选择阿里云,相聚本大赛而相识相知。 尽管大赛已结束,但这些新生代极客的故事没有结束,从他们背后我们看到对技术始终坚持、保持创新、无所畏惧的品质,在安全领域里熠熠发光。

正如阿里云首席安全官欧阳欣给新一代年轻极客们/参赛选手们的寄语:“云计算在提升IT资源服务效率的同时,也对其安全防护技术提出了更高的要求。对于新一代安全极客们而言,那些未知的云上安全环境一定会激发他们更多关于破界与探索的欲望,非常高兴能通过本次赛事让ctfer多一些云上ctf体验,年轻极客们,未来云上安全该你们上场了!

一直以来,阿里云积极搭建安全人才培养的平台。据了解,阿里云安全团队每年都会有很多优秀成员像道者那样通过校招进来。早在2020年,阿里云面向高校发布“青色计划”招募令,与高校通过科研、产品等多种合作方式来培养安全人才。并连续多年,阿里云依托天池平台与清华大学举办 “安全AI挑战者计划”大赛,持续助力新生代技术人的能力提升。本次 CTF 大赛也一样,阿里云不留余力为更多年轻人提供战斗和成长的练兵场,以培养未来顶尖安全实战人才。

点击『阅读原文』,查看大赛官网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/19406.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

人工智能轨道交通行业周刊-第34期(2023.2.13-2.19)

本期关键词:智慧地铁、枕簧检测选配机器人、智慧工地、接触网检修、工业缺陷检测 1 整理涉及公众号名单 1.1 行业类 RT轨道交通人民铁道世界轨道交通资讯网铁路信号技术交流北京铁路轨道交通网上榜铁路视点ITS World轨道交通联盟VSTR铁路与城市轨道交通RailMetro…

大脑将会代替开发者的键盘!人类和 AI 能够“双向奔赴”吗? | 近匠

作者 | 王启隆 责编 | 唐小引 出品 | 《新程序员》编辑部 在业界,每逢技术变革,就离不开技术布道者和科学家的身影,他们普及和阐释技术,在变革初期便预测未来技术的发展趋势。成立于 1993 年的全球软件及咨询公司 Thoughtworks…

最新微软薪资曝光,Run去美国还是好选择吗?

2021 年,国内大厂降薪、裁员消息频出。 美国用工荒,科技行业的人才招聘也出现困难,作为市值在全球名列前茅的公司,微软似乎并未受到影响,公司员工人数在今年增加了 2.3 万人。 目前在全世界,微软有大约 1…

微软在盈利前确认裁员

近几个月来,大大小小的科技公司都放慢了招聘计划或宣布裁员,以抵御可能出现的经济衰退,央行官员一直试图通过提高利率来抵御这种衰退。这种转变降低了投资者对微软等成长型股票的兴趣,微软的股价自今年年初以来下跌了约 22%&#…

如何通过tushare接口获取股票数据?

如何安装数据接口的过程: 1.先直接在python里面试了一下,发现是import不进来的,如图: 2.打开anaconda中的prompt界面,输入pip install tushare,来安装这个模块,安装过程如图: 3.安装…

通达信接口怎么样抓取股票实时数据?

通达信接口怎么样抓取股票实时数据?股票爬取接口在股票交易中常常使用到的一些辅助工具,股票爬取接口主要是利用l1和l2接口来执行获取股票实时行情数据的原理,将自己需要查询的需求就可以在接口软件上搜索就可以很快的获取数据了。那么&#…

金士顿服务器内存条型号解读,金士顿标签含义,如何鉴别真假?

4、内存真假难辨,想知道内存条上的每个字母是不是也有真假之分?每个字母代表什么含义?希望以金士顿为例子讲解一下。 造假者都有一个共性:只要那个品牌被消费者所青睐,他们就会伺机而动,疯狂仿冒。金士顿作…

ChatGPT有用到知识图谱吗?它自己是这样回答...

