来自鹅厂的“鹅鹅鹅战队”的黑客们,要解开哪些谜题? | 宅客专访(2)
对于线上赛来说,主办方不会限制每个队的参赛人数,由于我们战队的成员来自腾讯的各个部门,所以肉身在北上深等不同的城市,参赛的时候只能线上沟通。由于每个成员都负责不同的方向,所以我们大多数时候都是各自在线解题的状态。如果遇到实在搞不定的题目,或者需要配合解题的情况,我们会在线上进行沟通。 由于比赛时间有限,所以虽然是线上赛,我们也不能丝毫放松。睡觉是一个比较纠结的事情。如果两天之间完全不睡觉,第二天的体力会透支严重,非常影响发挥。所以我们会强制自己睡四五个小时。 线下赛一般会在指定的场地中进行,会有一个大屏幕显示每个队伍的实时得分,不过真正比赛的时候,我们也顾不上看分数。对于线下赛来说,由于往往会限制参赛人数,所以题目也会相应减少。总体感觉线下线上区别不大。 宅客:线下赛的时候,有什么有趣的事情可以分享? 天忆:因为打比赛的时候,一般都是通宵,所以对于我们来说可乐零食和红牛这类东西是必不可少的。我个人非常喜欢喝可乐,每当遇到困难、思路不清楚的时候,我就用喝可乐这种方法来整理思路。 我们战队里还有一个童鞋非常喜欢吃。我们于是规定,如果打得好,结束之后就去吃大餐,用这种“威逼利诱”的方法提升士气。 【鹅鹅鹅战队参加日本 SECCON CTF 现场的“必胜祈愿牌”】 宅客:鹅鹅鹅战队刚刚组建,就已经参加了2017年1月日本的 SECCON CTF 比赛,可以说说参加这次比赛的情况吗? 天忆:SECCON CTF 是日本规模最大的面向全球的比赛,它是由日本网络安全协会举办的,算是亚洲范围内规模比较大的比赛了。今年是 SECCON 面向全球招募参赛队伍的第三年,这几年中,每年都会吸引全球知名的 CTF 战队参加。 2016年底,我们参加了 SECCON 的线上预赛。 线上预赛采用的就是解题模式,有900多支队伍参加。我记得总共有27道题目,经过48小时的战斗,我们解开了其中的14道,最终以十多名的排名晋级决赛。其实这个名次我并不是很满意,因为赛后来看,很多应该解开的题目,我们当时却没有解出来。不过,一切还好,我们有了去日本参加线下决赛的资格。 线下决赛在 2017年一月28-29号举行。一共有24支队伍参加,其中9支来自日本国内,另外15支来自全球各地。每个战队只允许派出4个人参加,总共有六道题目。而且比赛采用了一种独特的计分规则:King of the hill(占山为王)。 所谓 King of the hill,就是针对同一个目标(同一道题),如果一个队伍首次解出,可以一次性获得100分的“攻击得分”;但是,对同一个题目还有“防守得分”,也就是说,很多队伍同时解答出了同一个题目,如果你的解答是“最优的”,那么你还会获得20分防守分。评价的标准是一个可量化的指标,例如:同样的解答,可能代码最短者为最优。防守得分每十分钟评价一次,所以要取得最高分,不仅要做出题目,而且要给出“最好的”解答。 【比赛现场最终分数排名】 宅客:这次比赛你们最终拿到了第三名,其中有什么惊险时刻吗? 天忆:这次比赛拿到第三名,还是挺“惊险”的。 比赛还剩半小时结束的时候,我们已经解开了五道题,排在第三名。但是我们面临一个严峻的问题,那就是我们的每一轮的防守分没有第四名多。也就是说,我们虽然解开了五道题目,但有些的解答并不是“最优”。按照这个情况下去,我们很可能被第四名反超。 不过就在结束前几分钟,我们奇迹般地解开了第六道题。正是这样一道题,才保住了我们第三的位置。 这是一道 Web 安全方面的题目。之前我们就一直尝试解开,但是方法一直都不太对。现在想想,幸亏 Web 题目需要在现场连接服务器,没有办法熬夜通宵去做,最终解出这道题的同学第一天晚上休息得很充分。也许正是因为休息充足的原因,才能在最后时刻灵光乍现,哈哈。 作为一个新成立的战队,能够战胜国际老牌战队PPP、Shellphish、Dragon Sector 等等,还是非常不错的。我觉得,我过去的大赛经验确实帮了忙。 另外我还听说,SECCON 正在和2020年东京奥运会组委会沟通,会把 CTF 作为这届奥运会的表演项目之一,如果真的如此,我想我们还是有机会参与的。 【SECCON CTF 比赛现场】 宅客:作为一支名字很特别的新队伍,未来有什么厉害的发展计划呢? 天忆:我们鹅鹅鹅战队有一个非常明确的目标,那就是希望打入今年 DEFCON CTF 总决赛。DEFCON CTF 是 CTF 的鼻祖,也是 CTF 中难度最高的比赛,相当于 CTF 界的“世界杯”。 我个人曾经作为 0ops 和 b1o0p(蓝莲花和 0ops 联队)的队员在最近两年都参加过 DEFCON 总决赛,并且获得最高第二名的成绩。作为新成立的鹅鹅鹅战队,我们计划尽力参与 DEFCON 四月底举办的在线预选赛,或者外卡赛。凡是有可能晋级决赛的方式,我们都会尽量参与,我觉得进入 DEFCON 总决赛对鹅鹅鹅来说“有难度,有挑战,有希望”。 为了这个目标,我们需要做很多训练。虽然战队的成员都有自己的本职工作,但是每周我们都会抽出半天或一天时间讨论题目。我们会找来历届 CTF 大赛的“真题”进行训练,在线上合作解答。 而且就在今年,腾讯联合实验室也要举办我们自己的 CTF 比赛,到时候我们也会给全球的战队出题目,希望我们战队可以通过这些方式和世界顶尖战队切磋交流,秀出“鹅厂”安全的技术能力。 后记·采访手记解谜是我们的天性。 有些人觉得解开别人设计的谜题,只是一种智力的自娱自乐。我们却想起了曾经读到的一个故事。 20世纪初,美国谜题天才萨姆洛伊德发明了一种数学卡片游戏,名字叫做“14-15”,游戏目标就是通过滑动把棋盘上的14和15两张卡片交换位置(类似于华容道)。这款游戏让整个美国万人空巷,有记载这样说: 人们被这个游戏弄得神魂颠倒,一些店主忘了打开店门;知名的牧师竟会整个冬夜助理在路灯下苦苦思索着他曾经完成的那个步骤;轮船驾驶员差一点触礁,火车司机把火车开过了站。 正是这样一个对日常生活看起来无用的谜题,启发了很多科学家的思维,促生了数学上“不变量”思想的应用,最终为数学科学的发展做出了重要的贡献。 (编辑:ASP站长网) |