长亭科技组Tea Deliverers战队出征Defcon2017

　　世界娱乐之都、结婚之都、赌城——关于拉斯维加斯，有很多我们听过或没听过的传奇，美国时间22~30日，全球瞩目的2017年度Blackhat&Defcon在拉斯维加斯召开。自27日开始，无缝转接Blackhat的Defcon将展开全球顶级黑客团队的终极对决。曾创造中国战队DEFCON CTF最好成绩(全球第二)的蓝莲花联队核心团队重组Tea Deliverers，以中国战队的身份第六次征战Defcon。据悉，Deliverers除之前蓝莲花战队的部分队员外，还包括其他高校CTF战队的核心成员，其中40%成员来自因创造性的先于全球巨头推出下一代高应用性WAF产品而蛮声业内的安全公司长亭科技。

　　蓝莲花战队是中国参与DEFCON CTF网络安全技术竞赛成绩最为突出的一支国际知名战队，自2012年开始参加DEFCON CTF开始，蓝莲花战队一直都活跃在DEFCON赛场；2013年，蓝莲花战队首次入围DEFCON CTF总决赛(总20支队伍)，也是第一支进入决赛的中国团队，并在决赛获得第11名；2014、2015年，蓝莲花战队均取得决赛第五名；2016年，蓝莲花战队(blue-lotus)、0ops组成b1o0p联合战队，获得第二名的战绩，系中国战队自参加DEFCON CTF以来取得的最好成绩。

　　DEFCON CTF2017赛制变革难度更高

　　据了解，DEFCON CTF分为线上预选赛和线下决赛，线上预赛采用解题模式(jeopardy)，而现场决赛采用攻防模式(attack/defense)。在谈及现场决赛的难点时Tea Deliverers带队人，同时也是长亭安全研究实验室负责人杨坤博士表示，DEFCON CTF比赛最关键的是团队综合技术实力。参加比赛越多，实践经验积累越多的成员在比赛中的贡献也往往越大。其次，对于攻防比赛来说，它不像解题模式的比赛(比方说在线大家一起解20-30个题目，只要最后解出来就好)，攻防是一个实时对抗的过程，有攻有守，需要去写攻击脚本，也需要修补自己的漏洞，还要分析对手攻击过来的流量，所以它是对综合能力要求比较高的一种比赛。这就要求好的团队组织、合理分工。需要团队成员各施所长，合理分配各个成员的角色，使每个人都充分发挥自己的优势。

　　此外，良好的沟通机制也是关键因素。比如有人善于挖漏洞，而有人善于修复漏洞，有了各自的明确分工后，还需要及时有效的沟通交流，使各小组之间能够合理对接；譬如分析流量的人员要及时和挖漏洞的人员交流，分析如何从对手的攻击流量中获得最大的信息量。总之，能够在比赛中保持良好的配合状态是关键。当然，最需要的还是参赛成员要有良好的身体素质，毕竟要苦战三天两夜。

　　在谈及DEFCON CTF2017流程、赛制以及目前线上赛的分数和排名时，杨坤博士说：“我们资格赛的比分排名是第二名”。CTF的比赛流程每年几乎不变，都是线上预选赛+线下决赛，但现场决赛的赛制在近几年是有变动的。比如2013年，DEFCON CTF的组织者更换了，由DDTekK变为Legit BS，决赛中也引入了新的东西。再比如，他们不再使用传统单一的X86处理器架构，Legit BS开始尝试ARM、MIPS等一系列在移动终端、嵌入式设备中使用处理器架构，而不是我们传统PC上使用的处理器架构，一些新的东西开始作为比赛环境被引入进来，这也使得整个比赛变得更加复杂、有趣、具有挑战性。

　　2016年，又有了一个新的变化。在DEFCON CTF决赛的前一天，正好是美国Darpa举办的CGC机器人攻防竞赛的决赛，最后的冠军机器将直接进入DEFCON CTF决赛，与所有参赛团队对决，上演了一场“人机大战”。而为了配合机器参赛，赛制也进行了相应的改变：它要求人也按照机器的比赛模式去进行，相当于完全抛弃了传统的比赛模式，而使用CGC平台。CGC平台为降低自动化攻防的难度，对系统指令集进行了一些精简。最后结果，机器虽然战胜了部分团队，但排名也是不太理想。

　　今年，Defcon赛制又引入了新的变化。传统的比赛中，是利用现有的、已知的指令集架构和操作系统；而Defcon2017主办方尝试编写自定义的架构和操作系统。这样有一个最大的区别：以往，参赛团队可以事先准备好使用工具，包括市面上的商业工具，它们可以帮助做辅助性分析；而今年，DEFCON CTF是在比赛前24小时才公布他们自己设计的处理器架构和操作系统，这让参赛者没有时间提前准备工具。这就使得比赛集中于人工技能上的对抗，无法依赖任何工具，只能临场凭人工进行各种分析、漏洞挖掘及漏洞利用。这就对人的要求更高了，比赛难度也相对加大了。这对于一些擅长制作、使用工具的队伍就不太有利了。

