CTF的现实意义究竟在哪儿?FreeBuf专访清华大学网研院诸葛建伟博士

2017-07-13 336546人围观 ,发现 24 个不明物体 人物志

有人说,安全界的CTF夺旗赛并非表现真实实力的方式,因为它不以现有软硬件为直接破解或攻击目标,距离现实攻防有距离。

上周我们前往北京参加军博会期间,网络空间安全论坛之上,清华大学的段海新教授相当少见地,并未在演讲中谈具体技术,而谈了他自己的学生和教学生涯,以及一路走来他碰到的那些人——无论是同事还是学生。

段海新教授将这样一批人描述为“不务正业”的人,包括在清华一同读书的李康(现美国乔治亚大学教授)、曾是段海新清华学生的长亭科技联合创始人杨坤、朱文雷,还有腾讯科恩实验室的何淇丹,清华大学的张超副教授等等。他们的“不务正业”主要在于从计算机科学、高性能计算等等学科领域,转而去搞CTF。

于是,他们或多或少与如今活跃在全球极富盛名的DEFCON CTF大赛上的蓝莲花战队扯上了关系,许多都是或者曾是蓝莲花的核心成员。自2013年蓝莲花成为华人世界历史上首个成功闯入DEF CON黑客大会CTF全球总决赛的队伍,蓝莲花这些年来的排名推进速度一路猛进,去年已经和上海交大的0ops战队联合在榜单上排到第二位。用段海新的话来说:美国卡内基梅陇大学的Plaid Parliament of Pwning一直是蓝莲花追赶的对象,2013年以来的排名总在蓝莲花前面,包括2016年PPP夺得冠军的成绩。

CTF的现实意义究竟在哪儿?

这可能是一段值得大书特书的历史,它所表达的或许还是中国在CTF国际赛事上的逐步崛起。蓝莲花战队创始人之一的诸葛建伟博士,将这样一群人形容为安全领域的“学院派”。在我们看来,如果这样一批安全科班出身的学院派都无法代表国内安全行业的理论最高水平,那么究竟怎样一批人才是呢?

这样一段历史,还不足以为CTF的现实意义正名吗?

窥见CTF在国内的萌芽

诸葛建伟是清华大学网络科学与网络空间研究院、网络与信息安全实验室副研究员,是北京大学的理学博士——就读期间还曾获得IBM Ph.D. Fellow、微软学者、惠普中国优秀学生等奖励。

这次他接受FreeBuf专访实际上更多是作为赛宁网安CTO这个身份,所以我们就约见在赛宁办公大楼所在的一家咖啡厅中。他出现时,身着蓝莲花战队黑色POLO衫。与“半路出家”为主旋律的安全行业不同的是,诸葛建伟的确是从大学开始就研习网络安全以及攻防的“学院派”。

采访的当下,诸葛建伟正忙于筹办一站接一站的XCTF联赛,除了8月份需要重点筹办的新加坡站国际赛(HITB GSEC CTF),还有7月份的XCTF粤港澳台邀请赛、WHCTF武汉站国内赛,和9月份的XCTF总决赛需要准备。所以即便他坐下后随即点了杯橙汁和下午茶点心,也依旧不忘展开Macbook,闲谈间偶尔看两眼屏幕。

我们上次见到诸葛建伟是在2017 GeekPwn香港年中赛之上,那个时候他带着自己还没上学的儿子上了舞台。我们玩笑式地问他:将来会考虑让孩子走进安全行业吗?诸葛老师少见地笑了笑:“这个规划太长远了吧,不过他现在已经表现出对笔记本、平板之类强烈的兴趣。”“将来如果他对安全感兴趣,我当然会支持。”

CTF的现实意义究竟在哪儿?

诸葛建伟

早在九八、九九年前后,大学校园里的校园网搭建、校园BBS,甚至一些很早期的网络游戏开始流行,“当时很古老的文字型游戏MUD里面有一些自动化编程的challenge,引发我们对网络的兴趣。那个时候大家都已经接触到软件破解、攻击,还有攻防相关;黑客技术相关的帖子就已经很流行,对我来讲很有吸引力。”“所以我选择了(网络安全)这个方向作本科的设计和作研究生的方向。”

随后诸葛建伟因为北大的几位导师,开始做网络安全方面的研究工作,针对研究课题做实践和编程开发。比如最早做IDS——入侵检测系统,在真实环境中部署、验证和测试。

“最早了解CTF,是在2006年从北大网络安全方向的博士毕业,我的博士论文方向是入侵检测和入侵关联分析这块,对网络攻击的检测。当时我就参与到了The Honeynet Project这样一个开源的网络安全国际研究团队里面。”

