中國平安首屆CTF奪旗賽完美收官 長亭科技傾力支持

  業界資訊     |      2023-04-17 12:09

  11月19日下午,平安集團第一屆CTF奪旗賽線下決賽拉開帷幕,初賽(線上解題賽)勝出的12支戰隊,歷經240分鐘48輪艱苦卓絕的比拼,最終在預賽中就表現出色的“GOGOGO”戰隊力拔頭籌,“shiba lnu”、“AI Team”戰隊分別獲得第二、三名。至此,這場被視為中國平安集團信息安全技術員工“大比武”的賽事完美收官。

CTF有助于提升員工安全實戰能力  平安科技將繼續舉辦

CTF有助于提升員工安全實戰能力  平安科技將繼續舉辦

  平安科技CEO陳立明表示,伴隨著全球經濟一體化浪潮,在互聯網、物聯網、大數據、云計算等技術飛速發展的當下,此前只能在電影中才能看到的網絡攻擊開始規?;?、常態化、具象化,且破壞力跟核武器一樣沒有上限。這就要求大到國家、組織、機構、企業,小到個人都需要提高信息安全意識和水平。事實上網絡空間的對抗,本質是網絡安全人才的對抗。一直以來,信息安全都是平安科技的重中之重,像CTF這種能很好的促進和提升員工安全實戰水平的賽事,平安科技明年還會繼續舉辦,并且還會將優勝選手送往全球最知名的美國DEFCON大會交流學習。

  值得一提的是,平安集團首次舉辦CTF賽事就引入了業內通用的賽制——模擬現實中黑客的攻擊和網絡維護者的防御而展開的線上攻防對抗比賽。不怕打擊員工信心和積極性,其勇敢和認真程度成色十足。通過比賽規則和內容不難發現,本屆賽事著重于全球前沿攻防技術的引入,全程涉及Web安全,漏洞挖掘與利用,逆向分析,移動安全,密碼學,隱寫術,取證分析等,希望突破傳統注重內部防御和化解風險的固有思維,使中國平安的安全技術人才能夠站在不同的視角,深入了解信息網絡面臨的外來威脅和風險。

  作為本次比賽技術支持單位的長亭科技,其核心團隊脫胎于國內知名的清華大學藍蓮花戰隊,隊長楊坤博士帶領這支團隊贏得DEFCON CTF全球第二名,是國內團隊迄今參賽最佳成績,今年3月,更是在溫哥華舉辦的2017 Pwn2Own 黑客世界杯比賽中,且與代表中國隊出戰的騰訊、360共同包攬了全球前三名。據了解,中國平安的本次CTF大賽,也是由楊坤博士(現任長亭科技安全研究院負責人)親力親為,全程主導題目設計、賽制流程、平臺搭建和評審工作。

  12戰隊240分鐘48輪激烈對抗  平時多流汗戰時少流血  

  據悉,決賽共四道題目:1、bookmark二進制;2、pbbs web php;3、mycms web java;4、simple-convert web – python?!皦垭U榮耀”戰隊拿了pbbs一血,打開攻擊序幕;開場40分鐘左右,“重在參與”戰隊拿下mycms一血,利用struts2漏洞,打全場,每輪增長1100分;其他隊伍分析流量,發現struts2,但是不太好修補,也陸續開始利用這個點互相攻擊。

  比賽進行到快一半時,第25輪;“GOGOGO”戰隊拿下bookmark一血,打全場,開始飛快追分;mycms題 “shiba lnu”戰隊和“BANK_ISC”戰隊互相攻擊,并且將其余隊伍服務打掛,除了可以獲取flag的分數還可以分到其余隊伍服務down了之后的罰分;結果導致很多隊伍出現了服務down掉同時又被拿flag的情況,每輪會掉200分;

  在這種情況下,“GOGOGO”戰隊戰略性放棄了所有web題,刪掉了web服務,雖然每輪會掛掉罰分,但是不會丟flag;“GOGOGO”戰隊在攻擊其余隊伍的拿全場flag的基礎上,干掉了其余隊伍的服務,并且留了后門;其余隊伍每輪不僅丟flag,服務也掛;這也意味著“GOGOGO”戰隊每輪漲2000分左右,只要保持這個勢頭穩拿冠軍。

  在38輪的時候“AI Team”戰隊找到了bookmark的防御手段,免于被“GOGOGO”戰隊攻擊,可以和“GOGOGO”戰隊一起平分其余隊伍的罰分,每輪增加500分左右;依靠該項得分,最后“AI Team”戰隊沖到了排行榜第三名;而“shiba lnu”戰隊則憑借mycms其他隊伍服務down掉的罰分,分數持續增長,最后奪取第二名;最終,“GOGOGO”戰隊憑借二進制題目的優勢笑到最后獲得比賽冠軍。

現場

現場

  比賽氣氛緊張,扣人心弦,隊伍排名交替上升,以至于現場觀眾和后續到來的領導紛紛表示看的非常刺激。業內評論指出,這類“練兵”性質的攻防比賽,有助于提升企業平安集團信息、網絡安全工作人員的整體素質,在對抗來源于網絡的惡意攻擊時更有把握。

  CTF賽事有助于發現和選拔網絡安全人才   平安科技示范性效應凸顯