WCTF是怎样的一个CTF?全球顶尖CTF大师赛开战在即
作者:星期一, 四月 18, 20160

安全牛记者近日得到消息,360准备在今年6月1日至3日举办一场由世界顶级CTF战队组成的比赛,World CTF。据悉,这是一场与所有现行CTF都不一样的比赛。带着好奇心,记者采访了WCTF的主办方之一360伏尔甘团队的负责人,郑文彬。

640 (1).webp (10)

个人简介

郑文彬,360核心安全负责人,360 Vulcan Team 负责人,Windows安全专家,中国国家漏洞库特聘专家,曾发现多个Windows安全漏洞并获得微软致谢。

安全牛:按惯例,先问一下举办WCTF的意义?

郑文彬:我觉得有几点吧,首先是让更多的人去关注比赛,吸引公众,让大家意识到网络安全的事情。网络安全技术的发展通常是在IT技术发展之后的,这里面一方面是应用普及程度的原因,另一方面也有公众的意识问题。

再一个CTF比赛,能够发现和培养许多网络安全人才,从而整体性的提升网络安全。最后举办这种国际型的比赛,是一个很好的交流机会,可以促进国内人员对先进安全技术的了解和学习。

目前为止奖金最高的CTF比赛

安全牛:WCTF是怎么策划出来的?

郑文彬:韩国主办POC黑客大赛的机构,它一直在做这种类型的比赛,还是非常有意思的。我们了解之后,便诞生了要在北京搞一场大规模顶尖级的邀请赛的想法。

我们邀请了国际上最知名的战队来北京,并且把奖金设置到全世界CTF比赛最高的水平。整个奖金是10万美金,前三名按50%、30%、20%这样的分配比例,第一名五万美金,第二名三万,第三名两万美金。虽然这种额度,在绝对数量上听上去并不多,但已经是目前CTF类比赛最高奖金的两倍。

WCTF的举办初衷是与国际水平接轨,可能国内很多人CTF队伍并没有机会出去,跟一流顶尖的队伍交流切磋。因此我们把他们请过来,帮助大家了解最高水平的CTF是什么样子的。

世界顶尖水平的CTF比赛

安全牛:我注意到在国际上,有一个CTF排名的机构,CTFtime,全世界几乎所有有影响力的CTF比赛,都会列入其中,并且按比赛的规模和重要性进行权重积分。WCTF是否考虑并入这个排名里面?

郑文彬:我们正在与CTFtime进行沟通,包括权重积分的确定等。而且,他们还会参加此次WCTF,并作为比赛的裁判监督,和360一起给参赛队伍打分。后续会把比赛的权重积分,也并入到CTFtime上。

而且这次的比赛也是按照CTFtime上的排名邀请的,首先是前五名,然后是一些今年成绩排名前五和过去成绩很好的队伍。

安全牛:有没有考虑参加 Def Con?

郑文彬:没有,因为它的赛制与我们的WCTF不一样。我们是邀请赛,DEF CON 是选拔赛,所有人都可以通过提交申请参加资格赛,然后再打进决赛。这其中主要有两点区别。一WCTF请的是全世界最好的10支战队,因为这是首次举办,我们想把它做成一个非常国际化的,有影响力的顶尖水平的CTF比赛,因此极大地提升了参赛的门槛。二是资格赛不能给选手奖金的,只有决赛才会有奖励。出于这些原因,以及理念上的差异,所以我们并没有申请 DEF CON 的资格赛。

安全牛:是否可以这样理解,一是赛制的原因,二是WCTF的参赛队伍已经是 DEF CON 冠军级别的队伍,因此没有必要再去打它的资格赛了?

郑文彬:差不多可以这样理解。

难度大挑战 18道题解两天

安全牛:WCTF的赛制是怎样的,有何特点?

郑文彬:这个比赛采用的是危险边缘(Jeopardy)有人也称解题模式的赛制。答出一道题给多少分,最后算总分。

但是WCTF和其他比赛最大的不同是,赛题是由战队自己来出,而不是组织者或主办方来出。这次比赛有十支队伍,每支队伍出两道题目。一道是Windows平台相关的,另一道自由发挥。总题库一共是20道,但每支队伍只解18道,不答自己出的那两道题。由于是给对手出题,各个战队一定会千方百计的提高对手答题的难度。而且18道题,给的是两天的解题时间,可以想像一下其难度之高。

不一样的分享会 出题也给分

安全牛:那就尽量把题出的让人答不出来,反正自己又不用答?

郑文彬:这样说也对也不对。从竞争的角度来看,大家一定会尽量加大解题难度,以减少对手的解题成功率。但并不是只管出题,其他一概不管。在两天的解题比赛完成之后,第三天会进入一个赛题分享会的阶段,每个战队都要来讲解一下自己的题是如何设计的,它的原理、出题和解题思路,最终的答案等。

在这个期间,解题的选手包括裁判会提出对题目的疑问和看法,然后裁判会根据你出题的质量,来给出一个出题的分数。这个分数和解题的分数加在一起,才是每支战队最后的得分。如果你只是一味的加大解题难度,不考虑客观原因和出题质量,甚至是故意出一些让人解不了的,是不行的。

安全牛:那出题和解题的权重各是多少?

郑文彬:答题分约占60%,出题分或裁判打的分占30%,还有一些杂项得分10%。

这也是与一般的CTF比赛不一样的地方,一般都是各自去比赛,比赛完就结束。而WCTF在两天的解题比赛之后,第三天的分享会,实际上还是比赛的一部分。它的意义不仅在于比赛,还重在彼此安全技术的交流、沟通和分享,这些战队成员本身和裁判都是国内外的安全大牛。之后我们会在网上开放注册,大家如果感兴趣可以免费注册到现场听会。

10支世界一流CTF战队

安全牛:能否大致介绍一下参赛队伍?

郑文彬:我觉得这次最大亮点的队伍是由PPP和DEFKOR共同组成的联队。PPP是2013年和2014年的 DEF CON冠军,DEFKOR是去年的冠军,他们俩个队伍组成一个冠军联队,强强联合,实力有多强劲可想而知。

另外,现在世界排名第一的dcua,是乌克兰的一个战队,最近两年风头正劲,在多个比赛上都拿到冠军。

安全牛:中国的队伍呢?

郑文彬:大陆的邀请了两个最好的战队,一个是上海交大的0ops,另一个就是蓝莲花,再有就是台湾的HITCON。这三只队伍,在国内的CTF比赛上基本是最强的。

采访最后

一名记者询问郑文彬,中国的安全技术水平到底处于世界的什么位置。郑文彬认为,在某些领域已经到达一流,和跟国际上最牛的那些人,没有大的区别,但整体水平和人才培养方面则有一定的差距。因此举办CTF这样的活动,也是为了提高安全技术水平,吸引更多人对安全的关注,发现和培养人才。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章