您当前的位置:首页 > 电脑百科 > 安全防护 > 黑客技术

攻防大牛在身边,这群白帽极客的故事太精彩!

时间:2023-04-26 11:22:56  来源:CSDN  作者:

黑客电影里,神秘的黑客们在键盘上十指如飞,电脑屏幕成串代码飞快刷屏,静静操纵影响世界的走向。

在现实中,有一群白帽子黑客,与用技术恶意牟利的“黑帽子”相反,白帽子是正义的一方,“讲武德”的,在技术江湖中,使出高超技术发现系统安全漏洞,并及时提交给企业进行修复,帮助企业提升产品质量。他们像一位位大隐隐于市的“扫地僧”,默默守卫着我们的数字生活。

在武侠小说里,武功高手为了提高武艺,喜欢相约擂台相互切磋。在网络安全领域也有这样的技术竞技比赛——CTF(Capture The Flag)。电视剧《亲爱的,热爱的》将 CTF 推向大众视野,其实CTF已有20多年了,起源于 1996 年的 DEFCON 全球黑客大会,在网络安全领域进行技术竞技,已经成为全球网安圈子流行的形式。如果说奥运会是挑战身体极限的竞技,那么 CTF 就是网安圈的“运动会”,大家相互 PK 网络技术,挑战智力极限。近年来,国内外 CTF 大赛层出不穷,为热爱安全技术的人提供展示能力和锻炼技术的绝佳平台。

近日,一场国内超高水准的2023首届阿里云CTF大赛(下文简称“大赛”)落下帷幕。本大赛由阿里云依托阿里云天池平台与清华大学网络与信息安全实验室共同举办的,共有2500多名全球网络安全开发者报名参赛,组成1600多支队伍。来自 Redbud (清华大学)、NeSE(中国科学院大学)AAA(浙江大学)、Vidar-Team(杭州电子科技大学)、0ops(上海交通大学)、天枢(北京邮电大学)、Syclover(成都信息工程大学)、SU 南京大学及部分其他大学联合战队等国内知名高校战队同台竞技,大部分为“00后”年轻极客,妥妥现实版的“韩商言”。

历经激烈鏖战,Straw Hat战队突出重围,以 6651 的高分一举拿下冠军荣誉。

比赛惊心动魄,攻防大神成长记

时间缓缓向前推进,屏幕前的年轻面孔专心致志攻克最后一道难题,经过近两天两夜的鏖战,时间还剩下最后半个小时。Straw Hat战队每个成员都不敢松懈,关键时刻终于解出最后一道题,并赶在截至时间提交Flag。

团队最终分数定格在6651分!遥遥领先第二名,成功夺冠。由于是线上比赛形式,大家齐齐在群里刷屏欢呼,终于赢了!

说到Straw Hat战队,来头不小,战队成立于2022年,由Nu1L Team、W&M、美国西北大学邢新宇教授团队,还有国内热爱信息安全的优秀选手组成,在 2022年闯入DEFCON CTF并获得全球第七名,曾获得2022年巅峰极客冠军。每个人身怀绝技,分工明确,各有擅长的领域。

那么拥有丰富参赛经验的他们,为什么选择来到阿里云CTF 大赛?Straw Hat认为阿里云技术团队过硬,很多知名CTF选手选择就职阿里云安全团队,同时大赛汇集国内顶尖的出题人,题目新颖,大赛的技术含量较高。“我们都是做技术的,如果认为比赛的技术性较高,都想来参加。阿里云作为国内TOP大厂,可能不用怎么宣传,大家都会过来参赛的。” Straw Hat 负责人说。

说到赛题,本次赛题紧贴潮流,不仅设置传统的WEB、CRYPTO、PWN赛,面对日渐复杂的云计算环境和安全问题,还特别设置云计算环境的题目,融合多种新型云上安全元素的赛题设计,充分考验参赛团队对云上安全的理解。

尽管“身经百战”的 Straw Hat团队也是首次碰到如此“不按常理”出牌的主办方,一道创新的云上题目 “llama.sgx.easy”,需要一个真的SGX设备才能通过远程证明的验证,预期没有密码学、内存破坏漏洞、条件竞争导致的漏洞。

对Straw Hat来说,这道题有些棘手。但对于 CTFer 来说,碰到问题时,不能说卡住了就卡住了,总要想办法解决它,通常解决问题的方法很多种,不会只盯住一条道路,他可能会往左边右边往天上地下到处折腾尝试。

