您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

攻防大牛在身边,这群白帽极客的故事太精彩!

时间:2023-04-26 11:22:56  来源:CSDN  作者:

黑客电影里,神秘的黑客们在键盘上十指如飞,电脑屏幕成串代码飞快刷屏,静静操纵影响世界的走向。

在现实中,有一群白帽子黑客,与用技术恶意牟利的“黑帽子”相反,白帽子是正义的一方,“讲武德”的,在技术江湖中,使出高超技术发现系统安全漏洞,并及时提交给企业进行修复,帮助企业提升产品质量。他们像一位位大隐隐于市的“扫地僧”,默默守卫着我们的数字生活。

在武侠小说里,武功高手为了提高武艺,喜欢相约擂台相互切磋。在网络安全领域也有这样的技术竞技比赛——CTF(Capture The Flag)。电视剧《亲爱的,热爱的》将 CTF 推向大众视野,其实CTF已有20多年了,起源于 1996 年的 DEFCON 全球黑客大会,在网络安全领域进行技术竞技,已经成为全球网安圈子流行的形式。如果说奥运会是挑战身体极限的竞技,那么 CTF 就是网安圈的“运动会”,大家相互 PK 网络技术,挑战智力极限。近年来,国内外 CTF 大赛层出不穷,为热爱安全技术的人提供展示能力和锻炼技术的绝佳平台。

近日,一场国内超高水准的2023首届阿里云CTF大赛(下文简称“大赛”)落下帷幕。本大赛由阿里云依托阿里云天池平台与清华大学网络与信息安全实验室共同举办的,共有2500多名全球网络安全开发者报名参赛,组成1600多支队伍。来自 Redbud (清华大学)、NeSE(中国科学院大学)AAA(浙江大学)、Vidar-Team(杭州电子科技大学)、0ops(上海交通大学)、天枢(北京邮电大学)、Syclover(成都信息工程大学)、SU 南京大学及部分其他大学联合战队等国内知名高校战队同台竞技,大部分为“00后”年轻极客,妥妥现实版的“韩商言”。

历经激烈鏖战,Straw Hat战队突出重围,以 6651 的高分一举拿下冠军荣誉。

比赛惊心动魄,攻防大神成长记

时间缓缓向前推进,屏幕前的年轻面孔专心致志攻克最后一道难题,经过近两天两夜的鏖战,时间还剩下最后半个小时。Straw Hat战队每个成员都不敢松懈,关键时刻终于解出最后一道题,并赶在截至时间提交Flag。

团队最终分数定格在6651分!遥遥领先第二名,成功夺冠。由于是线上比赛形式,大家齐齐在群里刷屏欢呼,终于赢了!

说到Straw Hat战队,来头不小,战队成立于2022年,由Nu1L Team、W&M、美国西北大学邢新宇教授团队,还有国内热爱信息安全的优秀选手组成,在 2022年闯入DEFCON CTF并获得全球第七名,曾获得2022年巅峰极客冠军。每个人身怀绝技,分工明确,各有擅长的领域。

那么拥有丰富参赛经验的他们,为什么选择来到阿里云CTF 大赛?Straw Hat认为阿里云技术团队过硬,很多知名CTF选手选择就职阿里云安全团队,同时大赛汇集国内顶尖的出题人,题目新颖,大赛的技术含量较高。“我们都是做技术的,如果认为比赛的技术性较高,都想来参加。阿里云作为国内TOP大厂,可能不用怎么宣传,大家都会过来参赛的。” Straw Hat 负责人说。

说到赛题,本次赛题紧贴潮流,不仅设置传统的WEB、CRYPTO、PWN赛,面对日渐复杂的云计算环境和安全问题,还特别设置云计算环境的题目,融合多种新型云上安全元素的赛题设计,充分考验参赛团队对云上安全的理解。

尽管“身经百战”的 Straw Hat团队也是首次碰到如此“不按常理”出牌的主办方,一道创新的云上题目 “llama.sgx.easy”,需要一个真的SGX设备才能通过远程证明的验证,预期没有密码学、内存破坏漏洞、条件竞争导致的漏洞。