　　中国三支参赛队伍不存在竞争 Tea Deliverers目标前五

　　谈及攻防战中，找漏洞、防止他人攻击或攻击他人的战略战术或技巧时，杨坤博士给出了三点建议：首先，如果你想拿第一名，那一定要是第一个发现漏洞、写出攻击脚本的人。因为比赛就是模拟真实环境中0day漏洞攻击的威力，所以比赛中越先打出攻击就越先得分。这就说明了比赛中团队临场状态好、反应快、分析能力强的重要性，也是取胜的关键。其次，就是学习能力，当你无法找出漏洞时，就需要快速地从别人的攻击流量中学习他的攻击方法，转而对别人发起攻击；然后，就是要尽快修复自己的漏洞，避免自己因遭受别人攻击而不断失分。

　　杨坤博士还简单介绍了入围DEFCON CTF2017决赛的三支中国战队：蓝莲花战队2013年就入围DEFCON CTF总决赛，且近年来战绩越来越好，去年蓝莲花战队、0ops(腾讯)组成b1o0p联合战队更是获得第二名的战绩；HITCON也是参加过多届DEFCON CTF比赛的老战队；而曾和蓝莲花联手获得第二名好成绩的腾讯公司此次赞助的A*0*E联队，以预赛第五的成绩入微总决赛。

　　在杨坤博士看来，中国的三只队伍并不存在什么竞争对手，走出国门三支队伍都代表中国，真正的竞争对手是其他国家的战队。而中国的三支战队，不论是哪个团队赢得比赛，都会为国家赢得荣誉。而国际上的竞争对手主要为来自美国曾多次夺冠的PPP团队，和来自韩国的DEFKOR战队。对于DEFCON CTF2017目标，杨坤直言并没有硬性要求，但还是希望能拿前五名。

　　DEFCON CTF显著促进全球安全行业发展

　　在外行人眼中，满屏都是代码的DEFCON CTF比赛，充满神秘色彩的同时也略显枯燥。但在经历过Defcon CTF比赛的队员来看，这完全是一场不亚于世界杯的精彩竞技赛事。而它更深层次的社会意义，则在于在全球范围内对安全行业发展的促进作用。杨坤博士表示，参加国际上的比赛，对于安全行业的发展是有很大的促进作用的。五年前，国内几乎没有人知道CTF，而现在CTF可以说是遍地开花。现在每年国内的CTF比赛就有几十场，很多高校的学生更是积极参与到这类比赛中来。这些CTF的选手，经过CTF赛事的锻炼，已经开始走向工作岗位，在网络信息安全行业发挥着很大的作用，也出了很多好的研究成果，保护着中国企业及消费者的安全。

　　这其中，就包含了在下一代WAF方向之争中选择难度最高的语义分析技术，并研发出了以“新型SQL注入检测与防御引擎SQLChop”为核心的高应用级WAF产品的长亭科技。2015年8月，长亭科技安全团队将该技术带上了2015年BlackHat的舞台，其创新点与实际效果得到与会全球顶级安全专家的一致认可。2016年长亭科技正式发布下一代Web应用防火墙雷池(SafeLine)，这也是全球范围内首次采用基于非规则智能语义分析技术的智能威胁识别引擎分析框架的WAF产品，解决了传统WAF上由诸多规则带来的问题，实现了Web防护的“快、准、省”，即：运行速度快、检测效果准，省时、省力、省心。无需维护，方便易用，并且能够应对大流量，误报率与漏报率更低，最终给客户呈现的自然是更好的防御效果。

　　2016年11月，雷池在国家等级评测中被定为增强级，并获得公安部颁发的《计算机信息系统安全专用产品销售许可证》，这也意味着长亭科技核心安全团队在国际顶级黑客赛事上所展现出来的顶级安全攻防技术民用化、产品化、市场化的目标得以落地，对数千万长期以来面对黑客恶意攻击束手无策的中国企业来说，这无异于茫茫大海里迷失的船只看见灯塔的光芒，从此面对此类网络安全威胁时将多了一个新的选择。

　　杨坤博士表示，由于CTF比赛是不分国界的，是在技术上的纯粹交流，这相当于是为研究者或学生提供了一个免费的学习、交流平台，了解世界其他国家的技术发展，保持了国内行业技术的更新度，同时，也为我们从国内走向国际提供了一条很好的实践途径。27日，作为连续五届挺进DEFCONCTF总决赛的唯一一支中国大陆战队蓝莲花后续的Tea Deliverers能否实现自我超越再获佳绩，让我们一起拭目以待。