他们尝试在阿里云上开了台具有支持SGX的机器完成本地需求,题目远端的KMS在远程证明本地enclave的时候存在有遗漏,没检查是否开启了debug,导致了题目漏洞的出现,顺利完成这次挑战。

除此之外,主办方从比赛的运维、平台支持上也对选手提供帮助,“组委会响应十分及时,中间遇到一些问题跟组委会反馈后,迅速解决。” Straw Hat 负责人如此说。

笔者还发现官网赛事提醒十分详尽和贴心,为组委会点赞:

从本次大赛中,Straw Hat团队不仅提高了逆向、密码学等技术能力,并锻炼团队协作,配合得更加熟练,为备战今年的 DEFCON 大赛打下基础。

在黑客电影中主角轻敲键盘,轻松又优雅。然而 CTF大赛考验参赛者的体力、意志力、技术能力和团队精神,在48小时内进行积分对战,高手过招,唯快不破,稍微大意可能会导致失败。Straw Hat团队大部分成员在两天时间里一共睡了五六个小时,甚至还有人通宵两天,只想攻克一个个的难关,实在谈不上酷炫有型,等比赛结束后他们累瘫了。

可能在CTF 大赛这种脑力竞技中,我们无法像观看体育竞技比赛那样直观感受其中扣人心弦的紧张气氛,但从Straw Hat团队夺冠后风轻云淡的描述中,我们也能体会其中的惊心动魄,感受到这群年轻极客对安全的热爱,享受技术对抗带来的成就感,同时尝试挑战与传统CTF赛事不同,全新的云上攻防环境体验,积累云上安全知识,正是本大赛的魅力所在,也是阿里云的初心。

从一个人到一群人,极客精神的传承

据教育部《网络安全人才实战能力白皮书》数据显示,国内已有34个高校设立网络空间安全一级学科。到2027年,我国网络安全人员缺口将达327万,而高校人才培养规模为3万/年,许多行业面临着网络安全人才缺失的困境。

从本次CTF 大赛,我们看到如今相关大赛日趋成熟,从爱好者的自发 PK竞技,演变成人才培养和选拔的关键平台。

从上面Straw Hat的故事中,我们可能会好奇,为什么大赛会加入云安全类的创新题目?

作为大赛的顾问、前 CTF 大牛,现蓝莲花战队教练,清华大学副教授张超表示,云时代下,云安全问题已不容忽视:一是虚拟化问题,虚拟化是云厂商使用最多的基础技术,是支撑云的关键技术,虚拟化安全是云安全的最基础安全问题。二是隐私计算。如今数据作为新型生产力工具,数据涉及到隐私和安全的问题,比如企业数据放在云上时,可能会担心数据安全问题,因此出现隐私计算、机密计算、可行性计算等技术,这些是近几年来很热门的安全话题。三是 CDN,云改变现有网络拓扑的形式,云场景下可能存在网络连接层的安全问题。

清华大学蓝莲花战队教练 张超

而云上环境与传统PC、手机端环境不同,云相对普通用户和安全分析人员来说,无法直接掌控它,了解内部结构以及背后技术,因此从安全角度来看,寻找云上安全漏洞相对有一些难度的。

随着云时代的发展,传统的安全技术已不足以应对新的云上威胁,对安全人才的技术能力随之提高。

作为国内云厂商领导者,阿里云自2009年成立起,建立了阿里云安全团队,从开始的云平台保障到赋能百余行业云上安全,至今已13余载,并坚持技术自研,建立完整的企业安全产品体系。而清华大学在 2010 年成立蓝莲花(Blue-Lotus)战队,2013 年历史性闯入有极客界“奥斯卡”之称的DEFCON CTF 总决赛,2014 年,清华大学举办起国内第一场CTF,随后相关 CTF 赛事如雨后春笋般出现。基于阿里云丰富的云场景积累,与有丰富的 CTF赛事积累的清华大学共同设计这场比赛,让参赛者对云安全有更深了解,同时储备相关的安全人才。

回顾7、8年前,在大众眼里 CTF 是一种业余爱好,并没有像今天那么重视安全技术。他观察到,自 2015 年开始,国内安全领域开始快速发展,这十多年来发生天翻地覆的改变,从大众到国家层面均对安全领域十分关注。像张超带的学生、参赛选手属于“Z世代”的年轻人赶上这波安全发展浪潮,热爱技术,一些人还成为顶尖的极客。

自从张超从选手转变成老师和带队的角色后,心态产生较大的变化,他越来越意识到,光通过打比赛,像做奥数一样是不够的,无法解决当下的人才缺口难题。打比赛时,选手更多的是学习一些经验和技巧,它可能是出题人根据实际案例抽象而成、融会贯通,里面有很多精心设计,选手相当于在复杂的迷宫里找捷径。

而如今他发现网络发展迅速,安全漏洞与日俱增,一个人的时间和精力是有限的,很难解决层出不穷的安全问题。光靠个人来做相关建设是远远不够的,从社会发展规律来看,很多技术最开始是手艺活,但随着生产力的提高,新技术不断更替,自动化替代人工,提高生产效率。尤其是今年 ChatGPT 以惊人速度发展,正在革命我们的工作和生活。如何培养更多人才成为张超关心的问题。

在技术上,张超建议同学们往自动化、智能化发展,未来智能化技术将替代人工来挖漏洞、做攻防,可以多利用自动化方法来解决问题,从而提高生产力。另外不妨多参加像本次CTF 比赛的活动,读本科同学通过比赛快速入门掌握基础知识,感受 CTF 的魅力,培养兴趣。到了研究生阶段,转变理念,不是简单靠个人分析,而是思考问题背后的本质,找根本性解决方案,并形成新的知识,通过实践验证。在工作阶段,拓宽视野,慢慢对领域形成认识,不断终身学习。

张超建议,听说过安全的人,或者没有听说过的人,可以来尝试 CTF 比赛,这是最快理解安全领域的方式。希望大家将 CTF 当做一件“好玩”的事情,最早期的极客也是为了“好玩”,通过一些特殊的技术做别人做不到的事。

从张超的身上中,我们看到传承的力量,张超将结合过往CTF的经验并与时俱进传授给年轻一代极客,带领他们走上更大的舞台,从一个人到一群人,为培养我国网络安全人才不断努力。

新生代的极客,该你们上场了

走出学校,在比赛竞技中或在现实世界的中找到解决问题的思路,正成为新一代科技人才的潮流。同时我们看到,阿里云等大厂提供给这些年轻人实现梦想的平台,为中国安全领域年轻力量的崛起而助力。

曾经是上海交通大学0ops战队的一员、本大赛出题人之一,花名为“道者”的阿里云安全工程师告诉我们,现在的 CTF大赛将会越来越难,简单的题都出过了,所以出题人会绞尽脑汁想出新的类型、新的研究方向,但对于选手来说也在不断进步。对道者来说,作为一名 CTF 选手和现在当大赛的出题人,又是两种完全不同的体验。之前作为选手,他常常猜出题人可能会考察哪些点,本次作为出题人,同样想给选手传达一些新的知识点。出题和解题相当于是选手和出题人员之间的交流碰撞。他通常预设一套解法,而选手的思路有所不同,赛后大家会一起交流碰撞。

道者毕业后果断选择了阿里云安全团队。道者很早就听说阿里云安全团队经常在关键比赛中拿第一,在业内自带“光环”,所以他找实习时选择加入团队。

道者在实习过程中通过工具发现隔壁团队平台漏洞,并和团队小伙伴一起头脑风暴不断尝试突破它的安全机制,成功“拿”下来了。

和道者聊天时,感受到他作为新生代极客阳光一面,可能和他们团队氛围有关,大家很 Open 地交流沟通,一群志趣相投的人在做有意义的事情,他深深被感染。

和以上三位受访者聊天时,他们不约而同地说出“兴趣”“热爱”等词,兴趣对白帽子极客很重要,正是有了兴趣大家才能沉下心专研技术,正是与其他成员有相同的兴趣爱好,才能一起探索,共同进步。正是因为热爱,一群好玩、高智商像道者、Straw Hat等优秀白帽子选择阿里云,相聚本大赛而相识相知。 尽管大赛已结束,但这些新生代极客的故事没有结束,从他们背后我们看到对技术始终坚持、保持创新、无所畏惧的品质,在安全领域里熠熠发光。

正如阿里云首席安全官欧阳欣给新一代年轻极客们/参赛选手们的寄语:“ 云计算在提升IT资源服务效率的同时,也对其安全防护技术提出了更高的要求。对于新一代安全极客们而言,那些未知的云上安全环境一定会激发他们更多关于破界与探索的欲望,非常高兴能通过本次赛事让ctfer多一些云上ctf体验,年轻极客们,未来云上安全该你们上场了!