对Straw Hat来说,这道题有些棘手。但对于 CTFer 来说,碰到问题时,不能说卡住了就卡住了,总要想办法解决它,通常解决问题的方法很多种,不会只盯住一条道路,他可能会往左边右边往天上地下到处折腾尝试。

他们尝试在阿里云上开了台具有支持SGX的机器完成本地需求,题目远端的KMS在远程证明本地enclave的时候存在有遗漏,没检查是否开启了debug,导致了题目漏洞的出现,顺利完成这次挑战。

除此之外,主办方从比赛的运维、平台支持上也对选手提供帮助,“组委会响应十分及时,中间遇到一些问题跟组委会反馈后,迅速解决。” Straw Hat 负责人如此说。

笔者还发现官网赛事提醒十分详尽和贴心,为组委会点赞:

从本次大赛中,Straw Hat团队不仅提高了逆向、密码学等技术能力,并锻炼团队协作,配合得更加熟练,为备战今年的 DEFCON 大赛打下基础。

在黑客电影中主角轻敲键盘,轻松又优雅。然而 CTF大赛考验参赛者的体力、意志力、技术能力和团队精神,在48小时内进行积分对战,高手过招,唯快不破,稍微大意可能会导致失败。Straw Hat团队大部分成员在两天时间里一共睡了五六个小时,甚至还有人通宵两天,只想攻克一个个的难关,实在谈不上酷炫有型,等比赛结束后他们累瘫了。

可能在CTF 大赛这种脑力竞技中,我们无法像观看体育竞技比赛那样直观感受其中扣人心弦的紧张气氛,但从Straw Hat团队夺冠后风轻云淡的描述中,我们也能体会其中的惊心动魄,感受到这群年轻极客对安全的热爱,享受技术对抗带来的成就感,同时尝试挑战与传统CTF赛事不同,全新的云上攻防环境体验,积累云上安全知识,正是本大赛的魅力所在,也是阿里云的初心。

从一个人到一群人,极客精神的传承

据教育部《网络安全人才实战能力白皮书》数据显示,国内已有34个高校设立网络空间安全一级学科。到2027年,我国网络安全人员缺口将达327万,而高校人才培养规模为3万/年,许多行业面临着网络安全人才缺失的困境。

从本次CTF 大赛,我们看到如今相关大赛日趋成熟,从爱好者的自发 PK竞技,演变成人才培养和选拔的关键平台。

从上面Straw Hat的故事中,我们可能会好奇,为什么大赛会加入云安全类的创新题目?

作为大赛的顾问、前 CTF 大牛,现蓝莲花战队教练,清华大学副教授张超表示,云时代下,云安全问题已不容忽视:一是虚拟化问题,虚拟化是云厂商使用最多的基础技术,是支撑云的关键技术,虚拟化安全是云安全的最基础安全问题。二是隐私计算。如今数据作为新型生产力工具,数据涉及到隐私和安全的问题,比如企业数据放在云上时,可能会担心数据安全问题,因此出现隐私计算、机密计算、可行性计算等技术,这些是近几年来很热门的安全话题。三是 CDN,云改变现有网络拓扑的形式,云场景下可能存在网络连接层的安全问题。

清华大学蓝莲花战队教练 张超

而云上环境与传统PC、手机端环境不同,云相对普通用户和安全分析人员来说,无法直接掌控它,了解内部结构以及背后技术,因此从安全角度来看,寻找云上安全漏洞相对有一些难度的。

随着云时代的发展,传统的安全技术已不足以应对新的云上威胁,对安全人才的技术能力随之提高。

作为国内云厂商领导者,阿里云自2009年成立起,建立了阿里云安全团队,从开始的云平台保障到赋能百余行业云上安全,至今已13余载,并坚持技术自研,建立完整的企业安全产品体系。而清华大学在 2010 年成立蓝莲花(Blue-Lotus)战队,2013 年历史性闯入有极客界“奥斯卡”之称的DEFCON CTF 总决赛,2014 年,清华大学举办起国内第一场CTF,随后相关 CTF 赛事如雨后春笋般出现。基于阿里云丰富的云场景积累,与有丰富的 CTF赛事积累的清华大学共同设计这场比赛,让参赛者对云安全有更深了解,同时储备相关的安全人才。

