网络安全大赛真的有吗
1、什么是网络安全大赛
网络安全大赛,又叫CTF(Capture The Flag),中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。网络安全大赛有许多比赛形式,比如解题模式、攻防模式、混合模式。
2、网络安全大赛的起源发展
CTF起源于1996年DEFCON全们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地,DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛,类似于CTF赛场中的“世界杯”,通过这个比赛可以进行较量 。
3、重要级网络安全赛事
下面就列举一些重要国际CTF赛事:
DEFCON CTF:CTF赛事中的“世界杯”,这也是CTF比赛体系得发源地。
UCSB iCTF:来自UCSB的面向世界高校的CTF。
Codegate CTF:韩国首尔“大奖赛”,冠军奖金3000万韩元。
XXC3 CTF:欧洲历史最悠久CCC黑客大会举办的CTF。
EBCTF:荷兰老牌强队Eindbazen组织的在线解题赛。
RwthCTF:由德国0ldEur0pe组织的在线攻防赛
RuCTF:由俄罗斯Hackerdom组织,解题模式资格赛面向全球参赛,解题攻防混合模式的决赛面向俄罗斯队伍的国家级竞赛 。
4、外知名战队
PPP – 来自美国的超神明星战队,队员有Geohot神奇小子和Ricky两位国际最高水平黑客作为双子领军,2014年PPP包揽了GitS和CodeGate冠军,CTFTIME全球排名仅次于Dragon Sector排名第二,Geohot神奇小子的单人队tomcr00se(没错,他就自称网络空间的汤姆克鲁斯)在大满贯赛Boston Key Party和大奖赛Secuinside,击败其他多人战队拔得头筹。由Geohot神奇小子加盟2013年DEFCON CTF总决赛冠军阵容,PPP战队再度卫冕2014年总决赛冠军。
Blue-Lotus –的安全宝·蓝莲花战队。2013年历史性地作为华人世界首次入围DEFCON CTF总决赛的队伍,并在决赛获得第11名。
今年的世界黑客大赛到底是哪个中国团队得了冠军啊?360还是keen?
很好理解啊,就和奥运会一样,不同的项目不同的冠军,你不能说游泳冠军和射击冠军,到底哪个才是真正的奥运冠军吧。
两个团队说的都是真的,360今年第一次参赛,就选择了难度极高的IE浏览器,这一届的IE项目,因为主办方规定了严苛的规则,被公认是史上最难攻破的IE浏览器,连大赛在IE项目上的三连冠黑客团队Vupen,今年都退赛了。但是360不愧是安全大厂,只用了17秒就攻破了超高难度的IE!这个时间的确极快了,看到有万能的网友说,17秒,那不就是IE刚打开就被攻破了。。。360这次也的确是全亚洲第一个在这个项目上拿冠军的团队,之前都是蓝眼睛歪果仁拿的,所以的确为国争光了,是一件值得大家高兴自豪的事情。
还有Keen,在攻击adobe flash和adobe reader的项目上拿了冠军也不假。这个中国上海的安全研究团队分别用30秒和60秒攻破了flash和reader。这两个项目相对IE是简单了不少,不过因为是两个项目,连个项目的奖金加在一起比360拿得多,不过360也不缺钱就是了,就是去炫耀中国实力的。
所以360和keen都是冠军,我朝在这种世界顶级的比赛上诞生了两支冠军队伍,这是喜大普奔的事啊,乖,都别互相掐了,都是棒棒哒。
如何看待“360夺黑客大赛世界冠军”
Pwn2Own是全球公认级别最高的黑客大赛,比赛主办方为惠普ZDI项目,微软、Google、苹果等巨头也均是该赛事的赞助商。参赛黑客可以选择IE、Chrome、Safari和Firefox浏览器或Adobe Flash、Adobe Reader插件作为攻击目标,其中Chrome和IE是挑战难度最高、奖金最丰厚的两款产品,单项奖金分别为75000美元和65000美元,而在去年比赛被打成“筛子”的Firefox奖金只有3万美元。
与往届相比,今年Pwn2Own的IE11挑战难度空前,国际顶级黑客团队VUPEN也宣告放弃。而首次组队参赛的360Vulcan Team就选择了IE作为目标,并成功利用多个0day漏洞攻破拥有增强沙箱保护、全64位进程、微软EMET漏洞防御、Win8.1安全机制等最高级别防护的IE11,此次获胜的含金量已达到2014年Pwn2Own无人企及的“独角兽”大奖。
360Vulcan Team负责人MJ0011对此表示:IE是中国流行的应用软件,本届比赛IE又是极具挑战性的攻击项目。我们也希望通过比赛证明,攻防无止境,只有不断创新和进步才是最好的安全解决方案。
据MJ0011介绍,360Vulcan Team是360安全卫士的攻防研究团队,日常工作主要是挖掘软件的安全漏洞和漏洞威胁,帮助厂商修复漏洞和提升产品安全性。通过在漏洞研究领域的经验,360Vulcan Team能够设计和提供更有效的安全解决方案。2014年360安全卫士推出的“XP盾甲”漏洞防御产品,其核心技术就是由360Vulcan Team设计开发的。
从2009至今,360已经68次报告微软漏洞而获得微软安全公告的致谢,是全世界协助微软修复漏洞数量最多的安全软件厂商。360也因此成为微软Windows 10在中国免费升级唯一的安全合作伙伴。此次Pwn2Own大赛上,360Vulcan Team找到的漏洞也都已一并提交给微软进行修复。
360和腾讯哪个会是最后的冠军?