“The Honeynet Project里面有一些网络安全的技术挑战,叫Scan of the Month月度比赛。其中对应的是CTF里面的一个类别,就是网络取证分析。但这个项目并未称为CTF。”不过这大概是诸葛接触到CTF的第一步了。

“虽然当时也已经了解到DEF CON CTF的存在,但一直到2008年,我在北大开了一门网络攻防的课程,在课程中引入CTF方式。让选课的学生进行夺旗竞赛,作为课堂考核的方式。这也是2010年我到清华之后,蓝莲花成型的一个因素。”

“另一方面,那个时候在很机缘巧合的情况下,李康教授到清华来访问,介绍他带队参加DEF CON CTF决赛的一些经历,也给了我们很多指导。所以2010年12月份,我们正式发起蓝莲花战队,去参加iCTF,美国的加大圣塔芭芭拉分校的shellphish团队组织的一个比赛。从那个时候开始,就有了持续性的,相当于长期参与的竞赛。”

CTF的现实意义究竟在哪儿?

DEF CON 2014之上的蓝莲花

李康是现如今美国乔治亚大学的终身教授,早在1994-1996年在清华网络中心担任助教,是Disekt CTF战队创始人。值得一提的是,他曾经在2016年带领Disekt进入CGC决赛——就是那个著名的机器人自动攻防赛。他也是段海新教授所说国内最“不务正业”的第一批人。

于是很自然的,蓝莲花成为国内最早一批参与国际CTF的战队。前面提到的长亭科技联合创始人杨坤就是蓝莲花队长,而朱文雷也是蓝莲花的核心成员。

“有些蓝莲花队员毕业之后,走入了创业阶段,或者在相关的网络安全企业比如BAT、360去就职。”“会有一部分队员仍然保留参加国际大赛的兴趣,还是保留在队里。”在问及参加比赛时,已经散落在安全行业的人们是否需要请假参赛的问题时,诸葛建伟说:“国际CTF比赛一般都在周末吧。”笑谈间这也算给学院派的这群人们创造了机会。

随后的故事变得如出一辙,蓝莲花不仅从2013年开始征战DEF CON,而且很大程度已经成为CTF战队的一颗种子。在“以前参与蓝莲花的两位上海交大的成员,他们又自己在上交大创办了0ops;也形成了他们所在学校的一些协会,国内其他高校像是浙大、杭电、华科一系列的优秀的队伍也都相继建立起来。”“我们在清华还组织了一个网络安全技术协会,还有完全由清华学生组成的紫荆花战队,来打国内的一些比赛,为蓝莲花输送主力队员。”

CTF的现实意义究竟在哪儿?

军博会上的段海新教授

走向国际的“第二步”

“蓝莲花通过组织比赛,不管是清华的协会还是内部团队建设,来输送更多优秀队员,创造国际赛事的优秀成绩。”“我们蓝莲花第一次打完DEF CON回来之后,也把赛制引入到了中国,发起百度杯CTF。”

诸葛建伟实际上就是XCTF联赛发起人。今年的XCTF已经举办到第三届,联赛自然由诸葛建伟所在的赛宁网安承办。“从去年12月份开始,在杭州、郑州、南京、北京两场,还有在福州也办过比赛,7月在广州和武汉还有两场。”即将到来的8月份,XCTF将挺进新加坡。

而XCTF新加坡站,也就是HITB GSEC CTF,是国内的CTF“第一次出海办比赛”,“之前还没有中国的队伍在国际上办网络安全对抗赛的”。诸葛建伟说这是“走向国际化的第二步”,“因为我们去年第二届XCTF联赛就已经是个国际联赛了,第一步是先“请进来”——请国际的队伍到国内来参加我们组织的比赛。”

CTF的现实意义究竟在哪儿?

XCTF新加坡站,8月21日-25日

不过在“走向国际化”的国家地区选择上,XCTF似乎还很热衷丝绸之路的文化典故。“我们在一带一路这个战略下,就想选择中亚或者东南亚的国家地区。”赛宁曾经想过在哈萨克斯坦首都阿斯塔纳举办海外站的XCTF比赛,恰逢哈萨克斯坦世博会期间。“不过当地的网络安全技术氛围比较薄弱,时间、成本和交通各方面都不是很理想,所以我们更偏向于选择海上丝绸之路。”最终选定了新加坡。

XCTF在新加坡站的官网宣传中特别提到,这次比赛会联合“亚洲地区历史最悠久、影响面最广的安全大会HITBSecConf”,所以在联合举办方的名单中,除了赛宁、蓝莲花之外,还有个HITB。

