在2015年的网络安全竞赛圈,华东交通大学团队无疑是一支表现杰出的团队,在这一年里获得了多项竞赛的一等奖,而领队严敏睿更是是一名研究网络安全多年的老手。在这一年的比赛经历中,严敏睿和他的团队战绩斐然,2015年ISC比赛则堪称是这个团队年度参与的数场大赛之中的精彩一役。回顾这一年的比赛经历,严敏睿对网络安全大赛的发展以及未来竞赛形式有很多的感受和想法,特别向笔者娓娓道来。
1、能给我介绍一下你们的团队吗?
答:我们团队是由华东交通大学和五邑大学两个学校组成的联合战队,战队里的队员是08年就认识的多年的朋友,在那个时候就在一起研究网络安全方面的知识。其中只有一个是信息安全专业的,我是电气专业的,另一个朋友是铁道专业的。战队里面的朋友也经常一起打游戏,某种意义上说也算是游戏战队。
2、你们团队只是为了ISC的比赛临时组建的么?
之前也参加过一些ctf比赛,2014年也参加了ISC的比赛,那时候是邀请赛,这次是geekgame的决赛。
3、2015年参加了哪些安全竞赛?
2015/第二届全国大学生网络安全与保密技能大赛/一等奖
2015/广东省大学生网络安全大赛/特等奖
2015/Geek Game—第三届全国大学生信息安全大赛/一等奖
2015/HackPwn安全极客狂欢节/破解海尔SmartCare智能家居
2014/ “湖湘杯”全国网络信息安全公开赛/三等奖
2014/中国互联网安全大会攻防挑战赛/团队第一名
2014/OWASP网络攻防大赛/特等奖
4、有没有以后想去的比赛?
马上就要毕业啦,估计很多比赛去不了了。
5、今年参加的比赛中哪场出题质量最高呀?
相对而言GeekGame决赛的题目还是不错的,今年参加的比赛不多,因为2015年现在在创业,平时都要上班,偶尔找点空闲时间出来比赛。虽然每次xctf都划水了,不过题目质量蛮高的,接地气,都是有经验的ctf选手出的题。
6、2015年的各大赛事中,是否感觉到我国选手的整体水平与往年相比有怎样的变化?
相比2015年之前,选手的整体水平上升了,打酱油的少了很多,赛棍也越来越多了,经常看到一些熟悉的面孔。题目上,水平也提高了,不过好多还是纯脑洞题,业务题还是偏少。
7、你认为应该加入什么样的业务题呢?
从实际的业务中出题,现在很多ctf的题目都是考一些偏门的脑洞大的trick,在实际的业务场景下是很少能遇到的。业务的场景太多了,漏洞可能是几个业务系统的联动后才会触发,现在很多比赛的最终boss题都会有个很单一系统的漏洞利用。
8、2015年的竞赛和之前几年相比在赛制和平台技术方面有哪些变化?
现在线下比赛相比之前是越来越正式和有趣味性了,以前线下很多比赛都是单纯的攻击主办方的靶机,比较无聊,和其他队伍没有互动;
现在的线下都是attack and defence的,很多主办方也做了攻击可视化界面让选手可以更好的感受到比赛的激烈和强烈的成就感,观众也不再是无聊的看着比赛分数,可以借此感受到比赛的激烈
一场比赛有时候就是一个故事,在各个题目中插入故事的线索,让选手更有做题的动力了。
现在很多厂商都做了自己的ctf平台,每个题目中每个队伍的flag是不一样的,减少了队伍之间交换flag作弊的情况,让真正用心比赛的人可以获得应有的名次
在以前的ctf比赛中有的比赛每个题目中所有队伍flag都是一样的,甚至有的平台中需要人工去做flag的审核。
9、对于2016的竞赛圈,你怎么看?
现在国家把网络空间安全作为一级学科,学校的CTF战队会越来越多,以后甚至可以跟ACM比肩,在2015年的CTF比赛中也有很多是官方主办的,2016年的比赛只会更多更大,与此同时也希望负责协办和做技术支持的公司,可以同时沟通主办方和选手,召集资深CTF选手和了解业务和架构的人来出题,这样题目的质量也能相比之前提高几个级别,比赛的规则和方式也可以更接地气,2016年的赛棍也会跟雨后春笋一样冒出来,甚至比赛的对象也会不限于大学,往高中下探。
从这一番对话中可以看出,作为一名资深的大学生参赛选手,严敏睿切身感受到了近年来国内网络安全大赛的发展,网络安全大赛的命题日益丰富,竞技水平日益提升,参赛选手越来越强,互动方式越来越多……这不仅促进了网络安全人才的培养,也对网络安全行业贡献了更多的活力。