开赛第一天 今年WCTF的三大新变化
作者: 日期:2017年06月28日 阅:4,518

昨日,第二届世界黑客大师赛(WCTF)在北京顺利开战。此次WCTF继承了上届由具有丰富破解(PWN)经验的360 Vulcan Team主办,以及目前全球最高夺旗(CTF)赛总奖金池额度的“传统”。

去年的WCTF,无论是从裁判还是选手的角度,部分题目过难甚至到了“脑经急转弯”的程度,都是被提及并表示亟待改善的重要一点。那么,这次WCTF在题目的难度控制方面又做了哪些改良?在参赛队伍的选择等方面又有哪些变化?

为了保证参赛队伍的实力,去年WCTF的10支参赛队伍均为主办方邀请且在CTF TIME排名级为靠前,甚至部分进入世界前十榜单的CTF强队。而今年,在参赛队伍的选择方面,则出现了很大的不同。其中最为突出的一点,是不再全部是邀请队伍。

1. 加入席位赛环节

据360 Vulcan Team的负责人郑文彬(MJ)向记者介绍,为了让更多国内的选手参与到国际CTF强队的同台竞技中,且同时维持赛事的高水准,在今年6月初,WCTF正赛开始前不到一个月,主办方增设了“席位赛”(即外卡赛)环节。

此次增设的席位赛面向全国CTF战队,共有11支战队参与选拔,题目方面则是8道去年WCTF使用过的真题。而参赛的11支队伍中,在之前XCTF全国联赛中出镜率颇高的多高校联合战队——FlappyPig成功晋级。

FlappyPig战队

除FlappyPig以外,今年WCTF正赛剩下12支队伍均为邀请制。虽然FlappyPig目前在CTFTIME排名与此次所有邀请参赛队伍中世界排名最低的相差53位,但这并不会减少观众对FlappyPig之后在赛场上的表现的期待。

2. 赛题经过筛选和比赛环境测试

针对之前暴露出的赛题筛选方面的问题,此次主办方也做了些许改良。

今年的WCTF赛题依旧是各参赛队伍出两道,除了一道限制在Windows平台外,并无其它要求。因为前三名丰厚的奖金回报,以及世界强队云集,所以题目的难度和复杂程度自然会非常高。

据MJ介绍,这次26道赛题破解类居多,和pwn2own类似,许多题目都需要多重链式攻击才能获得最终的flag。虽然在打分上依然和上次一样,会根据第三天分享会上各赛题的解题思路、题目的难度、合理性、稳定性以及创新度进行评分,并占到队伍总分的30%;同时在比赛前,比赛的裁判组已就赛题中不妥之处和队伍进行协调沟通,进行了适度的更改,并使之和今年发生的重大诸如勒索攻击等网络安全事件相关,更接地气。

同时,所有赛题已经在360准备的比赛硬件平台环境中经过测试,确保不会因为比赛环境的问题导致选手答题不畅。

提前对赛题的筛选和测试,结合赛制上30%分数的约束(上届确有参赛队伍不够重视此项得分,而因此排序发生变化),以及更接地气的题目内容,共同尽可能规避部分题目过难过偏的情况再次发生,而这也使得第三天的分享会更加值得期待。

除此以外,为了防止选手通过攻击比赛或其它参赛队伍的服务器以非法获得flag,除了将此类行为纳入必要的扣分项外,此次每道题目针对不同战队的flag设置都完全不同,这使得攻击他人的行为对本队的得分不再有实际帮助。

3. 寻找“高水准安全技术竞技/交流和安全人才培养”的结合点

此次比赛的裁判组成员,除了360 Vulcan Team、盘古实验室、VNSecurity安全实验室创建人Thanh Nguyen和曾破解iPhone、PS4、Switch的安全研究员Luca Todesco外,令小编特别关注的还有Blue lotus启蒙导师以及XCTF联合发起人美国乔治亚大学计算机系的李康教授。

国内近两年不乏对接安全人才的培养和企业招聘需求的CTF类比赛,去年首届WCTF则独树一帜,一心打造最高水准以竞技为核心目标的CTF比赛。而今年,WCTF则意料之外地加入了席位赛环节,虽然席位赛题目和上届的WCTF保持不变,但不难看出,WCTF也在寻找高水准竞技和人才发掘间的某种平衡。

李康教授向记者表示,无论国内外,安全世界的发展需要不断的交流,而CTF竞赛正式这样一个“以武会友”的平台。同时,这也正逐渐成为企业发现高端安全技术人才的重要方式之一。

就在这个月的17-18日,谷歌刚刚结束它的线上CTF竞赛,并选出10支队伍在之后来到谷歌进行线下的比拼,瓜分31,337美元的奖金池。这与谷歌漏洞奖励计划(真实漏洞提交者的参与CTF),以及谷歌全球的安全团队的人员招募紧密相关。

不难想象,真实安全从业者和安全社区的广泛参与,更加贴近真实发生过的安全事件和企业业务的安全需求的赛题,将会是网络安全竞赛一个必然的发展趋势与方向。

附:截止到今日上午11点比赛实况

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章