本文整理自IDF实验室黑客文化沙龙活动,同时参考了多方资料,目的在于普及黑客知识、文化,推广业界相关领域信息。
名词介[url="]P[/url]绍:
CTF:全称Capture The Flag,即夺旗比赛,衍生自古代军事战争模式,两队人马前往对方基地夺旗,每队人马须在保护好己方旗帜的情况下将对方旗帜带回基地。
绵羊墙:Wall of sheep,参会黑客会将一些使用现场无线网络的粗心用户的用户名和密码写在一面墙上。
Pwn2Own 与 Pwnium
可能有很多人分不清Pwn2Own与Pwnium,的确,它们之间的关系渊远流长。Pwn2Own是世界顶级黑客大赛之一,由安全研究机构TippingPoint DVLabs赞助,自2007年以来已有5年历史。参赛黑客以四大浏览器(IE、Firefox、Chrome以及Safari)为挑战目标,攻破一个主流浏览器即可获得1万美元奖金,共4万,参赛者不允许使用Adobe Flash等第三方外挂。
Google Chrome于2009年突然加入该黑客大赛,但大多数黑客在参赛前早已锁定攻破目标,因此并无黑客试图挑战Chrome。2010-2011年,Google在Pwn2Own大赛中额外提供2万美元作为攻破Chrome的奖金,但一直无人成功。
2012年,Pwn2Own主办方不再要求获胜者公布漏洞发掘及攻破过程,导致Google反对并撤出对Pwn2Own的资金赞助,并于同年3月主办Pwnium大赛,并提供100万奖金鼓励黑客攻击Chrome,同年10月,Google再掷出200万用于奖励计划。(更详细介绍请参见《Google 技术项目经理Kevin Stadmeyer:Google漏洞奖励计划经验分享》)
Black Hat(黑帽子)与DEFCON黑客大会
Black Hat是信息安全领域的顶级盛会,是一个具有很强技术性的信息安全会议,会议甚至会引领安全思想和技术的走向,参会人员包括各个企业和政府的研究人员,也包括一些民间团队。为了保证会议能够着眼于实际,并且能够最好地提出方案、解决方案以及操作技巧,会议始终保持中立和客观。
2010年黑帽大会演示让ATM机自动吐钱
DEFCON是世界上最大、最古老的地下黑客大会,和Black Hat的创始人相同,但相比于Black Hat要随意得多。DEFCON以小规模讨论及技术切磋为主,会上最流行的活动是若干人组成一个局域网,然后互打攻防战(CTF),参赛者的目标是进攻对手的网络,但同时保护好自己的地盘。由于想参赛的队伍都得经过会前淘汰赛,因此参赛者都有相当高的实力。
一个真正的黑客是不可能不知道DEFCON的,它对黑客的吸引力非同小可,曾有黑客冒着被FBI抓捕的危险,仍然参加了该会议(最终在回旅馆时被抓捕)。
Black Hat与DEFCON比较
两者同由美国人杰夫·莫斯(现任美国安全顾问委员会顾问)分别于1997年和1992年创办,地点都在美国拉斯维加斯,两场会议同期举行。
Black Hat:比较正统和严谨,出席人员包括世界各地的企业、政府、学术界以及信息安全组织的思想领袖,议程上包含了各类专业人士的发言,内容涵盖保障全球信息安全等主题。此外还会展示大量已发现的数码产品安全漏洞,并演示黑客会如何进行攻击。
DEFCON:与Black Hat风格相反,以小规模讨论为主,设计如何破解XBOX、解锁Apple产品固件,甚至如何入侵卫星系统,并讨论、实验各种极具危险的技术元素。参会者也很随意,打扮举止没有任何限制。
iCTF国际黑客竞赛
iCTF国际黑客竞赛是一个面向全球信息安全专业研究学生团队的大型在线黑客竞赛。清华blue-lotus实验室在上届(2011)竞赛中排名第23位(共87个参赛团队)。
iCTF2011国际黑客竞赛的场景设计模拟目前黑帽子地下社区中的“洗钱产业链”,参赛队伍首先需要通过安全解密挑战获得“黑钱”,然后通过分析挖掘出Gamebox中是个定制服务的安全漏洞,并攻陷其他对手维护和防御的Gamebox获得flag。取得flag之后还需要通过综合考虑每个服务的“洗钱佣金率”、“洗钱转换率”、“洗钱风险率”等“黑市洗钱行情”来计算最优洗钱策略,逃避FBI追查并取得最佳洗钱效率。同时,从“黑钱”到“白钱”的转化率与每只队伍的Gamebox防御级别也直接相关。此外,竞赛还引入了队伍可以向FBI高发的机制,用于破坏竞争对手的洗钱过程。
Facebook黑客杯