从搜索引擎到个人助手,我们每天都在使用问答系统。问答系统必须能够访问相关的知识并进行推理。通常,知识可以隐式地编码在大型语言模型(LLMs)中,例如ChatGPT、T5 和LaMDA 等大型语言模型,这些模型在未结构…

蚂蚁集团面试复盘 | 面试题复习

蚂蚁实习一面复盘总结4.13 算法题 1、设计一个算法,求第k个最大的数; 直接排序求第k个使用选择排序、冒泡排序、插入排序等排到第k个就返回更快的方法:快排的分治法、最小堆最大堆法,当场写出来还是很难的 2、写单例模式 面试…

重磅发布:2023产业互联网安全十大趋势

3月21日,中国产业互联网发展联盟、《中国信息安全》杂志、南方日报、中国网络空间新兴技术创新论坛、腾讯安全、腾讯研究院联合推出《2023产业互联网安全十大趋势》。 报告汇聚了中国产业互联网发展联盟常务副秘书长陈胜喜、《中国信息安全》杂志社执行董事温哲、南…

点击劫持:CSP frame-ancestors 缺失

点击劫持:CSP frame-ancestors 缺失 什么是Content Security Policy(CSP)启用CSP的两种方法CSP的实例CSP指令介绍限制选项default-src 点击劫持:CSP frame-ancestors 缺失参考 什么是Content Security Policy(CSP&…

chatgpt赋能python:Python如何进行DOS攻击

Python如何进行DOS攻击 随着互联网技术的快速发展,网络攻击也越来越普遍。其中,DOS攻击是一种常见的攻击方式,可以导致目标服务器无法正常工作。Python作为一种高效且易于使用的编程语言,可以用于编写DOS攻击脚本,造成…

账号和权限管理

用户帐号类型 计算机系统帐户的分类帐户共有三种类型 超级用户 指创建者用户 超级用户帐户通常称为root. 可以不受限制地管理系统,并且系统用户可以运行服务. 普通用户帐户由登录并使用系统的真实用户(人员)使用. 超级用户帐户通常称为root,您可以重新…

他们开源了GitHub上最火的双语对话模型,还说AI胡说八道不需要被纠正

衡宇 发自 凹非寺量子位 | 公众号 QbitAI 国产对话机器人ChatGLM,和GPT-4诞生于同一天。 由智谱AI和清华大学KEG实验室联合推出,开启alpha内测版。 这个巧合让智谱AI创始人兼CEO张鹏有一种说不清的复杂感觉。但看到技术被OpenAI做到这么牛,这…

2023爱分析 · 认知智能厂商全景报告 | 爱分析报告

报告编委 黄勇 爱分析合伙人&首席分析师 李进宝 爱分析高级分析师 陈元新 爱分析分析师 目录 1. 研究范围定义 2. 市场洞察 3. 厂商全景地图 4. 市场分析与厂商评估 5. 入选厂商列表 1. 研究范围定义 研究范围 人工智能的发展分为三个阶段——计算…

比尔·盖茨:AI时代已经开启,GPT是40年来最具革命性技术

Datawhale干货 选自:GatesNotes,来源:机器之能 比尔・盖茨表示:人工智能革命重要程度不亚于手机和互联网的诞生。 周二,微软公司创始人比尔・盖茨在他的博客 GatesNotes 中盛赞 OpenAI 的 GPT 模型,称其是…

ChatGPT就这样来了,你不接受它的话,时代就不接受你了

这一波来的太突然了,上个月还在聊ChatGPT会不会替代一部分人的工作,现在就已经发生了。这个周末两天没休息,周六见了在国内最大的ERP软件公司做了十几年的几个朋友,周日见了互联网的几个朋友,包括互联网大厂和游戏公司…

比尔盖茨最新全文:GPT是我一生中见到的两项最具革命性技术之一

ChatGPT狂飙160天,世界已经不是之前的样子。 我新建了人工智能中文站https://ai.weoknow.com 每天给大家更新可用的国内可用chatGPT资源 今天微软公司联合创始人比尔盖茨在他的个人博客中畅谈ChatGPT和生成式人工智能对教育、医疗、生产力提升、公平等等方面的影响。…

大厂当“海王”,独角兽专情,谁是AI医生的扛鼎者?

比尔盖茨可能是ChatGPT的“头号铁粉”。 他对ChatGPT的“表白”,简直如同情话一般热烈,“这是我一生中见到的两项最具革命性的技术之一”。 ChatGPT在医疗领域的落地,则是比尔盖茨最为看好的赛道,他期待全球都束手无策的看病难、看…

关于中国的医疗改革,看人工智能(chatGPT)怎么回答!

1.对于中国的医疗改革你们什么好的建议? 作为一个语言模型,我可以为您提供一些建议,但请注意这仅仅是一些普遍的建议。医疗改革是一个复杂的议题,需要综合考虑各种因素,包括政治、经济、文化和社会等方面。以下是一些…