回顾7、8年前,在大众眼里 CTF 是一种业余爱好,并没有像今天那么重视安全技术。他观察到,自 2015 年开始,国内安全领域开始快速发展,这十多年来发生天翻地覆的改变,从大众到国家层面均对安全领域十分关注。像张超带的学生、参赛选手属于“Z世代”的年轻人赶上这波安全发展浪潮,热爱技术,一些人还成为顶尖的极客。

自从张超从选手转变成老师和带队的角色后,心态产生较大的变化,他越来越意识到,光通过打比赛,像做奥数一样是不够的,无法解决当下的人才缺口难题。打比赛时,选手更多的是学习一些经验和技巧,它可能是出题人根据实际案例抽象而成、融会贯通,里面有很多精心设计,选手相当于在复杂的迷宫里找捷径。

而如今他发现网络发展迅速,安全漏洞与日俱增,一个人的时间和精力是有限的,很难解决层出不穷的安全问题。光靠个人来做相关建设是远远不够的,从社会发展规律来看,很多技术最开始是手艺活,但随着生产力的提高,新技术不断更替,自动化替代人工,提高生产效率。尤其是今年 ChatGPT 以惊人速度发展,正在革命我们的工作和生活。如何培养更多人才成为张超关心的问题。

在技术上,张超建议同学们往自动化、智能化发展,未来智能化技术将替代人工来挖漏洞、做攻防,可以多利用自动化方法来解决问题,从而提高生产力。另外不妨多参加像本次CTF 比赛的活动,读本科同学通过比赛快速入门掌握基础知识,感受 CTF 的魅力,培养兴趣。到了研究生阶段,转变理念,不是简单靠个人分析,而是思考问题背后的本质,找根本性解决方案,并形成新的知识,通过实践验证。在工作阶段,拓宽视野,慢慢对领域形成认识,不断终身学习。

张超建议,听说过安全的人,或者没有听说过的人,可以来尝试 CTF 比赛,这是最快理解安全领域的方式。希望大家将 CTF 当做一件“好玩”的事情,最早期的极客也是为了“好玩”,通过一些特殊的技术做别人做不到的事。

从张超的身上中,我们看到传承的力量,张超将结合过往CTF的经验并与时俱进传授给年轻一代极客,带领他们走上更大的舞台,从一个人到一群人,为培养我国网络安全人才不断努力。

新生代的极客,该你们上场了

走出学校,在比赛竞技中或在现实世界的中找到解决问题的思路,正成为新一代科技人才的潮流。同时我们看到,阿里云等大厂提供给这些年轻人实现梦想的平台,为中国安全领域年轻力量的崛起而助力。

曾经是上海交通大学0ops战队的一员、本大赛出题人之一,花名为“道者”的阿里云安全工程师告诉我们,现在的 CTF大赛将会越来越难,简单的题都出过了,所以出题人会绞尽脑汁想出新的类型、新的研究方向,但对于选手来说也在不断进步。对道者来说,作为一名 CTF 选手和现在当大赛的出题人,又是两种完全不同的体验。之前作为选手,他常常猜出题人可能会考察哪些点,本次作为出题人,同样想给选手传达一些新的知识点。出题和解题相当于是选手和出题人员之间的交流碰撞。他通常预设一套解法,而选手的思路有所不同,赛后大家会一起交流碰撞。

道者毕业后果断选择了阿里云安全团队。道者很早就听说阿里云安全团队经常在关键比赛中拿第一,在业内自带“光环”,所以他找实习时选择加入团队。

道者在实习过程中通过工具发现隔壁团队平台漏洞,并和团队小伙伴一起头脑风暴不断尝试突破它的安全机制,成功“拿”下来了。

和道者聊天时,感受到他作为新生代极客阳光一面,可能和他们团队氛围有关,大家很 Open 地交流沟通,一群志趣相投的人在做有意义的事情,他深深被感染。

和以上三位受访者聊天时,他们不约而同地说出“兴趣”“热爱”等词,兴趣对白帽子极客很重要,正是有了兴趣大家才能沉下心专研技术,正是与其他成员有相同的兴趣爱好,才能一起探索,共同进步。正是因为热爱,一群好玩、高智商像道者、Straw Hat等优秀白帽子选择阿里云,相聚本大赛而相识相知。 尽管大赛已结束,但这些新生代极客的故事没有结束,从他们背后我们看到对技术始终坚持、保持创新、无所畏惧的品质,在安全领域里熠熠发光。

