而對於網路安全人才的考核,也正如“最頂級的軍隊都是打出來的”,最優秀的網路安全人才團隊同樣也需要“實戰攻防”的演練。於是乎,一場集結全球頂級駭客高手,一場頂尖網路安全攻防演練的2019 WCTF世界駭客大師賽也因勢而來。
據介紹,2019WCTF世界駭客大師賽是由國內最大的安全廠商360贊助,世界知名安全團隊360Vulcan主辦的國際級CTF挑戰賽,旨在透過邀請國內外頂尖的安全團隊來華比賽,將最前沿的攻防能力和技術帶到國內,從而促進我國網安實戰攻防能力的提升。
自2016年首屆WCTF成功舉辦到如今,WCTF已成為備受國內外CTF戰隊最關注的賽事,它打破常規,建立線上與線下的比賽模式,形成面向全體CTF愛好者的線上挑戰賽、面向國際駭客大神的駭客大師賽、以及旨在培養網安儲備軍的高校新銳賽三大專案賽事,成為能代表中國頂級網路安全水平的CTF賽事。
而據瞭解,舉辦WCTF更為重要的是為網路安全的勇士們打通“實戰”通道,在“實戰攻防演練”中,讓他們更清晰的瞭解“漏洞”這一新態勢下“軍火武器”。因為在隨時可能爆發的網路戰面前,任何國家都容不得半點差池,沙場點兵,我們需要在網上進行“朱日和”演練。
3月7日,委內瑞拉遭遇“國家敵人”的網路攻擊,致使全國23個州中有22個遭遇斷電,首都加拉加斯也一度陷入黑暗;
3月19日,全球最大的鋁巨頭商Norsk Hydro多個系統遭勒索攻擊,不僅該公司全球業務網路出現當機,它還帶來可能超過4000萬美元的損失;
3月24日,新加坡數字資產交易平臺DragonEx慘遭國家級駭客攻擊,只初步估計平臺受損資產總額就已超4000萬人民幣;
5月5日,以色列國防軍以應對激進組織哈馬斯的網路攻擊為由,對哈馬斯網路中心大樓進行了空襲,這一顆炸彈地落下,也標誌著軍事與網路戰走向融合;
5月15日,一個有著國家級背景的駭客組織透過WhatsApp的安全漏洞又瞄準攻擊了一名英國律師,該律師曾指控以色列NSO集團將旗下惡意間諜軟體賣給國家級駭客組織,致使一名持不同政見的沙特記者被肢解......
政治、經濟、軍事,國家乃至個人都在遭受著網路攻擊,網路戰在還沒有人宣佈開戰就已打響,同時它還以堪比“核武器”的威力破壞著被攻擊者。面對這樣一場新型態的戰役,舉辦WCTF這樣一場頂級的網路安全賽事,以“實戰”的攻防演練,來捍衛國之安全,已勢在必行並迫在眉睫。
2、順勢而為:WCTF以“世界之力”強化中國網安力量
破解,逆向,解密。世界頂級駭客已全數集結,一場決戰紫禁城之巔的“實戰”即將上演。而在2019WCTF即將開戰之際,讓我們先來認識下大賽的主辦方——360Vulcan Team以及今年大師賽參賽的10支戰隊。
(1)享譽國際的主辦方
360Vulcan Team是360網際網路安全創新中心旗下的二進位制漏洞安全團隊。團隊成員具備高水平的漏洞挖掘能力、系統安全理解能力和產品研發能力。團隊多名成員入選微軟全球Top100貢獻榜,並多次獲得微軟BlackHat、Edge瀏覽器賞金專案獎勵。
360VulcanTeam曾在Pwn2own 2015比賽中攻破IE專案,在Pwn2own 2016比賽中攻破Adobe Flash Player以及Google Chrome專案,在Pwnfest2016比賽中攻破微軟Edge瀏覽器以及Adobe Flash Player。在Pwn2own 2017賽事上,360Vulcan Team攻破了微軟Edge瀏覽器、Windows10、Apple Safari、macOS和Adobe Flash Player,率領360安全戰隊拿下賽事總冠軍,成功加冕“Master of Pwn”(世界破解大師)。目前360VulcanTeam已經累計向微軟、Google、Adobe和蘋果等主流廠商提交了數百個高危安全漏洞幷包攬史上最高漏洞致謝獎金。
(2)世界頂級的大師賽戰隊
“大師賽”是以定向邀請形式,每年WCTF組委都會參考CTFTIME的全球排名來邀請高積分的戰隊來華參與比賽。今年10支“大師賽”戰隊為(排名不分先後):
Dragon Sector戰隊:來自波蘭Google安全團隊,獲得多年Hack.lu CTF的冠軍。CTFTIME 2018世界排名第5,CTFTIME 2017世界排名第4。
LC↯BC戰隊:來自俄羅斯,2015年曾獲EKOPARTYCTF,PHD CTF Finals,CONFidenceCTF及Belluminar Seoul等國際CTF比賽的冠軍,曾主辦QIWI CTF 2014和Olympic CTF 2014。CTFTIME 2017世界排名第6。
