11月19日下午,平安集团第一届CTF夺旗赛线下决赛拉开帷幕,初赛(线上解题赛)胜出的12支战队,历经240分钟48轮艰苦卓绝的比拼,最终在预赛中就表现出色的“GOGOGO”战队力拔头筹,“shiba lnu”、“AI Team”战队分别获得第二、三名。至此,这场被视为中国平安集团信息安全技术员工“大比武”的赛事完美收官。
平安科技CEO陈立明表示,伴随着全球经济一体化浪潮,在互联网、物联网、大数据、云计算等技术飞速发展的当下,此前只能在电影中才能看到的网络攻击开始规模化、常态化、具象化,且破坏力跟核武器一样没有上限。这就要求大到国家、组织、机构、企业,小到个人都需要提高信息安全意识和水平。事实上网络空间的对抗,本质是网络安全人才的对抗。一直以来,信息安全都是平安科技的重中之重,像CTF这种能很好的促进和提升员工安全实战水平的赛事,平安科技明年还会继续举办,并且还会将优胜选手送往全球最知名的美国DEFCON大会交流学习。
值得一提的是,平安集团首次举办CTF赛事就引入了业内通用的赛制——模拟现实中黑客的攻击和网络维护者的防御而展开的线上攻防对抗比赛。不怕打击员工信心和积极性,其勇敢和认真程度成色十足。通过比赛规则和内容不难发现,本届赛事着重于全球前沿攻防技术的引入,全程涉及Web安全,漏洞挖掘与利用,逆向分析,移动安全,密码学,隐写术,取证分析等,希望突破传统注重内部防御和化解风险的固有思维,使中国平安的安全技术人才能够站在不同的视角,深入了解信息网络面临的外来威胁和风险。
作为本次比赛技术支持单位的长亭科技,其核心团队脱胎于国内知名的清华大学蓝莲花战队,队长杨坤博士带领这支团队赢得DEFCON CTF全球第二名,是国内团队迄今参赛最佳成绩,今年3月,更是在温哥华举办的2017 Pwn2Own 黑客世界杯比赛中,且与代表中国队出战的腾讯、360共同包揽了全球前三名。据了解,中国平安的本次CTF大赛,也是由杨坤博士(现任长亭科技安全研究院负责人)亲力亲为,全程主导题目设计、赛制流程、平台搭建和评审工作。
12战队240分钟48轮激烈对抗 平时多流汗战时少流血
据悉,决赛共四道题目:1、bookmark二进制;2、pbbs web php;3、mycms web java;4、simple-convert web – python。“寿险荣耀”战队拿了pbbs一血,打开攻击序幕;开场40分钟左右,“重在参与”战队拿下mycms一血,利用struts2漏洞,打全场,每轮增长1100分;其他队伍分析流量,发现struts2,但是不太好修补,也陆续开始利用这个点互相攻击。
比赛进行到快一半时,第25轮;“GOGOGO”战队拿下bookmark一血,打全场,开始飞快追分;mycms题 “shiba lnu”战队和“BANK_ISC”战队互相攻击,并且将其余队伍服务打挂,除了可以获取flag的分数还可以分到其余队伍服务down了之后的罚分;结果导致很多队伍出现了服务down掉同时又被拿flag的情况,每轮会掉200分;
在这种情况下,“GOGOGO”战队战略性放弃了所有web题,删掉了web服务,虽然每轮会挂掉罚分,但是不会丢flag;“GOGOGO”战队在攻击其余队伍的拿全场flag的基础上,干掉了其余队伍的服务,并且留了后门;其余队伍每轮不仅丢flag,服务也挂;这也意味着“GOGOGO”战队每轮涨2000分左右,只要保持这个势头稳拿冠军。
在38轮的时候“AI Team”战队找到了bookmark的防御手段,免于被“GOGOGO”战队攻击,可以和“GOGOGO”战队一起平分其余队伍的罚分,每轮增加500分左右;依靠该项得分,最后“AI Team”战队冲到了排行榜第三名;而“shiba lnu”战队则凭借mycms其他队伍服务down掉的罚分,分数持续增长,最后夺取第二名;最终,“GOGOGO”战队凭借二进制题目的优势笑到最后获得比赛冠军。
比赛气氛紧张,扣人心弦,队伍排名交替上升,以至于现场观众和后续到来的领导纷纷表示看的非常刺激。业内评论指出,这类“练兵”性质的攻防比赛,有助于提升企业平安集团信息、网络安全工作人员的整体素质,在对抗来源于网络的恶意攻击时更有把握。
CTF赛事有助于发现和选拔网络安全人才 平安科技示范性效应凸显