在黑客电影里,神秘的黑客们在键盘上十指如飞,电脑屏幕成串代码飞快刷屏,静静操纵影响世界的走向。
在现实中,有一群白帽子黑客,与用技术恶意牟利的“黑帽子”相反,白帽子是正义的一方,“讲武德”的,在技术江湖中,使出高超技术发现系统安全漏洞,并及时提交给企业进行修复,帮助企业提升产品质量。他们像一位位大隐隐于市的“扫地僧”,默默守卫着我们的数字生活。
在武侠小说里,武功高手为了提高武艺,喜欢相约擂台相互切磋。在网络安全领域也有这样的技术竞技比赛——CTF(Capture The Flag)。电视剧《亲爱的,热爱的》将 CTF 推向大众视野,其实CTF已有20多年了,起源于 1996 年的 DEFCON 全球黑客大会,在网络安全领域进行技术竞技,已经成为全球网安圈子流行的形式。如果说奥运会是挑战身体极限的竞技,那么 CTF 就是网安圈的“运动会”,大家相互 PK 网络技术,挑战智力极限。近年来,国内外 CTF 大赛层出不穷,为热爱安全技术的人提供展示能力和锻炼技术的绝佳平台。
近日,一场国内超高水准的2023首届阿里云CTF大赛(下文简称“大赛”)落下帷幕。本大赛由阿里云依托阿里云天池平台与清华大学网络与信息安全实验室共同举办的,共有2500多名全球网络安全开发者报名参赛,组成1600多支队伍。来自 Redbud (清华大学)、NeSE(中国科学院大学)AAA(浙江大学)、Vidar-Team(杭州电子科技大学)、0ops(上海交通大学)、天枢(北京邮电大学)、Syclover(成都信息工程大学)、SU 南京大学及部分其他大学联合战队等国内知名高校战队同台竞技,大部分为“00后”年轻极客,妥妥现实版的“韩商言”。
历经激烈鏖战,Straw Hat战队突出重围,以 6651 的高分一举拿下冠军荣誉。
比赛惊心动魄,攻防大神成长记
时间缓缓向前推进,屏幕前的年轻面孔专心致志攻克最后一道难题,经过近两天两夜的鏖战,时间还剩下最后半个小时。Straw Hat战队每个成员都不敢松懈,关键时刻终于解出最后一道题,并赶在截至时间提交Flag。
团队最终分数定格在6651分!遥遥领先第二名,成功夺冠。由于是线上比赛形式,大家齐齐在群里刷屏欢呼,终于赢了!
说到Straw Hat战队,来头不小,战队成立于2022年,由Nu1L Team、W&M、美国西北大学邢新宇教授团队,还有国内热爱信息安全的优秀选手组成,在 2022年闯入DEFCON CTF并获得全球第七名,曾获得2022年巅峰极客冠军。每个人身怀绝技,分工明确,各有擅长的领域。
那么拥有丰富参赛经验的他们,为什么选择来到阿里云CTF 大赛?Straw Hat认为阿里云技术团队过硬,很多知名CTF选手选择就职阿里云安全团队,同时大赛汇集国内顶尖的出题人,题目新颖,大赛的技术含量较高。“我们都是做技术的,如果认为比赛的技术性较高,都想来参加。阿里云作为国内TOP大厂,可能不用怎么宣传,大家都会过来参赛的。” Straw Hat 负责人说。
说到赛题,本次赛题紧贴潮流,不仅设置传统的WEB、CRYPTO、PWN赛,面对日渐复杂的云计算环境和安全问题,还特别设置云计算环境的题目,融合多种新型云上安全元素的赛题设计,充分考验参赛团队对云上安全的理解。
尽管“身经百战”的 Straw Hat团队也是首次碰到如此“不按常理”出牌的主办方,一道创新的云上题目“llama.sgx.easy”,需要一个真的SGX设备才能通过远程证明的验证,预期没有密码学、内存破坏漏洞、条件竞争导致的漏洞。
对Straw Hat来说,这道题有些棘手。但对于 CTFer 来说,碰到问题时,不能说卡住了就卡住了,总要想办法解决它,通常解决问题的方法很多种,不会只盯住一条道路,他可能会往左边右边往天上地下到处折腾尝试。
他们尝试在阿里云上开了台具有支持SGX的机器完成本地需求,题目远端的KMS在远程证明本地enclave的时候存在有遗漏,没检查是否开启了debug,导致了题目漏洞的出现,顺利完成这次挑战。