0daysober戰隊:來自法國和瑞士的聯合戰隊,曾連續幾年舉辦了Insomni'hack CTF。CTFTIME 2018年世界排名第6。
Shellphish戰隊:來自美國,部分成員參加了美國國防部高階研究計劃局(DARPA)主辦的Cyber Grand 挑戰賽的決賽,獲得75萬美元的獎金。CTFTIME 2017年世界排名第9。
TokyoWesterns戰隊:成員均在東京西部生活,曾舉辦第三屆Tokyo Westerns CTF 2017;WCTF 2017排名第2。CTFTIME2018世界排名第3,CTFTIME 2017世界排名第5。
Cykor戰隊:來自韓國,成立於2011年,成員來自高麗大學網路安全研究實驗室。WCTF 2016排名第2,獲得30000美金獎勵。
Eat,Sleep,Pwn,Repeat戰隊:來自德國,由StraussAuhuur和KITCTF聯合組成,是Chaos Communication Congress(混淆通訊技術大會)中3C的主辦者,曾參加過DEF CON。CTFTIME2017世界排名第2。
NU1L戰隊: WCTF 2018新銳賽冠軍,大師賽新秀。成立於2015年10月,名字源於英文單詞"NULL"。DEFCON CHINA BCTF2018冠軍,斬獲31萬獎金。TCTF2018全球總決賽排名全球第4,國內第1,是中國大陸在此賽事中獲得的最好成績。XCTF賽事2017&2018積分榜年度第1。2018年3月舉辦N1CTF全球賽,獲得全球CTF愛好者好評,CTFTIME上評分接近滿分。戰隊部分成員為BlackHat、HITCON、KCon等安全會議演講者,參與過Pwn2Own、GeekPwn等國際性漏洞破解賽事。
r3kapig戰隊:來自中國,由FlappyPig和Eur3ka聯合組成。他們戲稱r3kapig是美味佳餚,可烤可煎可炸,戰隊的使命就是為主人提供最美味的食物。
217戰隊:來自台灣大學,CTFTIME全球排名2018年第5,曾獲首屆XCTF聯賽總決賽冠軍,在Plaid CTF及SECCON CTF中也曾獲得第1名。
(3)亮點賽題前瞻
據悉,今年賽題將以“戰隊+主辦方”組合出題方式呈現,參賽者不僅可以感受來自全球駭客大師所出的試題,還可以感受享譽國際的360Vulcan Team最硬核考驗。
出題人將自己在硬體安全、移動安全、作業系統安全、瀏覽器安全、密碼破譯、沙箱逃逸、虛擬機器逃逸、核心提權等領域的最新研究成果和收穫,以賽題的形式呈現給選手。比賽不但是一場激烈的智力競爭,同時也是一場開放的技術分享。
參賽者將嘗試破解不可能破解的安全硬體,領略虛擬機器逃逸新方法,掌握針對瀏覽器渲染引擎的攻擊,完成看似不可能完成的漏洞利用。
透過主辦方進一步探究舉辦WCTF的目的與意義時,我們總結了以下三點:
1.引進頂級的安全知識與技術,打造國際間交流平臺
面對越來越嚴峻的國內外網路安全形式,加強自身的網路安全建設尤為重要,WCTF以邀請全球範圍內的網路安全大神來華比賽的形式,意在將頂級的安全知識與技術帶到國內,在實戰攻防演練中,讓國內外網路安全人才實實在在地進行切磋交流。
2.兼顧破解難度與安全熱點,聚焦時下前沿議題
在比賽題目方面,歷年的WCTF都會兼顧難度和安全熱點,包括Windows核心提權、瀏覽器漏洞利用,今年比較火熱的物聯網與晶片安全、工業控制系統安全、雲端計算和桌面虛擬化技術的漏洞發現和開發等等都將有可能出現在WCTF的賽題中。而目的只有一個,希望在實戰攻防演練中,讓參與者時刻了解最新的攻擊手段與實戰手段,在高手過招間,增強中國網安實力。
3.挖掘並培養網安新力量,以應對潛在的戰爭風險
持續挖掘中國網路安全領域的新力量,為國家儲備最強網路安全大軍,也是WCTF舉辦的一重要意義。除不斷挖掘社會上最精英的網路安全人才外,從2018年開始,WCTF針對國內高校學生群體開設了“新銳賽”,讓少年駭客們從校園起就培養起防衛國家網路安全的使命認知,不僅為少年駭客提供與世界頂級駭客交流的機會,還意在在實戰中磨練他們的能力,從而應對潛在的戰爭風險。
在以上介紹中,不難發現,“實戰攻防演練”幾個字高頻出現。或許就正如開頭所言“最頂級的軍隊是打出來的,最優秀的網安人才同樣也是‘實戰’出來的。”
2019 WCTF戰鼓已打響,並將於2019年7月5日在北京望京凱悅酒店燃情開局。在與全球頂級駭客的“實戰”對決中,中國新一代網路安全專家也必將脫穎而出。他們將作為後續儲備梯隊,成為國家網路安全人才最重要的力量。在網路戰的時代裡,肩負起防衛國土網路安全的職責。