正如阿里云首席安全官欧阳欣给新一代年轻极客们/参赛选手们的寄语:“ 云计算在提升IT资源服务效率的同时,也对其安全防护技术提出了更高的要求。对于新一代安全极客们而言,那些未知的云上安全环境一定会激发他们更多关于破界与探索的欲望,非常高兴能通过本次赛事让ctfer多一些云上ctf体验,年轻极客们,未来云上安全该你们上场了!

一直以来,阿里云积极搭建安全人才培养的平台。据了解,阿里云安全团队每年都会有很多优秀成员像道者那样通过校招进来。早在2020年,阿里云面向高校发布“青色计划”招募令,与高校通过科研、产品等多种合作方式来培养安全人才。并连续多年,阿里云依托天池平台与清华大学举办 “安全AI挑战者计划”大赛,持续助力新生代技术人的能力提升。本次 CTF 大赛也一样,阿里云不留余力为更多年轻人提供战斗和成长的练兵场,以培养未来顶尖安全实战人才。



Tags:白帽   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
在黑客电影里,神秘的黑客们在键盘上十指如飞,电脑屏幕成串代码飞快刷屏,静静操纵影响世界的走向。在现实中,有一群白帽子黑客,与用技术恶意牟利的“黑帽子”相反,白帽子是正义的一...【详细内容】
2023-04-26  Tags: 白帽  点击:(0)  评论:(0)  加入收藏
2016年7.20号,国内最大的白帽子交流平台被迫关闭。在互联网世界,乌云网一直扮演着“守护者”角色,但乌云网模式自诞生起,就一直行走在灰色地带,因而备受争议。乌云网此次危机,正是...【详细内容】
2022-05-26  Tags: 白帽  点击:(212)  评论:(0)  加入收藏
一、背景介绍DirBuster是用来探测web服务器上的目录和隐藏文件的。因为DirBuster是采用java编写的,所以运行前要安装上java的环境。 来看一下基本的使用: ①:TargetURL下输入要...【详细内容】
2021-12-07  Tags: 白帽  点击:(272)  评论:(0)  加入收藏
#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为dir 浏览 创建文件 echo 文件内容 > 文件名字.扩展名 浏览文件内容 type 文件名 分页浏...【详细内容】
2021-12-07  Tags: 白帽  点击:(238)  评论:(0)  加入收藏
1.背景介绍几乎每一个玩渗透的人都会接触到metasploit framework,简称msf。这是一个渗透测试框架,用ruby语言编写的,该框架集成了很多可用的exploit,比如著名的ms08_067等。你可...【详细内容】
2021-11-15  Tags: 白帽  点击:(267)  评论:(0)  加入收藏
在前面的课程中,我们学习了ARP攻击的理论和实践知识,知道了怎么进行攻击,这节中我们将学习如何进行防御,内容包括:ü借助第三方软件防御(360安全卫士,腾讯管家等)ü使用arp...【详细内容】
2021-11-13  Tags: 白帽  点击:(306)  评论:(0)  加入收藏
一、背景介绍在网上冲浪少不了用到搜索引擎,而很多朋友都习惯把Google视为第一个选择对象。当然Google无论在搜索速度还是结果关联性方面都是十分优秀的。但百度(http://www.b...【详细内容】
2021-11-05  Tags: 白帽  点击:(229)  评论:(0)  加入收藏
在SEO优化的职业里,运用搜索引擎对网页内容的检索原理,对网站内部外部资源进行优化整合,然后到达抱负的作用,便利客户快速找到想要的信息。在分类上也可分白帽SEO和黑帽SEO。一...【详细内容】
2021-10-22  Tags: 白帽  点击:(174)  评论:(0)  加入收藏
一、背景介绍Sparta是python GUI应用程序,它通过在扫描和枚举阶段协助渗透测试仪来简化网络基础结构渗透测试。通过点击并单击工具箱并以方便的方式显示所有工具输出,它可以使...【详细内容】