除此之外,主办方从比赛的运维、平台支持上也对选手提供帮助,“组委会响应十分及时,中间遇到一些问题跟组委会反馈后,迅速解决。” Straw Hat 负责人如此说。
笔者还发现官网赛事提醒十分详尽和贴心,为组委会点赞:
从本次大赛中,Straw Hat团队不仅提高了逆向、密码学等技术能力,并锻炼团队协作,配合得更加熟练,为备战今年的 DEFCON 大赛打下基础。
在黑客电影中主角轻敲键盘,轻松又优雅。然而 CTF大赛考验参赛者的体力、意志力、技术能力和团队精神,在48小时内进行积分对战,高手过招,唯快不破,稍微大意可能会导致失败。Straw Hat团队大部分成员在两天时间里一共睡了五六个小时,甚至还有人通宵两天,只想攻克一个个的难关,实在谈不上酷炫有型,等比赛结束后他们累瘫了。
可能在CTF 大赛这种脑力竞技中,我们无法像观看体育竞技比赛那样直观感受其中扣人心弦的紧张气氛,但从Straw Hat团队夺冠后风轻云淡的描述中,我们也能体会其中的惊心动魄,感受到这群年轻极客对安全的热爱,享受技术对抗带来的成就感,同时尝试挑战与传统CTF赛事不同,全新的云上攻防环境体验,积累云上安全知识,正是本大赛的魅力所在,也是阿里云的初心。
从一个人到一群人,极客精神的传承
据教育部《网络安全人才实战能力白皮书》数据显示,国内已有34个高校设立网络空间安全一级学科。到2027年,我国网络安全人员缺口将达327万,而高校人才培养规模为3万/年,许多行业面临着网络安全人才缺失的困境。
从本次CTF 大赛,我们看到如今相关大赛日趋成熟,从爱好者的自发 PK竞技,演变成人才培养和选拔的关键平台。
从上面Straw Hat的故事中,我们可能会好奇,为什么大赛会加入云安全类的创新题目?
作为大赛的顾问、前 CTF 大牛,现蓝莲花战队教练,清华大学副教授张超表示,云时代下,云安全问题已不容忽视:一是虚拟化问题,虚拟化是云厂商使用最多的基础技术,是支撑云的关键技术,虚拟化安全是云安全的最基础安全问题。二是隐私计算。如今数据作为新型生产力工具,数据涉及到隐私和安全的问题,比如企业数据放在云上时,可能会担心数据安全问题,因此出现隐私计算、机密计算、可行性计算等技术,这些是近几年来很热门的安全话题。三是 CDN,云改变现有网络拓扑的形式,云场景下可能存在网络连接层的安全问题。
而云上环境与传统PC、手机端环境不同,云相对普通用户和安全分析人员来说,无法直接掌控它,了解内部结构以及背后技术,因此从安全角度来看,寻找云上安全漏洞相对有一些难度的。
随着云时代的发展,传统的安全技术已不足以应对新的云上威胁,对安全人才的技术能力随之提高。
作为国内云厂商领导者,阿里云自2009年成立起,建立了阿里云安全团队,从开始的云平台保障到赋能百余行业云上安全,至今已13余载,并坚持技术自研,建立完整的企业安全产品体系。而清华大学在 2010 年成立蓝莲花(Blue-Lotus)战队,2013 年历史性闯入有极客界“奥斯卡”之称的DEFCON CTF 总决赛,2014 年,清华大学举办起国内第一场CTF,随后相关 CTF 赛事如雨后春笋般出现。基于阿里云丰富的云场景积累,与有丰富的 CTF赛事积累的清华大学共同设计这场比赛,让参赛者对云安全有更深了解,同时储备相关的安全人才。
回顾7、8年前,在大众眼里 CTF 是一种业余爱好,并没有像今天那么重视安全技术。他观察到,自 2015 年开始,国内安全领域开始快速发展,这十多年来发生天翻地覆的改变,从大众到国家层面均对安全领域十分关注。像张超带的学生、参赛选手属于“Z世代”的年轻人赶上这波安全发展浪潮,热爱技术,一些人还成为顶尖的极客。
自从张超从选手转变成老师和带队的角色后,心态产生较大的变化,他越来越意识到,光通过打比赛,像做奥数一样是不够的,无法解决当下的人才缺口难题。打比赛时,选手更多的是学习一些经验和技巧,它可能是出题人根据实际案例抽象而成、融会贯通,里面有很多精心设计,选手相当于在复杂的迷宫里找捷径。