“第一次出海的困难还是很多的,首先就是国内的队伍在海外办大型比赛,连带相关的会议活动,而且是在人生地不熟的状态。所以我们这次采用合作的方式,借船出海,跟亚洲这个著名的黑客大会HITB合作,也就克服了我们需要从头开始落实比赛场地、组织参赛队伍一系列很复杂的问题。”“我们自己也就只需要考虑比赛的一方面了,包括平台、命题,还有参赛队伍的覆盖、邀请和宣传。”

国内XCTF联赛组委会这边主要负责的是比赛平台,也就是赛宁的XCTF-OJ实训平台;赛宁也负责更为具体的运营工作。因此XCTF也在新加坡租用了公有云进行部署,现场参赛队伍通过4G/WiFi接入比赛平台;同时也支持全球各地参赛队,通过互联网连接到比赛平台进行线上比赛(现场参赛队伍可获得奖励,线上比赛队伍只获得联赛积分,第一名获得入围总决赛资格)。

“现场比赛环节,HITB主要负责现场场地,相关布局、后勤,队员饮食等。我们XCTF主要负责技术、比赛运维、过程监控还有最后的成绩确认。”“双方还有各自的宣传渠道。”双方的另一个合作点还在命题方面,蓝莲花的核心主力约10个人参与技术命题,“承担15个左右题目的命题,NITB NL Team可能5人左右承担8-10个命题,构成2天比赛充分的题目量。”“像web渗透、二进制漏洞挖掘利用、逆向分析、密码学的密码分析破解、取证分析等等,每个类别出3-7个题目。”

CTF的现实意义究竟在哪儿?

所以“XCTF和HITB双方通过Skype的方式作交流,确定合作的具体过程,还有整个项目的推进,各个阶段的工作确认。”“整个执行项目基本上每两周就要沟通一次。”而双方的合作,HITB所看重的就包括了蓝莲花在国际比赛上的成绩和声望,这“让对方HITB相信我们有实力去组织好一场技术水平高的赛事。”

实际上,赛宁市场负责XCTF商务运维的也就4个人,加上社区合作伙伴,“目前还是非常高强度的工作状态”,何况还有“七、八月份广州、武汉站,以及X-Man特训夏令营的一些事情在并行。”“好在国创会郝叶力副会长也全程参与我们的策划和关键点把握;技术方面也有蓝莲花来组织;赛宁比赛平台开发和运维也有10多个人。这些力量支撑起了整个XCTF联赛。”

诸葛建伟告诉我们,从上个月HITB和XCTF官网开放报名后,3-4天时间,除了HITB保留的1个参赛名额(预留给去年HITB阿姆斯特丹比赛的冠军),其余24个现场参赛名额就已经报满:目前总过有13个国家地区的25个队伍确认报名参加,“包括欧洲的三个队伍,来自德国、罗马尼亚的,还有乌克兰的dcua,世界排名也在前10。还有像新加坡本地、马来西亚、泰国、越南、印尼的队伍,我们XCTF这边渠道也有11、12支队伍报名,中国大陆有7、8支队伍。”

“其实现在还有6支队伍在继续报名,在备选队列里面。主办方也在跟酒店沟通现场可以容纳的队伍空间,未来可能会扩充一些队伍名额,现在还没定。”

迈出自动化的“一小步”

值得一提的是,XCTF决赛的组委会名单,有去年参加美国CGC机器人自动攻防赛的李康教授,还有清华大学网络科学与网络空间安全研究院副教授张超——他也是参与CGC比赛的CodeJitus协助领队。这两位出现在XCTF决赛的原因是,决赛结合了AI赛制。诸葛建伟很谦虚地将之称作向AI迈进的“一小步”,“但我们是按照实际可用的方向去迈的”。

FreeBuf去年曾经对CGC机器人自动攻防赛进行过解读,这是人类有史以来的首次人机黑客大战,是DEF CON引入的全新竞赛类别,主要是由DARPA为AI在安全领域应用发起的比赛,目标是要建立实施自动化的网络防御系统;简单说即是由AI来挖洞、修复、防御等。

CTF的现实意义究竟在哪儿?

DEF CON CTF之上的盛况

“CGC比赛是完全由各个科研机构开发的智能攻防的程序,在很昂贵的超级计算机环境里部署,自动化地进行漏洞挖掘和利用的攻防对抗。不完全统计,CGC两年赛期可能DARPA投入超过3000万美金,单是冠军奖金就200万,国内的比赛很难去比。我们无法获得政府几千万美金的资源投入。”“其实对CGC来说,其漏洞利用的自动化挑战也是简化过的,过程也无法真正对Linux或者Windows的服务自动化生成exploit,攻陷漏洞来获得目标赛题环境shell。”