2021-10-20  Tags: 白帽  点击:(249)  评论:(0)  加入收藏
账户安全(1)更名administrator本地用户并禁用guest账户步骤:点击“开始”,找到“管理工具”,点击里面的“计算机管理”,找到“本地用户和组” (2)设定账户锁定策略尝试5次失败...【详细内容】
2021-10-12  Tags: 白帽  点击:(304)  评论:(0)  加入收藏
▌简易百科推荐
在黑客电影里,神秘的黑客们在键盘上十指如飞,电脑屏幕成串代码飞快刷屏,静静操纵影响世界的走向。在现实中,有一群白帽子黑客,与用技术恶意牟利的“黑帽子”相反,白帽子是正义的一...【详细内容】
2023-04-26    CSDN  Tags:白帽   点击:(0)  评论:(0)  加入收藏
勒索软件变得越来越复杂和有效,使其难以检测和预防。通常用于支付赎金的加密货币的可用性,以及它们为攻击者提供的匿名性,也使得恶意行为者更容易参与勒索软件攻击。根据 AAG...【详细内容】
2023-04-03  祺印说信安  微信公众号  Tags:勒索软件   点击:(15)  评论:(0)  加入收藏
道德黑客工具和软件是由开发人员设计的计算机程序或复杂类型的脚本,由安全专业人员用于识别机器操作系统、web应用程序、服务器和网络中的弱点。如今,许多企业都依赖这种道德...【详细内容】
2023-03-21  浅谈一入  今日头条  Tags:黑客   点击:(46)  评论:(0)  加入收藏
零信任,作为近年来网络安全领域最为火热的技术之一,它的存在为组织网络架构和安全建设提供了新的思路和方向,“持续验证、永不信任”的零信任正在成为开拓新一代组织网络安全建...【详细内容】
2023-03-21  老李讲安全  今日头条  Tags:零信任   点击:(16)  评论:(0)  加入收藏
我们在这篇博文中将侧重介绍Shodan如何帮助揭露支持勒索软件团伙的一些基础设施。Shodan是一种抓取banner信息的搜索引擎,可以收集直接连接到互联网的所有设备的信息。如果某...【详细内容】
2023-02-23  嘶吼RoarTalk   网易号  Tags:Shodan   点击:(56)  评论:(0)  加入收藏
最近,趋势科技的研究人员分析了几种可被滥用来攻击供应链的攻击载体的概念证明,其中一种便是针对开发者的供应链攻击,该证明重点关注了本地集成开发环境(IDE),考虑当项目或生成被...【详细内容】
2023-02-23  嘶吼RoarTalk   网易号  Tags:攻击   点击:(37)  评论:(0)  加入收藏
网络在给我们带来无限方便的同时,也隐藏着无数危机。2022年网络攻击造成的损失创下新的历史记录,根据Cybersecurity Ventures最新发布的“2022年网络犯罪报告”,预计2023年网络...【详细内容】
2023-02-21  天磊卫士官方    Tags:渗透测试   点击:(29)  评论:(0)  加入收藏
未来AI会不会发起黑客攻击?当然有可能,而且可能近在咫尺。AI攻击会先确定目标,然后获得反馈,不断优化提升。如果某一天AI能开发出完全新颖的解决方案,甚至开始优化方案,那其杀伤力...【详细内容】
2023-02-21    极客网  Tags:黑客   点击:(42)  评论:(0)  加入收藏
前言很多安全人新入门时,都需要在特定的靶场进行学习,今天老李给大家找了一篇关于网站拿webshell的全部过程。当然了,文章中所有的操作都是基于靶场进行了,小伙伴可以找相关的测...【详细内容】
2023-02-18  老李讲安全  今日头条  Tags:渗透测试最   点击:(56)  评论:(0)  加入收藏
如今的首席信息安全官必须确保他们始终为下一个发展趋势做好准备,并领先于对手。2023年的安全形势与一年前相比已经发生了一些变化,更不用说10年前。俄乌冲突、Web3和人工智能...【详细内容】
2023-02-17  互盟数据中心   网易号  Tags:黑客   点击:(63)  评论:(0)  加入收藏
站内最新
站内热门
站内头条