一直以来,阿里云积极搭建安全人才培养的平台。据了解,阿里云安全团队每年都会有很多优秀成员像道者那样通过校招进来。早在2020年,阿里云面向高校发布“青色计划”招募令,与高校通过科研、产品等多种合作方式来培养安全人才。并连续多年,阿里云依托天池平台与清华大学举办 “安全AI挑战者计划”大赛,持续助力新生代技术人的能力提升。本次 CTF 大赛也一样,阿里云不留余力为更多年轻人提供战斗和成长的练兵场,以培养未来顶尖安全实战人才。



Tags:白帽   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
遵循白帽SEO技术,稳定关键词排名
在当今这个高度竞争的网络世界中,搜索引擎优化(SEO)已成为企业和个人争夺在线曝光率和吸引潜在客户的重要策略。然而,影响SEO关键词排名的因素众多,要想保持稳定的排名并非易事。...【详细内容】
2024-01-19  Search: 白帽  点击:(67)  评论:(0)  加入收藏
提升企业网站排名的三大白帽SEO优化方法
随着互联网的普及,越来越多的企业开始重视网络营销,而一个好的企业网站不仅需要美观易用,更需要具备良好的搜索引擎排名。在众多SEO优化方法中,白帽SEO因为遵循搜索引擎的规则,被...【详细内容】
2024-01-15  Search: 白帽  点击:(55)  评论:(0)  加入收藏
清楚黑帽seo优化的作弊手段,坚持用白帽seo做网站优化排名
今天我们要来聊一聊关于SEO优化的话题。对于网站优化排名,我们常常听到黑帽SEO和白帽SEO这两个词,那么到底什么是黑帽SEO呢?简单来说,黑帽SEO就是利用各种不正当手段来提高网站...【详细内容】
2023-12-27  Search: 白帽  点击:(127)  评论:(0)  加入收藏
白帽技巧助你轻松提升网站排名
在如今竞争激烈的网络世界中,网站排名成为了衡量一个网站成功与否的重要指标。而想要快速提升网站排名,白帽技巧成为了越来越多网站管理员的首选。本文将为您介绍一些利用白帽...【详细内容】
2023-12-05  Search: 白帽  点击:(134)  评论:(0)  加入收藏
你分得清极客、骇客、黑帽、白帽……吗?
极客、骇客、黑帽子、白帽子 、灰帽子、脚本小子等术语通常用来描述不同类型的计算机技术人员,他们的行为和动机有所不同。其中,黑帽子和脚本小子的行为是非法的,对个人和组...【详细内容】
2023-07-27  Search: 白帽  点击:(194)  评论:(0)  加入收藏
黑帽SEO与白帽SEO
【认识这两只白黑猫】大概在两三年前,经常在跨境电商圈子里面有传闻某某某莆田人通过黑帽站群模式引流,推广自己的仿牌独立站,月入百万;又某某某通过黑帽,双十一或黑五一天利润百...【详细内容】
2023-07-06  Search: 白帽  点击:(233)  评论:(0)  加入收藏
攻防大牛在身边,这群白帽极客的故事太精彩!
在黑客电影里,神秘的黑客们在键盘上十指如飞,电脑屏幕成串代码飞快刷屏,静静操纵影响世界的走向。在现实中,有一群白帽子黑客,与用技术恶意牟利的“黑帽子”相反,白帽子是正义的一...【详细内容】
2023-04-26  Search: 白帽  点击:(351)  评论:(0)  加入收藏
漏洞平台被迫关闭,白帽子被抓,这些黑客到底动了谁的蛋糕
2016年7.20号,国内最大的白帽子交流平台被迫关闭。在互联网世界,乌云网一直扮演着“守护者”角色,但乌云网模式自诞生起,就一直行走在灰色地带,因而备受争议。乌云网此次危机,正是...【详细内容】
2022-05-26  Search: 白帽  点击:(497)  评论:(0)  加入收藏
白帽黑客如何使用Dirbuster网站目录扫描神器
一、背景介绍DirBuster是用来探测web服务器上的目录和隐藏文件的。因为DirBuster是采用java编写的,所以运行前要安装上java的环境。 来看一下基本的使用: ①:TargetURL下输入要...【详细内容】
2021-12-07  Search: 白帽  点击:(410)  评论:(0)  加入收藏
白帽黑客之DOS基础
#本文仅用于网络安全研究学习任何未经授权的入侵都是违法行为dir 浏览 创建文件 echo 文件内容 > 文件名字.扩展名 浏览文件内容 type 文件名 分页浏...【详细内容】
