Real World
CTF 是 2018 年起由长亭科技主办的国际级 CTF 大赛,采用 CTF 夺旗赛和 Pwn 赛结合的全新赛制,赛题全部基于现实世界软件的修改或二次开发,首届即吸引 5 大洲,15 个国家地 区顶尖战队参赛。Real World CTF大赛的目的在于给国际网络安全高手们搭建平台,竞技切磋的同时,也唤起大众对
网络安全的重视。
赛事介绍
CTF(Capture The Flag)比赛中文名称为夺旗赛,是网络安全技术人员之间进行技术竞技的一种比赛,以技术比拼的方式切磋技艺。参赛队伍通过攻防对抗、程序分析等形式,率先找到主办方在比赛中设置的内容(又称Flag)并提交给裁判,夺得分数。另一类国际主流网络安全赛事Pwn赛,参赛选手需找出真实世界软件漏洞,每年定期举办的Pwn2Own赛场上不乏出现谷歌、微软等一线软件公司的高质量漏洞。
Real World CTF和传统CTF及单纯的Pwn赛又有不同。主办方长亭科技自2018年举办首届Real World CTF开始,便尝试对大赛的赛制进行调整,基于真实世界软件的全新CTF赛制,结合了CTF夺旗赛和Pwn赛的优势,所有赛题全部基于真实世界软件的修改或二次开发来命题,在Jeopardy解题模式下,让参赛队伍进行浏览器漏洞利用、文档攻击、服务器提权、物联网入侵、网站入侵、
虚拟机逃逸、AI破解、无人机破解等挑战。这种模式不仅延续了传统CTF赛事中命题灵活、难度可控的特点,同时也能让参赛者在解题过程中挑战和体验Pwn赛中才会有的真实世界软件攻防技术。
Real World CTF命题团队成员毕业于清华大学、浙江大学、美国麻省理工学院、美国约翰霍普金斯大学等名校网络安全相关专业,曾经获得“黑客世界杯”DEFCON CTF全球亚军。近5年来,命题团队成员累计获得国际大赛前三名5次,全国网络安全大赛冠军累计超过20次。命题团队成员多数来自“
蓝莲花战队”,是中国CTF网络安全赛制的引入者,拥有多年的国际大赛命题经验。命题专家均为全球顶级安全研究员,曾经为微软、苹果、谷歌、思科、华为、联想等知名企业提交漏洞并协助修复严重安全问题,并在国内外知名黑客破解大赛Pwn2Own、GeekPwn中累计获得奖金超过300万。专家们结合国际顶尖的网络安全技术,将最新研究思路与成果融入赛题,涉及多个前沿研究领域,场景新颖全面,赛题整体难度高。
主办团队
北京长亭科技有限公司于2014年成立,全球首发基于人工智能语义分析技术的下一代Web应用防火墙,为金融及互联网为主的企业用户提供更智能、更简单的下一代应用层防护理念,通过多年的客户服务经历,长亭科技积累了丰富的实战经验,为全新赛制下的赛题质量提供了保障。
赛事价值
各地区网络安全大赛不断涌现,而Real World CTF有何独特之处和价值呢?在长亭科技看来,Real World CTF的价值主要体现三大方面:
一是,人才的价值,技术的价值。DEFCON CTF已经将近30年历史,其发源地美国对网络安全技术的非常重视,而国内网络安全行业对技术的推崇和认可还存在一定的距离。高质量的国际赛事是吸引高级人才进入这个行业的契机之一,精心设置的赛制为技术的人才发生更强烈的技术碰撞以达到开阔技术思路的目的,技术的提升可以有效的促进防守技术的进步。
二是,Real World CTF的赛题更接近真实。Real World的每次线上线下赛,几乎都出现了选手做题过程中发现了真实世界软件的0day,组委会鼓励选手在赛后将0day提供给相应厂商,厂商们其实获得了由国际高手执行的一次软件测试。Real World CTF每年的题目与时俱进,紧贴当前最前沿的技术领域,选手的这些发现,无论从提升厂商软件安全水平角度来说,还是提升整体,都都具备不小的商业和社会价值。
三是,CTF 源自西方,在中国被颠覆了一种赛制,发明了更有意思的玩法,且被国际强队认可其独特之处和价值,这本身就是一种拐点。
赛事评价
来自Eat Sleep Pwn Repeat的参赛选手表示:Real World CTF很酷,是他们2018年最喜爱的比赛。“即便我们没有发挥好,但Real World CTF真的很棒!我们已经距离解出WebKit这道题目很近了。比赛题目确实很难,质量也很高,大赛举办者做的很好!”来自Perfect Blue的参赛选手评价道。
PPP战队在接受采访时,队长盛赞本届大赛,并表示他最喜欢“现场展示”环节,无论是看其他团队展示,还是自己上台展示,都感觉超级棒,并隔空喊话世界黑客大赛DEFCON CTF:“现场展示环节的设置真的太棒了!你们为什么没有?”