“所以我们组委会做了细致策划和确认,借鉴CGC,但不以AI为主,而是AI辅助人类队伍并肩作战。就相当于人类调教出一只用起来得心应手的坐骑,然后跟着坐骑一起PK。所以在赛制设计上,第一天的比赛,我们要人类队伍设计的AI能独立发现赛题环境里的安全漏洞。”

“在漏洞利用环节,我们认为国内的队伍还不具备能够自动化实现AI进行漏洞利用的阶段能力,所以漏洞利用还是留给人类队伍去做。到了第二天,人类队伍会和AI共同配合进行攻防对抗。”“我们相对CGC的优势在于,我们会用完全实际的操作系统平台,和一些程序的实际执行格式和它的指令集作为赛题环境——CGC是Linux基础上简化后的版本,不是真实Linux环境上的可执行文件,所以CGC参赛队伍研发出来的机器人也无法在真实网络环境和系统上发现和利用漏洞。”

“对于这次XCTF决赛的参赛队伍来说,最大难度就是在漏洞发现环节,其设计的AI能够自动去运行、自动分析题目、赛题环境的样本,尝试发现导致系统程序崩溃和程序异常的漏洞;还有一点就是他们开发的AI机器人程序是否足够鲁棒,这也是CGC比赛各队伍投入工程开发最多的一个地方。”

CTF的现实意义究竟在哪儿?

这或许也是国内的CTF走向国际化的一步,而不单是在地理位置上沿着丝绸之路迈进,即自动化攻防。去年奥斯卡获奖影片《隐藏人物》讲述上世纪六七十年代,计算机技术尚未崛起的时代,NASA将人推土太空的全部计算过程都是由human computer进行的;而在IBM引入NASA后,这些human computer失业了——而有一部分人率先捡起编程在NASA获得了新的职位。

CSO今年2月份曾经发表过一篇文章,题为《AI是如何实时阻止犯罪攻击的》,其中有个有趣的观点,即安全专家的岗位会减少,而安全专家唯有向AI算法专家转变,才是迎合时代发展。

诸葛建伟则说:“像长亭这样一个蓝莲花创业的公司,很大程度上就是利用实战、比赛中得到的经验,转而去研究数据分析,设计AI算法,自动化发现威胁的安全防御产品。随着AI往安全的引入,所需安全专家数量可能会变少,安全领域背景知识、规则等等可能通过大数据学习自动归纳、产生。低水平的安全技术人员就需要往高处走,利用具有AI能力的安全工具,从事更高阶的安全攻防。”

CTF的现实意义究竟在哪儿?

这是我们可以预见的安全行业的未来。在采访结束后,赛宁的工作人员把我们送出咖啡厅,边走边告诉我:诸葛老师平常可是个很严肃的人呢,不过有次出差,同事看到他在酒店房间里看《跑男》。这是我在与诸葛老师道别前,他说的“平常也比较宅,少出门,都跟家人呆一起,有时候就看看娱乐节目,给孩子搭乐高”吧,这是一个真实的学院派安全专家的写照。

CTF从引入国内,到走出国门,甚而向最前沿的AI发展,诸葛建伟大约就是见证了整个过程的这一代人。不仅是蓝莲花作为国内CTF发展的种子,已经为安全行业哺育了很多力量,诸葛建伟告诉我们今年的XCTF各站线下赛都“强调区域化”,不致让每场比赛都只是些“老面孔”,每个区域一些“处在金字塔中部的队伍也有机会参与到现场的决赛,比如一些运营商、企业、国家政府相关部门,他们的队伍也来参赛。”这才是CTF在现实意义上体现的价值。

* FreeBuf官方报道,作者:欧阳洋葱,未经许可禁止转载

这些评论亮了

  • isno 回复
    都打比赛去了
    还专门训练打比赛,还去买POC参加比赛就为了拿奖
    为了比赛而比赛,家里活谁干呀?
    秀逗
    )49( 亮了
  • xxoo 回复
    "有人说,安全界的CTF夺旗赛并非表现真实实力的方式,因为它不以现有软硬件为直接破解或攻击目标,距离现实攻防有距离。" 真的是这样吗?
    答:是这样的。
    全文完。
    )21( 亮了
  • what 回复
    ctf真没什么意义
    新人学习吧,打了很多比赛 很厉害,实际干活还不行
    成手吧,去打比赛,结果根本不熟悉这些套路,也取不到成绩。
    ctf真的和现实脱节太远了
    )19( 亮了
  • 巅峰邪恶 回复
    感觉小编一直在讲ctf,和主题不相关啊
    )15( 亮了
  • root 回复
    看完这篇文章我产生了一个疑问,CTF的现实意义究竟在哪儿?
    )10( 亮了
发表评论

已有 24 条评论

取消
Loading...
css.php