而如今他发现网络发展迅速,安全漏洞与日俱增,一个人的时间和精力是有限的,很难解决层出不穷的安全问题。光靠个人来做相关建设是远远不够的,从社会发展规律来看,很多技术最开始是手艺活,但随着生产力的提高,新技术不断更替,自动化替代人工,提高生产效率。尤其是今年 ChatGPT 以惊人速度发展,正在革命我们的工作和生活。如何培养更多人才成为张超关心的问题。
在技术上,张超建议同学们往自动化、智能化发展,未来智能化技术将替代人工来挖漏洞、做攻防,可以多利用自动化方法来解决问题,从而提高生产力。另外不妨多参加像本次CTF 比赛的活动,读本科同学通过比赛快速入门掌握基础知识,感受 CTF 的魅力,培养兴趣。到了研究生阶段,转变理念,不是简单靠个人分析,而是思考问题背后的本质,找根本性解决方案,并形成新的知识,通过实践验证。在工作阶段,拓宽视野,慢慢对领域形成认识,不断终身学习。
张超建议,听说过安全的人,或者没有听说过的人,可以来尝试 CTF 比赛,这是最快理解安全领域的方式。希望大家将 CTF 当做一件“好玩”的事情,最早期的极客也是为了“好玩”,通过一些特殊的技术做别人做不到的事。
从张超的身上中,我们看到传承的力量,张超将结合过往CTF的经验并与时俱进传授给年轻一代极客,带领他们走上更大的舞台,从一个人到一群人,为培养我国网络安全人才不断努力。
新生代的极客,该你们上场了
走出学校,在比赛竞技中或在现实世界的中找到解决问题的思路,正成为新一代科技人才的潮流。同时我们看到,阿里云等大厂提供给这些年轻人实现梦想的平台,为中国安全领域年轻力量的崛起而助力。
曾经是上海交通大学0ops战队的一员、本大赛出题人之一,花名为“道者”的阿里云安全工程师告诉我们,现在的 CTF大赛将会越来越难,简单的题都出过了,所以出题人会绞尽脑汁想出新的类型、新的研究方向,但对于选手来说也在不断进步。对道者来说,作为一名 CTF 选手和现在当大赛的出题人,又是两种完全不同的体验。之前作为选手,他常常猜出题人可能会考察哪些点,本次作为出题人,同样想给选手传达一些新的知识点。出题和解题相当于是选手和出题人员之间的交流碰撞。他通常预设一套解法,而选手的思路有所不同,赛后大家会一起交流碰撞。
道者毕业后果断选择了阿里云安全团队。道者很早就听说阿里云安全团队经常在关键比赛中拿第一,在业内自带“光环”,所以他找实习时选择加入团队。
道者在实习过程中通过工具发现隔壁团队平台漏洞,并和团队小伙伴一起头脑风暴不断尝试突破它的安全机制,成功“拿”下来了。
和道者聊天时,感受到他作为新生代极客阳光一面,可能和他们团队氛围有关,大家很 Open 地交流沟通,一群志趣相投的人在做有意义的事情,他深深被感染。
和以上三位受访者聊天时,他们不约而同地说出“兴趣”“热爱”等词,兴趣对白帽子极客很重要,正是有了兴趣大家才能沉下心专研技术,正是与其他成员有相同的兴趣爱好,才能一起探索,共同进步。正是因为热爱,一群好玩、高智商像道者、Straw Hat等优秀白帽子选择阿里云,相聚本大赛而相识相知。尽管大赛已结束,但这些新生代极客的故事没有结束,从他们背后我们看到对技术始终坚持、保持创新、无所畏惧的品质,在安全领域里熠熠发光。
正如阿里云首席安全官欧阳欣给新一代年轻极客们/参赛选手们的寄语:“云计算在提升IT资源服务效率的同时,也对其安全防护技术提出了更高的要求。对于新一代安全极客们而言,那些未知的云上安全环境一定会激发他们更多关于破界与探索的欲望,非常高兴能通过本次赛事让ctfer多一些云上ctf体验,年轻极客们,未来云上安全该你们上场了!”
一直以来,阿里云积极搭建安全人才培养的平台。据了解,阿里云安全团队每年都会有很多优秀成员像道者那样通过校招进来。早在2020年,阿里云面向高校发布“青色计划”招募令,与高校通过科研、产品等多种合作方式来培养安全人才。并连续多年,阿里云依托天池平台与清华大学举办 “安全AI挑战者计划”大赛,持续助力新生代技术人的能力提升。本次 CTF 大赛也一样,阿里云不留余力为更多年轻人提供战斗和成长的练兵场,以培养未来顶尖安全实战人才。
点击『阅读原文』,查看大赛官网!