赛事回顾
第一届Real World CTF:2018年12月1-2日,顶尖战队、创新赛制、全明星阵容命制的高水平赛题,使得比赛战况紧张激烈。首日开战,LC ↯BC打破比赛全场长达6小时的沉寂,拿到首个first blood,并以1425分的绝对优势领先,暂列首日积分榜第一。r3kapig作为首个上台尝试破解演示的战队,勇气可嘉。历经一夜不眠不休的钻研,第二日早晨各个战队进入激烈角逐的白热化阶段,上台进行破解演示的战队大显身手,first blood捷报频传。最终,PRISEC勇夺本场比赛的最后一道题目Station Escape的first blood。LC ↯BC获得力战群雄夺得冠军,217、Eat Sleep Pwn Repeat分别位列第二、第三名。比赛结束后选手们仍意犹未尽,赛场中相互交流切磋热情高涨。
第二届Real World CTF:2019年12月8日,经过48小时不间断的激烈比拼,12强战队的动态排名最终定格,Top 3天团也重磅揭晓:来自
卡内基梅隆大学的明星战队PPP摘得桂冠;集结了德国两大强队的联合战队Flux Repeat荣膺第二;线上赛拿到最后一张总决赛入场券的德国战队ALLES! 则斩获第三名。
第三届Real World CTF:2021年1月9日-11日,全球十余个国家/地区1772支战队超万人在线参与比赛。历经48小时于虚拟的网络空间内争分夺秒、激烈厮杀后,最终来自韩国和美国的联合战队CodeR00t 以3288的总分获得全球冠军,德国联合战队Sauercloud和中国台湾的老牌战队217分别以总分3215和2320位列第二、第三。
第四届Real World CTF:2022年1月21日-23日,48小时线上激烈厮杀后,最终由老牌强队 r00timentary 和 Perfect Blue 组成的联合战队 perfect r00t 以4362的总分以绝对的优势获得全球冠军,第三届亚军德国联合战队 Sauercloud 在本次比赛中保持以2934分的成绩名列第二,来自
中国科学院的新锐战队 NeSE 荣获第三。
相关
安全训练营
安全训练营是大赛的特色项目之一,2019年Real World CTF正式开班,主办方毫不吝啬。长亭科技将攻防领域多年的实战积累和对安全竞赛的深入理解深度融合后,围绕Real World CTF,对外推出实战攻防战术课程,汇聚安全大神及行业最精锐力量,将虚拟化、应用软件、内核、浏览器四大主流内容透彻盘点。
安全挑战赛
2019年,阿里云安全挑战赛也同步“开战”。作为全球初次将公有云真实售卖级产品进行赛题设计的赛事,本次挑战赛面向广大白帽子开放阿里云相关产品,欢迎选手通过实战验证阿里云产品的安全性和稳定性。大赛特别设置了高达500万的总奖金池和最高60万元的单项奖金,打破了过往奖金记录。
技术论坛
技术论坛邀请来自业内知名的安全专家分享干货。2019年技术论坛嘉宾合计拥有百余个CVE编号,论文发表于USENIX Security、NDSS、CCS等国际安全会议,在实战和学术方面均有广泛影响力,分别就虚拟化、内核、移动端、智能安全等多个方向,深度剖析了新研究进展,直击前瞻技术干货。
传统板块
“Hack Valley”是Real World CTF的传统板块,旨在让现场观众沉浸式体验网络安全技术的发展。2019年Hack Valley共设置了7个单元,主题分别为:黑客利器安全审计、人脸识别安全解密、Run Robot Run、留心兔子洞里的陌生人、王牌A计划、盗‘梦’空间、光龙之外。通过专业工具和指导,带领现场观众探索、体验、领略新技术风险的发现过程,同时还有“黑客炫技”环节,为观众提供视觉效果惊艳、现场气氛爆棚的破解秀。