12月7-8日,由長亭科技舉辦的第二屆Real World CTF國際網絡安全大賽在北京圓滿落幕。經歷了線上賽參與團隊增長50%,入圍名額卻縮減40%的極致「提純」後,成功入圍線下賽的12支戰隊齊聚北京,面對面開啟「48小時激戰」。最終,來自卡內基梅隆大學的明星戰隊PPP摘得桂冠,集結了德國兩大強隊的聯合戰隊Flux Repeat榮膺第二,而線上賽驚險拿到最後一張總決賽入場券的德國戰隊ALLES! 斬獲第三名。
參賽戰隊和命題團隊為2019 Real World CTF畫上完美句號
2019 Real World CTF國際網絡安全大賽線下總決賽共設置了16道題目,分別對應一個入侵目標,例如智能門鎖、印表機、路由器等,這些目標分布在賽場內以及現場大屏所展示的一個虛擬3D房間內。在場觀眾通過觀看大屏展示,就能實時了解當前賽題的破解情況。與去年賽事開始6小時後才有戰隊成功拿下一血(first blood)的情況不同,今年組委會設置了一道有趣的籤到題「被pwn的可樂」,由日本戰隊TokyoWesterns搶先破解,成功激起了其餘戰隊的勝負欲,賽場氣氛迅速點燃。此後48小時的混戰異常激烈,並將戰火一路燃到了最後一分鐘。在大戰收官日,距比賽結束僅僅20秒的驚險時刻,美國戰隊PPP抓住最後機會,再次演示成功一道賽題,直接鎖定勝局、大獲全勝。
榮耀時刻:總冠軍PPP戰隊最後20秒演示成功,直接鎖定勝局
據賽事組委會介紹,本次賽事致力於跨越虛擬世界與真實場景,16道賽題均基於現實生活中的真實物件來設置,例如智能家居終端、常用辦公設備等,並在去年的基礎上,創新性地加入了純硬體的賽題,例如被成功破解的<Lock2018>智能門鎖就是其中之一。這道題也融入了長亭科技近年來在智能硬體上的發現和思考,本次的智能門鎖賽題,內部的所有代碼都由組委會重新編寫,力求貼近真實、源於真實又高於真實。由於過於真實,這16道賽題在難度方面上升了好幾個水準,連排名第一的美國戰隊PPP最終也只成功解出9道題,成功激發起這些全球頂尖戰隊的挑戰欲和解題成功的獲得感。
摘得第一名桂冠的PPP戰隊來自美國卡耐基梅隆大學,也是美國DEFCON CTF的一支常勝戰隊,賽後接受媒體採訪時,隊長Robert Xiao盛讚本屆比賽,並表示他最喜歡「現場展示」環節,不管是自己戰隊上臺展示,還是觀看其他戰隊展示,感覺都超級棒。採訪最後,Robert Xiao還隔空向DEFCON CTF發出靈魂拷問:「你們為什麼沒有現場展示環節?」總決賽結束不久,CTFtime上就有多個參賽戰隊給出了滿分評價,例如獲得第五名的韓國戰隊CodeRed就直接發文稱:「Real World CTF真的很棒!所有挑戰都基於真實世界,難卻不失趣味,非常高興此次能夠參賽。」
總分第五名的韓國戰隊CodeRed賽後曬圖並大讚本次比賽
據悉,2019 Real World CTF國際網絡安全大賽作為第二屆賽事,延續了長亭科技全球首創的CTF + PWN賽的賽制形式,賽題全部基於真實世界軟體的修改或二次開發,既延續了傳統CTF賽事中命題靈活、難度可控的特點,又能讓參賽者挑戰和體驗Pwn賽中的真實世界軟體攻防技術。今年在賽題的籌備過程中,長亭科技明星命題組更是融入了最新的漏洞研究成果,16道精心準備的賽題經過12支全球頂尖戰隊長達48小時的深度體驗後,能夠收穫參賽選手的一致好評和盛讚,就是對長亭漏洞研究及安全服務團隊實力的最好印證。
談及舉辦Real World CTF大賽的初衷時,長亭科技聯合創始人、首席安全研究員楊坤博士表示:「一開始決定創辦Real World CTF,就是希望中國的CTF能夠被全球認可,有一份中國情懷在裡面,我希望借著這種情懷,讓中國CTF大賽成為一個全球性的技術交流平臺,吸引國際上頂尖的CTF戰隊參加。讓更多的人參與進來,通過比賽,促進交流,帶動選手從單純的CTF比賽轉變到真實的漏洞研究當中來,為攻防技術的發展多貢獻一些力量。」正是由於這樣的「初心」和「情懷」,才讓 Real World CTF大賽在首次舉辦就引發了國際頂尖戰隊的關注,受到業內一致好評。
長亭科技楊坤分享辦賽感受
2019 Real World CTF依舊秉持著「Hack The Real」的初衷與信念,激烈的賽事與同期舉辦的「阿里雲安全挑戰賽」「安全訓練營」「技術論壇」「Hack Valley」一道,共同詮釋著大賽的雙重「真實」:一是比賽過程最接近真實世界網絡環境;二是提升攻擊技術和防禦本領,守衛真實世界的網絡安全。五大板塊,用實力聚焦網絡攻防,演繹著各自不同的精彩。
技術論壇上乾貨密集輸出,引發在場觀眾頻頻「記筆記」
為期兩天的活動中,還有多位國內一線企業安全負責人到場觀賽。在親眼見證了這場沒有硝煙的激戰後,他們表示:不出國門就看到如此高級別的賽事,並親眼目睹門鎖、路由器、印表機等尋常物品被攻擊的過程,更加體會到攻防技術的重要性。通過見證頂級戰隊的高技術水準,大家也更深切意識到當下技術的空白點和提升空間,未來將更有針對性的補足短板,全方位提升安全水平線。
此外Real World CTF也迎來了一眾「年輕」群體的身影。他們被有趣的安全揭秘、破解展示所吸引,認真的聽著展臺負責人員的講解,在網絡安全的世界裡徜徉和探索。高級別賽事對我國網絡安全行業的人才培養具有重要意義,青少年群體是未來網絡安全行業的生力軍,越早接觸到高級別的國際網絡安全賽事,越有利於培養網絡安全興趣,從根本上改善網絡安全人才短缺的局面。
未來的網絡安全生力軍們被有趣的展示深深吸引
技術的進步來自於不同聲音的碰撞和交流,網絡安全行業的加速發展,也需要一個能夠聚攏人才的平臺去產生這種碰撞和交流。作為主辦方,長亭科技致力於把Real World CTF打造成這樣的一個國際化平臺,不僅讓國內外更多的CTF愛好者能通過比賽交流技術,也希望能有更多的頂尖安全研究人員加入進來,推進中國網絡安全發展,讓世界了解中國。網絡安全的技術沒有國界,通過舉辦大賽也進一步帶動包括中國在內的全球安全攻防水平向更高水準衝刺。