2021-12-07  Search: 白帽  点击:(363)  评论:(0)  加入收藏
▌简易百科推荐
小心“黑客”利用445端口攻击你的Win8系统!
Windows 8系统自带一个名为SMB(Server Message Block)的服务,使用445端口进行通信。这个服务主要用于文件共享和网络协议等功能,但是无良黑客也会利用这个服务来攻击你的电脑。...【详细内容】
2024-04-10    潘小姐  Tags:445端口   点击:(2)  评论:(0)  加入收藏
为什么黑客不去攻击微信钱包?
在这个数字化时代,网络安全已经成为我们生活中不可或缺的一部分。每当我们打开手机,使用微信钱包进行支付时,是否曾有过这样的疑问:为什么黑客不去攻击微信钱包?这个问题,就像是在...【详细内容】
2024-02-19  猫探长情报局  今日头条  Tags:黑客   点击:(55)  评论:(0)  加入收藏
发条消息就能破解iPhone?苹果系统这次像被“内鬼”攻破的。。。
前几天,差评君在网上冲浪的时候,看到了一条相当震撼的消息:简单来讲,就是主打封闭安全的 iPhone ,不仅被攻击者发现了漏洞成功入侵,完全控制整个手机。更加抽象的是入侵的还是知名...【详细内容】
2024-01-26  差评    Tags:破解iPhone   点击:(134)  评论:(0)  加入收藏
十种黑客攻击手段及防御方法
在互联网的世界里,网站安全犹如一座城堡,需要严密的防线来抵御各种攻击手段。以下是10种最常见的网络攻击手段,以及我们如何采取措施来保护我们的网站。1. 跨站脚本攻击:这是黑...【详细内容】
2024-01-21  老吴讲IT    Tags:黑客攻击   点击:(83)  评论:(0)  加入收藏
渗透测试中最常见的漏洞有哪些?
什么是渗透测试?渗透测试是一项安全测试,旨在模拟黑客的攻击方式,评估系统、网络或应用程序的安全性,发现潜在的安全漏洞并提出建议来修复它们。渗透测试中最常见的漏洞包括:1....【详细内容】
2024-01-11  五湖联技术服务公司    Tags:渗透测试   点击:(105)  评论:(0)  加入收藏
作为一名黑客/安全专家,应该掌握什么技能?熟悉哪些软件/工具?
作为一名合格的黑客/网络安全专家,应该具备一套全面的知识体系和实战技能,同时熟悉多种安全软件和工具。今天我们将根据目前市面上流行的一些应用程序,以及常规的安全防护措施,...【详细内容】
2023-12-11  黑客联盟I    Tags:黑客   点击:(140)  评论:(0)  加入收藏
黑客是如何入侵一个网站的?(网络安全人员应该了解的知识)
前不久阿里以及滴滴系统的大规模瘫痪足以唤起人们对网络安全的重视。我首先必须澄清的是,作为一个网络安全专家,我不提供或者鼓励任何违法的行为,包括未经授权的计算机系统入侵...【详细内容】
2023-12-07  黑客联盟I    Tags:黑客   点击:(176)  评论:(0)  加入收藏
网络黑客入侵解析:保护你的网络安全
在当今数字化快速发展的时代,网络安全问题逐渐成为人们关注的焦点。网络黑客入侵事件频发,给个人和企业带来了严重的威胁。本文将深入解析网络黑客入侵的常见手段和原因,并探讨...【详细内容】
2023-12-05  小记青春    Tags:黑客入侵   点击:(161)  评论:(0)  加入收藏
黑客滥用 Google 表单进行诈骗
研究人员最近发现滥用 Google 表单的垃圾邮件有所增加,攻击者首先在 Google 表单中创建新的问卷调查,并且利用受害者的电子邮件地址参与问卷调查,滥用 Google 表单的功能将垃圾...【详细内容】
2023-11-23  区块软件开发  今日头条  Tags:黑客   点击:(220)  评论:(0)  加入收藏
黑客工具 Flipper Zero 曝光,可利用蓝牙弹出窗口崩溃 iPhone
据外媒 9to5Mac 报道,一种流行且廉价的黑客设备 Flipper Zero 今年 9 月首次出现,可通过制造蓝牙弹出窗口,向 iPhone 和 iPad 重复告诉发送垃圾内容,直到相关设备最终崩溃,不过直...【详细内容】
2023-11-20  IT之家    Tags:黑客工具   点击:(242)  评论:(0)  加入收藏
站内最新
站内热门
站内头条