以及一场精彩的比赛 时间改变了一个固执黑客的发型 (一场精彩的)

文章编号:39930 资讯动态 2024-12-03 WCTF黑客360MJ

时间能改变什么呢?

比如,2017 年,世界著名黑客MJ 0011(郑文彬)还带领着 360 安全站队捧回了 Pwn2Own 2017 世界黑客大赛的冠军奖杯以及一件酷炫的冠军皮衣。

时间改变了一个固执黑客的发型,以及一场精彩的比赛

2019 年 7 月 5 日,MJ在WCTF 世界黑客大师赛上激情开讲。

时间改变了一个固执黑客的发型,以及一场精彩的比赛

今年的 WCTF 借鉴了Pwn2Own 的不少赛题设置。

从打比赛的人到“举办比赛的人”,中间发生了什么呢?很多事情。首先,出国打Pwn2Own这类比赛已经不被“上级”鼓励,再者,360 的老周这两年也一直在说——出国打什么比赛,为什么要把漏洞“武器”贡献给外国人?我们要搞自己的比赛,让别人过来打。

话说得“政治正确”,雷锋网编辑看到这两年传出来的Pwn2Own 的战果——比如,谁谁谁因为破解特斯拉而被特斯拉奖励了一辆车车这种热血燃情的新闻时,总是有点意难平——要是国内的顶尖强队也按照以往的情形参加,还有国外选手什么事呢?!

还有一个现象挺有意思,虽然往外“出漏洞”的比赛不被鼓励,但是DEF CON CTF 这种世界级技巧型比赛大家还是打得不亦乐乎的,今年也有不少DEF CON 的外卡赛由中国的参赛者举办,比如腾讯的 TCTF、百度的 BCTF。

这样一看,360 举办的 WCTF 有什么特色?360 会有压力吗?WCTF 也要努力变成 DEF CON CTF的外卡赛吗?

这是雷锋网编辑抛给 MJ 和 360 著名安全专家李康的问题。

出乎意料的是,他们不打算按照这个路子走。MJ 傲娇地说,为什么要变成DEF CON CTF 的外卡赛呢?我希望以后别的地方还有 WCTF 的外卡赛。

时间改变了一个固执黑客的发型,以及一场精彩的比赛

一个有实力的比赛

WCTF 可能有这个潜力。

首先,是参赛选手水平很高。

WCTF 分为大师赛和新人赛。大师赛,从字面上都可以看出,是邀请水平比较高的“神仙战队”一决高下:在2019WCTF上,主办方邀请到了波兰 Google 安全团队 Dragon Sector、法国瑞士联合战队 0daysober、日本战队 TokyoWesterns、美国战队 Shellphish、德国战队 Eat,Sleep,Pwn,Repeat、俄罗斯战队 LC↯BC、韩国战队 Cykor,以及 NU1L、r3kapig和 217三支来自中国网安领域的战队。

新人赛今年则邀请了清华、复旦、北航、西安电子、成信大、中国科学院等十所顶尖高校的青年网安战队。

这些战队有什么神奇之处?如果你熟悉 CTF 赛事,会发现这些战队都是 CTF 战队排行榜上赫赫有名的高手(你可以把这个排行榜理解为世界武林高手榜):

时间改变了一个固执黑客的发型,以及一场精彩的比赛

第二,参赛赛题偏实战。

如果说常规 CTF 被一些人称为“仅仅做题,没有实战”的比赛,那么 WCTF 可能更加“商业化”,今年的 WCTF 赛题颇为硬核,有涵盖硬件安全、移动安全、操作系统安全、浏览器安全、密码破译、沙箱逃逸、虚拟机逃逸、内核提权等多领域的赛题。

今年的 WCTF 还主打两个领域:硬件安全与浏览器漏洞。

虚拟的网络世界,背后是数以百亿计的 IoT 智能产品、基站、宽带、工控设备、大型硬件系统等常用网络设备,谈及网络世界的攻防战争,自然绕不开硬件安全,而近年来国际上多个 APT 高级威胁组织利用浏览器漏洞渗透攻击,直接造成大批用户遭遇勒索病毒攻击,导致信息泄露威胁个人及财产安全。

如果你熟悉 Pwn2Own ,会发现 WCTF 拥有其熟悉的调调,但 WCTF 与 Pwn2Own 还是有本质区别,如果你要打Pwn2Own ,可能要准备很久,寻找那些巧妙的“零日漏洞”,并要布局参赛策略,以防撞洞(雷锋网注:和竞争对手使用同样的漏洞),打下一个特定目标后,选手必须把漏洞信息与利用详情与涉及厂商共享,这也是老周这两年极力强调“漏洞是战略资源,不要往国外送洞”论调的背景原因之一。WCTF 是现场实战型比赛,只有 18 个小时,赛题中涉及的攻击目标与商业目标不完全一致,但是“很像”,而且参赛选手可以不顾赛题设置方的逻辑,直接用商业工具或者自己写的工具攻击。

最有意思的是,今年的 WCTF 和往年一样,依然是“高手”给“高手”出题:参赛选手互相出题,非常有看点。

第三,WCTF 有“正儿八经”的赛后分享会议。

它的重点不在于“大师队伍”解密如何“吊打”对手,而是分享出题、攻击、防守思路,机智如你,可能能想到这对参赛选手,尤其是“新人团队”的意义,高手过招,观看都是“吸收精华”。

这个比赛的意义到底是什么

雷锋网编辑一直在观察 360 的“打法”,你也可以发现,360 这两年以“守卫国家安全”来定义自己。从中国安全市场看,这是一个“颇有前途”的思路,不然为什么那么多企业争破脑袋想进“国家队”?

既然是“守卫国家安全”,那么老周说“不要往外送战略资源”的观点你应该能够理解了。“不往外送”,那就“朝里引”,自己打造一个类似的比赛,但这个比赛要吸引国外选手来参赛,也不能显得“太 Pwn2Own”,那就搞一个改良版的“Pwn2Own”吧——非实际商业产品,但能用商业工具,打的又是有实战意义的领域热门项目。

还有一个大家都心知肚明的目标:培养人才。当然,新人选手到底有哪些最终被 360 吸纳,编辑还没找到“标准答案”,但以赛“练兵”,以“大师”操练“新手”,这个思路是可行的,不管最终这些人才是否落到 360 的“口袋”里,对中国的网安人才培养来说,终归是一件好事。

360 网络安全北美研究院院长李康曾是 CGC 机器人竞赛项目 UGA Disekt 的华人领队,在自动化攻防上很有研究。在回答“WCTF 是否会专门设置自动化攻防环节”这一问题时,李康的回答颇有意思:

不拘泥形式,所有的对抗都是人的对抗。在各种赛制背后,最后锤炼的还是对抗思路和安全技巧。从这个角度看,WCTF 应该已经是在吸引选手参赛、锤炼选手能力以及打消上述种种顾虑而言,相对比较平衡的比赛。

WCTF 是最好的安全人才赛吗?

不一定,但是从 Pwn2Own 转战 WCTF,我们看到了 360 以及 MJ 的新思路。

回到最开始的问题,时间改变了什么?时间不仅改变了 MJ 的发型,改变了形势,改变了思路,最妙的是,它还有无限可能等待中国网安人才探索。

敬请期待。

原创文章,未经授权禁止转载。详情见 转载须知 。

全局中部横幅
湘菜的家常做法

湘菜的做法_家常湘菜的做法非常简单易学。豆果美食提供的图文湘菜的家常做法大全和湘菜的视频,用最短的时间让你学会湘菜的做法

体育频道

腾讯视频致力于打造中国领先的在线视频媒体平台,以丰富的内容、极致的观看体验、便捷的登录方式、多平台无缝应用体验以及快捷分享的产品特性,主要满足用户在线观看视频的需求。

量子云码

量子云码官方网站一物一码防伪溯源防窜货隐形码暗码商品防伪医药保健品防伪防窜货化妆品防伪防窜货食品追溯防伪标签防伪印刷

【学术点评】学术期刊点评推荐网站

学术点评(xueshu.com.cn)学术在线服务网站,用户钟爱的期刊杂志网,提供杂志订阅、学术期刊推荐、论文推荐等在线咨询服务,选择期刊服务就上学术点评网!

公司注册

中誉财税专业从事公司注册,代办营业执照,代理记账,公司注销等业务,已有多年行业经验,服务超500家公司,免费提供咨询,助力企业成长。

知网空间

知网空间(中国知网/中国期刊网)汇聚了期刊全文、博士论文、硕士论文、毕业论文、免费论文、会议论文等各类文献、论文下载资源;论文网题录摘要免费下载。知网空间是全球领先、资源全面、内容权威的中文数字图书馆。

礼品公司

金昇文化-专业从事礼品定制,设计,开发公司,主要针对国内中大型企事业单位提供广告促销/活动宣传/商务会议/员工福利/上市周年庆/品牌礼品的设计与定制。是中国专业礼赠品采购平台,提供金银珠宝、文具用品、数码电子、皮具箱包、生活日用品、办公用品、工艺礼品、玩具公仔、户外运动品等系列近万种礼品。TEL:130-0731-3845

ShopMg

ShopMg到家是一款线上线下全渠道多终端覆盖的新零售系统,主要针对连锁门店,社区O2O等电商模式提供专业的服务,平台可以发展区域代理商,管理商家入驻,同时满足消费者购物、SEO、配送员抢单、商家管理等多角色业务需求,咨询QQ:760561879

网盛企业风险评级中心

风险评级,助力企业降低应收账款风险!

磐石温泉网

磐石温泉网是一个专门提供温泉相关信息的网站,包括温泉百科、温泉酒店、温泉度假村、温泉旅游、温泉疗养等内容。在磐石温泉网上,可以了解到各种温泉的功效、泡温泉的注意事项、温泉度假村的推荐等信息,帮助人们更好地享受温泉疗养的乐趣。

球形钽粉

广东银纳科技有限公司是高端金属3D打印综合解决方案提供者,提供多种金属3D打印材料(纳米镍、纳米银、球形钽粉、球形钨粉等),难熔金属粉末、深度融合耗材、打印服务、教育培训等,实现3D打印的全面布局。

全局底部横幅