2017年左右,一众在网络安全行业冉冉升起的新星涌现。他们是在网络安全技能大赛中脱颖而出的一代新生力量,也是一批活跃在CTF赛事中的学生战队成员。
他们,痴迷于网络攻防,为解谜而疯狂。他们的世界好似一个武林,高手如云,各路侠客以独门绝技独步天下。
在这个光明和黑暗交替、正义与邪恶抗衡的网络世界里,他们就如前行的灯塔,吸引着很多网络安全热衷者的追随,引领着网络安全竞赛的方向。
又一年网络安全技能大赛集结的号角已经吹响,谁将独领风骚?在通往冠军的路上,究竟是鲜花铺路,还是荆棘满地?
独家对话2018第二届中国杭州网络安全技能大赛冠军队伍——BXS战队核心成员“执念于心”。那一年,中国矿业大学的BXS战队以9310的高分实力夺冠。
再谈起当时夺冠的经历,他还是小心翼翼地,像是又掀起一场攻防拉锯战。
Q:请简要介绍下你的团队,和你在团队中的职责?
执念于心:
BXS(Best eXcited Security) TEAM成立于2014年11月8日,由热爱信息安全技术的同学们组成,主要研究方向为二进制与逆向工程和IoT安全(智能软硬件破解与防护),深入对信息安全技术的实践。近年来,BXS TEAM经常组织参加信息安全类竞赛,荣获多个奖项。可以说,实战经验丰富,对信息安全技术的研究也有独到见解。
2018网络安全技能大赛,是BXS TEAM数不清第几次参赛。出战之前,我们由内部选拔过,最终敲定了由 一叶飘零,主要负责web安全、awd的进攻,我主要负责web安全、awd的防守,以及un1ver5e主要负责逆向方面的题目,wooy0ung主要负责pwn、移动安全有关的题目,还有其他几个同学。我们几人各有所长、各司其职,能全面覆盖比赛所涉及的方向、内容,是黄金组合了。
Q:让我们回到2018年,这是你第一次参与安全攻防竞技吗?
执念于心:
因为是网络安全专业出身,对安全有天然的兴趣,在学长的带领、影响下,愈发深入地接触了网络安全,从理论知识到攻防实践,混迹在各大ctf赛事中,乐此不疲。比赛是检验技术储备的很好方式之一,从比赛中发现不足,都是自我技术水平的提升的过程。
虽然历经沙场,但网络安全技能大赛有别于大多数的ctf赛事,难度加倍升级。比赛时间仅6个小时,时间短、高度集中,对选手的快速思考能力、综合素质要求极高,是一场的快狠准的战役。
Q:既然说到了网络安全技能大赛,参赛前做了哪些工作?
执念于心:
比赛前,我们团队进行了大量的脚本和框架的梳理、工具的编写。结合前一场比赛实践中的不足,和时不时蹦出的新想法,不断地优化、调试,充分保障稳定性和高可用性。
依稀记得,决赛前夜,我们还调试脚本到深夜。一定是扎实的储备、优秀的装备、好的状态,才能去打赢每一场没有硝烟的战斗。
Q:万事俱备,只待哨声响起。这个网络安全领域有规模和影响力的竞赛,吸引了不少有天赋和能力的选手,你们一路过五关斩六将,最终杀入决赛,可以谈谈,决赛的过程吗?
执念于心:
2018网络安全技能大赛分为上午个人夺旗赛与下午团队攻防赛。个人赛制的设计,主要考察选手对网络安全技能以及网络取证分析、社会工程学、密码学、逆向工程、物联网安全等技能。团队赛则通过环境模拟企业内部的一个典型网络环境、软件应用和物联网应用,考察选手的网络安全、应用安全、物联网安全、数据分析、漏洞修复等。
我在完成上午个人夺旗赛,紧接着就进入团队攻防赛中。团队攻防赛一开始,我们就遇到了难题。查找了许久漏洞未果,时间滴答过、步步紧逼,好在后来我们转换了思路,成功逮住了漏洞。攻防也就正式拉开了序幕,我主要负责防守,让我们的靶机变成“铜墙铁壁“,队友则负责具体的漏洞利用和权限维持攻击。在我们的配合协作下,成功防御住了每一个攻击,防守成功不丢分,进攻也取得了不少得分,最终夺下了冠军。
充分的前期准备,比赛时心态平和,充分相信队友、配合默契,这些都是我们获胜的原因。当然啦,运气也很重要了。
6个小时的比赛,是脑力和体力的极限挑战,要应对网络安全、应用安全、物联网安全、数据分析、漏洞修复等综合难题,也是对团队协作能力、以及在强手如云的氛围里能否应对自如的心理素质的考验。
Q:参加网络安全技能大赛,除了水平的提升外,还有别的收获吗?
执念于心:
竞赛是有魔力的,它可以推着你成长,技术能力的提升、迎战心态的磨练等各方面,也逐步加深了我对安全技术、安全行业的深入了解。实际上,大赛更像是一场为网络安全技术人员组织的技术狂欢,为大家搭建了沟通、交流的平台。通过大赛,确实结交了很多圈内的技术大神,认识了传说中的大人物,刷新了认知。
比赛还成为我职业的“敲门砖”。毕业后,我加入了安恒信息,更加直接地面对真实的安全业务和安全问题。这一次,不是演练,是真真切切地实战派,将大学的所学所得应用到实际场景中,真正踏入网络安全“守卫者”之列。
Q:新一届网络安全技能大赛正在如火如荼的进行中,你有关注吗?
执念于心:
当然,我很期待这一届的大赛。相较于前两届,本届大赛规模更大、形式更新、对抗更强、奖金更多,据说本次大赛共报名703支战队,来自全国275所高校,其中,今年新增了企业组战队,包括阿里、网易、大华等知名企业。可以说,几乎全国知名战队都来了,圈内大佬齐聚,高手过招,必须掀起一阵腥风血雨。
从比赛形式上来看,这一届增加了预选赛,最终50支战队晋级决赛。决赛环节设置上也有了大创新,决赛分为CTF、AWD,新增了众测赛,赛题也更偏向于实战。难度升级,竞争升级,精彩程度可见一斑啊。
Q:最后,对新一届大赛你有什么期待吗?或是有什么想对选手们的建议吗?
执念于心:
谈不上建议,毕竟来了很多圈内大佬。前期备战和临场发挥,对大佬们来说,肯定不成问题。希望各位大佬玩的开心、尽兴就好!希望新一届大赛能取得圆满成功,以赛代练,挖掘出更多网络安全技能人才。
更多2019中国杭州网络安全技能大赛资讯
请前往比赛官网:http://game.gcsis.cn