时间能改变什么呢?
比如,2017 年,世界著名黑客 MJ 0011(郑文彬)还带领着 360 安全站队捧回了 Pwn2Own 2017 世界黑客大赛的冠军奖杯以及一件酷炫的冠军皮衣。
2019 年 7 月 5 日,MJ在 WCTF 世界黑客大师赛上激情开讲。
今年的 WCTF 借鉴了 Pwn2Own 的不少赛题设置。
从打比赛的人到“举办比赛的人”,中间发生了什么呢?很多事情。首先,出国打Pwn2Own这类比赛已经不被“上级”鼓励,再者,360 的老周这两年也一直在说——出国打什么比赛,为什么要把漏洞“武器”贡献给外国人?我们要搞自己的比赛,让别人过来打。
话说得“政治正确”,雷锋网编辑看到这两年传出来的 Pwn2Own 的战果——比如,谁谁谁因为破解特斯拉而被特斯拉奖励了一辆车车这种热血燃情的新闻时,总是有点意难平——要是国内的顶尖强队也按照以往的情形参加,还有国外选手什么事呢?!
还有一个现象挺有意思,虽然往外“出漏洞”的比赛不被鼓励,但是DEF CON CTF 这种世界级技巧型比赛大家还是打得不亦乐乎的,今年也有不少DEF CON 的外卡赛由中国的参赛者举办,比如腾讯的 TCTF、百度的 BCTF。
这样一看,360 举办的 WCTF 有什么特色?360 会有压力吗?WCTF 也要努力变成 DEF CON CTF 的外卡赛吗?
这是雷锋网编辑抛给 MJ 和 360 著名安全专家李康的问题。
出乎意料的是,他们不打算按照这个路子走。MJ 傲娇地说,为什么要变成 DEF CON CTF 的外卡赛呢?我希望以后别的地方还有 WCTF 的外卡赛。
【左:李康 右:MJ】
WCTF 可能有这个潜力。
首先,是参赛选手水平很高。
WCTF 分为大师赛和新人赛。大师赛,从字面上都可以看出,是邀请水平比较高的“神仙战队”一决高下:在2019 WCTF上,主办方邀请到了波兰 Google 安全团队 Dragon Sector、法国瑞士联合战队 0daysober、日本战队 TokyoWesterns、美国战队 Shellphish、德国战队 Eat,Sleep,Pwn,Repeat、俄罗斯战队 LC↯BC、韩国战队 Cykor,以及 NU1L、r3kapig和 217三支来自中国网安领域的战队。
新人赛今年则邀请了清华、复旦、北航、西安电子、成信大、中国科学院等十所顶尖高校的青年网安战队。
这些战队有什么神奇之处?如果你熟悉 CTF 赛事,会发现这些战队都是 CTF 战队排行榜上赫赫有名的高手(你可以把这个排行榜理解为世界武林高手榜):
第二,参赛赛题偏实战。
如果说常规 CTF 被一些人称为“仅仅做题,没有实战”的比赛,那么 WCTF 可能更加“商业化”,今年的 WCTF 赛题颇为硬核,有涵盖硬件安全、移动安全、操作系统安全、浏览器安全、密码破译、沙箱逃逸、虚拟机逃逸、内核提权等多领域的赛题。
今年的 WCTF 还主打两个领域:硬件安全与浏览器漏洞。
虚拟的网络世界,背后是数以百亿计的 IoT 智能产品、基站、宽带、工控设备、大型硬件系统等常用网络设备,谈及网络世界的攻防战争,自然绕不开硬件安全,而近年来国际上多个 APT 高级威胁组织利用浏览器漏洞渗透攻击,直接造成大批用户遭遇勒索病毒攻击,导致信息泄露威胁个人及财产安全。
如果你熟悉 Pwn2Own ,会发现 WCTF 拥有其熟悉的调调,但 WCTF 与 Pwn2Own 还是有本质区别,如果你要打 Pwn2Own ,可能要准备很久,寻找那些巧妙的“零日漏洞”,并要布局参赛策略,以防撞洞(雷锋网注:和竞争对手使用同样的漏洞),打下一个特定目标后,选手必须把漏洞信息与利用详情与涉及厂商共享,这也是老周这两年极力强调“漏洞是战略资源,不要往国外送洞”论调的背景原因之一。WCTF 是现场实战型比赛,只有 18 个小时,赛题中涉及的攻击目标与商业目标不完全一致,但是“很像”,而且参赛选手可以不顾赛题设置方的逻辑,直接用商业工具或者自己写的工具攻击。
最有意思的是,今年的 WCTF 和往年一样,依然是“高手”给“高手”出题:参赛选手互相出题,非常有看点。
第三,WCTF 有“正儿八经”的赛后分享会议。
它的重点不在于“大师队伍”解密如何“吊打”对手,而是分享出题、攻击、防守思路,机智如你,可能能想到这对参赛选手,尤其是“新人团队”的意义,高手过招,观看都是“吸收精华”。
雷锋网编辑一直在观察 360 的“打法”,你也可以发现,360 这两年以“守卫国家安全”来定义自己。从中国安全市场看,这是一个“颇有前途”的思路,不然为什么那么多企业争破脑袋想进“国家队”?
既然是“守卫国家安全”,那么老周说“不要往外送战略资源”的观点你应该能够理解了。“不往外送”,那就“朝里引”,自己打造一个类似的比赛,但这个比赛要吸引国外选手来参赛,也不能显得“太 Pwn2Own ”,那就搞一个改良版的“Pwn2Own”吧——非实际商业产品,但能用商业工具,打的又是有实战意义的领域热门项目。
还有一个大家都心知肚明的目标:培养人才。当然,新人选手到底有哪些最终被 360 吸纳,编辑还没找到“标准答案”,但以赛“练兵”,以“大师”操练“新手”,这个思路是可行的,不管最终这些人才是否落到 360 的“口袋”里,对中国的网安人才培养来说,终归是一件好事。
360 网络安全北美研究院院长李康曾是 CGC 机器人竞赛项目 UGA Disekt 的华人领队,在自动化攻防上很有研究。在回答“WCTF 是否会专门设置自动化攻防环节”这一问题时,李康的回答颇有意思:
“CTF 里一直在用自动化攻防的工具,只不过说有一些比赛,我只用工具,等真正我们想在实战过程中对抗时,比如两个国家较量,没有人说不能上人,我觉得今后所有的对抗最终我们都说是人的对抗,对抗一直是人加上机器。所以在今天赛场里,我相信所有的战队,至少大师战队他们肯定都是有备而来,每个人手里都是有一堆各种自动化工具,我相信学生战队也是类似,只不过工具接口可能不统一,但是大家都是带着工具来的。”
不拘泥形式,所有的对抗都是人的对抗。在各种赛制背后,最后锤炼的还是对抗思路和安全技巧。从这个角度看,WCTF 应该已经是在吸引选手参赛、锤炼选手能力以及打消上述种种顾虑而言,相对比较平衡的比赛。
WCTF 是最好的安全人才赛吗?
不一定,但是从 Pwn2Own 转战 WCTF,我们看到了 360 以及 MJ 的新思路。
回到最开始的问题,时间改变了什么?时间不仅改变了 MJ 的发型,改变了形势,改变了思路,最妙的是,它还有无限可能等待中国网安人才探索。
敬请期待。