Facebook黑客杯是Facebook组织的一场国际编程竞赛,目的在于帮助公司抢在Google等竞争对手之前找到最聪明的年轻软件工程师。其中包括五轮挑战赛:选拔赛、第一关、第二关、第三关以及决赛。决赛冠军将获得5000美元奖金及世界冠军称号,该荣誉刻在奖品上;第二名奖金2000美元,第三名1000美元,第4-25名奖励100美元;第二关脱颖而出的前100名参赛者都将获赠T恤。当然,比奖金更诱人的是,将可能获得Facebook的offer。
2012年度冠军得主是Roman Andreev楼天城获季军
POC安全大会与Code Gate防黑客大赛
POC安全大会全称Power of Community,是由韩国黑客及安全专家发起的国际安全及黑客会议,以追求创新、交流和安全技术为名,崇尚知识分享,相信社区的力量可以使世界更安全。2012年POC安全大会的亮点在于女子组成的CTF大赛。
图为POC女子团队
Code Gate防黑客大赛则是由韩国知识经济部和韩国情报保护振兴院赞助,因为黑客在韩国的形象并不好,因此大赛指定了以“防御”为主的比赛规则。
比赛时长24小时,参赛者须在比赛中解决密码破解、系统防御、病毒清除等方面共20个问题。2008年Code Gate设置的总奖金为1亿韩元(约10万美元);2009年Code Gate吸引了全世界41个国家1750支黑客小组参加,冠军由韩国黑客团队“Cpark”获得,并赢取奖金2000万韩元;此后冠军之位一直由美国团队占据。
PHDays CTF
全称Positive Hack Days CTF,是一个国际性信息安全竞赛,竞赛规则基于CTF,但更贴近网络实战环境。竞赛分10-12支参赛队伍,参赛者需要在规定时间内检测和修复己方环境漏洞,同时攻破其他队伍的网络环境。参赛队伍可以在竞赛中检测自己的实战能力,并开发自己的网络防护方案。
CodeMeter大赛
CodeMeter大赛是少有的由公司举办、目的在于破解自家产品的比赛,主办方是德国威步公司。参赛者不仅免费得到保护应用程序,还可以获得具有许可的CmStick硬件加密狗。1000多名来自世界各地的参赛者参与竞争32768欧元(合约40000美元)的奖金。要赢得比赛须修改受CodeMeter保护的程序,使它能脱离CmDongle运行。2007年比赛中包含两个模块的破解,程序只有在检测到CmDongle之后才能运行起来。
Chaos Communication Camp与Hacking at Random
Chaos Communication Camp也被称为“欧洲黑客大会”,是由Chaos Computer Club(CCC)主办的为期5天的露天黑客交流活动,每5年举办一次。会议以技术及社会话题为主,包括隐私、信息自由、数据安全等方面。每位参赛者可自带一顶帐篷加入营地活动中来,营地准备有电源、网络及食物等等。
Chaos Communication Camp
Hacking at Random是在荷兰博客斯特尔举办的室外黑客夏令营,也是欧洲最大的黑客夏令营。该聚会始于1989年的银河黑客聚会,每次主题均不同:2005年为“What the Hack”;2009年是“Hacking at Random”;2013年为“Observe. Hack. Make.”。
黑客正在试图入侵路边的警用卡车
会议主题不一而定,例如讨论互联网警察的最新技术、欧洲软件专利法可能带来的后果、如何保护自己的个人数据、发展中国家的无线上网机会等等。
日本信息安全知识技术竞赛
和韩国一样,黑客在日本的名声同样不佳,因此竞赛通常也被限制为“防御”竞赛。日本信息安全知识技术竞赛以模拟网络战的形式,让参赛者通过黑客技术入侵对方网络,或者抵御对方的攻击。
各地选拔竞赛采用提问形式,要求选手以网络攻防所必需的知识作答。选手们须在10个小时内挑战并完成有关密码、程序和网络等方面的50个问题。最后各地优胜者以对战形式参加全国总决赛。
台湾骇客年会
HIT即Hack In Taiwan,是台湾最大的骇客(Hacker在台湾地区译作骇客,这里同黑客)与安全技术研讨会。除了面对面技术交流之外,会议期间还有网络攻防赛(Wargame),提供真实的网络环境和挑战,以及IRC聊天室和绵羊墙。
除了国际黑客大赛,IDF实验室还介绍了部分国内知名的信息安全比赛,但在成熟性和国际话程度和国外黑客大赛尚仍有不小的差距,这里就没有一一介绍,下面是IDF总结的中外黑客比赛对比: