0
時間能改變什么呢?
比如,2017 年,世界著名黑客 MJ 0011(鄭文彬)還帶領著 360 安全站隊捧回了 Pwn2Own 2017 世界黑客大賽的冠軍獎杯以及一件酷炫的冠軍皮衣。
2019 年 7 月 5 日,MJ在 WCTF 世界黑客大師賽上激情開講。
今年的 WCTF 借鑒了 Pwn2Own 的不少賽題設置。
從打比賽的人到“舉辦比賽的人”,中間發生了什么呢?很多事情。首先,出國打Pwn2Own這類比賽已經不被“上級”鼓勵,再者,360 的老周這兩年也一直在說——出國打什么比賽,為什么要把漏洞“武器”貢獻給外國人?我們要搞自己的比賽,讓別人過來打。
話說得“政治正確”,雷鋒網編輯看到這兩年傳出來的 Pwn2Own 的戰果——比如,誰誰誰因為破解特斯拉而被特斯拉獎勵了一輛車車這種熱血燃情的新聞時,總是有點意難平——要是國內的頂尖強隊也按照以往的情形參加,還有國外選手什么事呢?!
還有一個現象挺有意思,雖然往外“出漏洞”的比賽不被鼓勵,但是DEF CON CTF 這種世界級技巧型比賽大家還是打得不亦樂乎的,今年也有不少DEF CON 的外卡賽由中國的參賽者舉辦,比如騰訊的 TCTF、百度的 BCTF。
這樣一看,360 舉辦的 WCTF 有什么特色?360 會有壓力嗎?WCTF 也要努力變成 DEF CON CTF 的外卡賽嗎?
這是雷鋒網編輯拋給 MJ 和 360 著名安全專家李康的問題。
出乎意料的是,他們不打算按照這個路子走。MJ 傲嬌地說,為什么要變成 DEF CON CTF 的外卡賽呢?我希望以后別的地方還有 WCTF 的外卡賽。
【左:李康 右:MJ】
WCTF 可能有這個潛力。
首先,是參賽選手水平很高。
WCTF 分為大師賽和新人賽。大師賽,從字面上都可以看出,是邀請水平比較高的“神仙戰隊”一決高下:在2019 WCTF上,主辦方邀請到了波蘭 Google 安全團隊 Dragon Sector、法國瑞士聯合戰隊 0daysober、日本戰隊 TokyoWesterns、美國戰隊 Shellphish、德國戰隊 Eat,Sleep,Pwn,Repeat、俄羅斯戰隊 LC?BC、韓國戰隊 Cykor,以及 NU1L、r3kapig和 217三支來自中國網安領域的戰隊。
新人賽今年則邀請了清華、復旦、北航、西安電子、成信大、中國科學院等十所頂尖高校的青年網安戰隊。
這些戰隊有什么神奇之處?如果你熟悉 CTF 賽事,會發現這些戰隊都是 CTF 戰隊排行榜上赫赫有名的高手(你可以把這個排行榜理解為世界武林高手榜):
第二,參賽賽題偏實戰。
如果說常規 CTF 被一些人稱為“僅僅做題,沒有實戰”的比賽,那么 WCTF 可能更加“商業化”,今年的 WCTF 賽題頗為硬核,有涵蓋硬件安全、移動安全、操作系統安全、瀏覽器安全、密碼破譯、沙箱逃逸、虛擬機逃逸、內核提權等多領域的賽題。
今年的 WCTF 還主打兩個領域:硬件安全與瀏覽器漏洞。
虛擬的網絡世界,背后是數以百億計的 IoT 智能產品、基站、寬帶、工控設備、大型硬件系統等常用網絡設備,談及網絡世界的攻防戰爭,自然繞不開硬件安全,而近年來國際上多個 APT 高級威脅組織利用瀏覽器漏洞滲透攻擊,直接造成大批用戶遭遇勒索病毒攻擊,導致信息泄露威脅個人及財產安全。
如果你熟悉 Pwn2Own ,會發現 WCTF 擁有其熟悉的調調,但 WCTF 與 Pwn2Own 還是有本質區別,如果你要打 Pwn2Own ,可能要準備很久,尋找那些巧妙的“零日漏洞”,并要布局參賽策略,以防撞洞(雷鋒網注:和競爭對手使用同樣的漏洞),打下一個特定目標后,選手必須把漏洞信息與利用詳情與涉及廠商共享,這也是老周這兩年極力強調“漏洞是戰略資源,不要往國外送洞”論調的背景原因之一。WCTF 是現場實戰型比賽,只有 18 個小時,賽題中涉及的攻擊目標與商業目標不完全一致,但是“很像”,而且參賽選手可以不顧賽題設置方的邏輯,直接用商業工具或者自己寫的工具攻擊。
最有意思的是,今年的 WCTF 和往年一樣,依然是“高手”給“高手”出題:參賽選手互相出題,非常有看點。
第三,WCTF 有“正兒八經”的賽后分享會議。
它的重點不在于“大師隊伍”解密如何“吊打”對手,而是分享出題、攻擊、防守思路,機智如你,可能能想到這對參賽選手,尤其是“新人團隊”的意義,高手過招,觀看都是“吸收精華”。
雷鋒網編輯一直在觀察 360 的“打法”,你也可以發現,360 這兩年以“守衛國家安全”來定義自己。從中國安全市場看,這是一個“頗有前途”的思路,不然為什么那么多企業爭破腦袋想進“國家隊”?
既然是“守衛國家安全”,那么老周說“不要往外送戰略資源”的觀點你應該能夠理解了。“不往外送”,那就“朝里引”,自己打造一個類似的比賽,但這個比賽要吸引國外選手來參賽,也不能顯得“太 Pwn2Own ”,那就搞一個改良版的“Pwn2Own”吧——非實際商業產品,但能用商業工具,打的又是有實戰意義的領域熱門項目。
還有一個大家都心知肚明的目標:培養人才。當然,新人選手到底有哪些最終被 360 吸納,編輯還沒找到“標準答案”,但以賽“練兵”,以“大師”操練“新手”,這個思路是可行的,不管最終這些人才是否落到 360 的“口袋”里,對中國的網安人才培養來說,終歸是一件好事。
360 網絡安全北美研究院院長李康曾是 CGC 機器人競賽項目 UGA Disekt 的華人領隊,在自動化攻防上很有研究。在回答“WCTF 是否會專門設置自動化攻防環節”這一問題時,李康的回答頗有意思:
“CTF 里一直在用自動化攻防的工具,只不過說有一些比賽,我只用工具,等真正我們想在實戰過程中對抗時,比如兩個國家較量,沒有人說不能上人,我覺得今后所有的對抗最終我們都說是人的對抗,對抗一直是人加上機器。所以在今天賽場里,我相信所有的戰隊,至少大師戰隊他們肯定都是有備而來,每個人手里都是有一堆各種自動化工具,我相信學生戰隊也是類似,只不過工具接口可能不統一,但是大家都是帶著工具來的。”
不拘泥形式,所有的對抗都是人的對抗。在各種賽制背后,最后錘煉的還是對抗思路和安全技巧。從這個角度看,WCTF 應該已經是在吸引選手參賽、錘煉選手能力以及打消上述種種顧慮而言,相對比較平衡的比賽。
WCTF 是最好的安全人才賽嗎?
不一定,但是從 Pwn2Own 轉戰 WCTF,我們看到了 360 以及 MJ 的新思路。
回到最開始的問題,時間改變了什么?時間不僅改變了 MJ 的發型,改變了形勢,改變了思路,最妙的是,它還有無限可能等待中國網安人才探索。
敬請期待。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