唉,无知的人都挺腾讯,因为他们玩了腾讯很多应用,爱屋及乌。
其实从专业角度说,谁胜谁败不知都,但是腾讯很缺德。而且技术含量太低。
国内黑客攻防大赛,来自全球的200名黑客攻击腾讯、金山、360。比赛开始30几秒腾讯管家就被攻破,十几秒后金山被攻破。1分钟的时候,公婆腾讯的已经有2名黑客。44分钟时刻,腾讯被8名黑客攻破。那时候,攻破腾讯已经没什么技术含量没什么光彩的,.有187名黑客开始围攻360.为了夺得荣誉,更多黑客开始围攻360.但是直到长达12小时的比赛结束,也没有人能攻破360.现在,360已经走出中国,是世界黑客攻防大赛的冠军。
腾讯长期以来,无数次抄袭,威逼收购,捆绑(现在收敛多了)。各种无耻行为诸多。但由于其垄断地位,很多轻浮的人玩了很多腾讯应用比如什么穿越火线之类的,由于对游戏的喜爱而错误的支持腾讯。你们知不知道,腾讯的应用,多一半是抄袭别人的专利。但由于其垄断家大业大,推广更快,所以把专利原发者逼上绝路。
现在世界上最厉害的黑客能攻破360吗,据说360很厉害。
2015年3月19日,在加拿大温哥华举行的Pwn2Own 2015世界黑客大赛上,来自中国的安全研究团队360Vulcan Team仅用时17秒就率先攻破微软Win8.1系统和最新的IE11浏览器。这是亚洲团队首次在世界大赛上攻破IE,让世界领略到了中国的力量。
首次参赛仅用17秒夺得世界冠军
亚洲团队360Vulcan Team首次参赛,就选择了最难的IE作为目标,并成功利用多个0day漏洞攻破拥有增强沙箱保护、全64位进程、微软EMET漏洞防御、Win8.1安全机制等最高级别防护的IE11,攻破速度创Pwn2Own历史纪录。
来自中国的另一个团队KeenTeam也参加了此次比赛,他们成功攻破了Adobe Flash和Adobe Reader插件,攻破这两个插件的难度要比直接攻击IE低一些。此前乔布斯曾公开炮轰Adobe技术陈旧、安全性差,苹果不希望降低iPhone、iPod和iPad的可靠性与安全性,拒绝使用Flash。在苹果浏览器中,也没有使用Flash插件。
正是因为攻击IE浏览器插件Adobe Flash和Adobe Reader比直接攻击IE难度低,前Vupen团队成员尼古拉斯此次也放弃了攻击IE,而选择攻破Adobe Flash和Adobe Reader来刷奖金。
赛后,360Vulcan Team负责人MJ0011表示:“IE浏览器是中国流行的应用软件,本届比赛IE又极具挑战性。希望通过比赛证明,攻防无止境,只有不断创新和进步才是最好的安全解决方案。”
难度空前国际顶级团队VUPEN退赛
值得一提的是,Pwn2Own赛事的常胜将军—顶级黑客团队VUPEN在比赛前宣布退出。因为与往届相比,今年Pwn2Own的IE11挑战难度空前,同时奖金少。VUPEN创始人、世界顶级安全研究员Chaouki Bekrar表示,这次的IE11项目难度太大。
Pwn2Own是全球公认级别最高的黑客大赛,参赛黑客可以选择IE、Chrome、Safari和Firefox浏览器或Adobe Flash、Adobe Reader插件作为攻击目标,其中Chrome和IE是挑战难度最高、奖金最丰厚的两款产品。
东半球最强白帽军团360实至名归
据MJ0011介绍,360Vulcan Team是360安全卫士的攻防研究团队,日常工作主要是通过在漏洞研究领域的经验,设计和提供更有效的安全解决方案。2014年360安全卫士推出的“XP盾甲”漏洞防御产品,其核心技术就是由360Vulcan Team设计开发的。
从2009至今,360已经68次报告漏洞而获得微软的官方致谢,是全世界协助微软修复漏洞数量最多的安全软件厂商。360也因此成为微软Windows 10在中国免费升级的唯一安全合作伙伴。此次360Vulcan Team找到的漏洞已一并提交给微软进行修复。
360“后门”事件
1. 360为什么每10分钟联网上传数据?
绝大部分360的用户都没有注意到一个细节:360安全卫士每十分钟联一次网,每次上传6KB左右数据,一天上传约1MB数据(不包含下载数据),一年约350MB数据。风雨无阻,永不间断。
一个安全软件为什么要如此频繁的上传数据呢(注意不是下载,给系统下载补丁包的流量不是上传流量)?查询是否有新的补丁包一来不需要这么频繁,二来不需要这么大的数据量。秘密就是我们搜集用户的隐私数据,并上传到服务器。当然,我们做了精心的设计,为了避免一次上传过多信息,容易引起用户警觉,采用了高频度、小流量的策略,并对数据进行压缩和加密处理,以防用户警觉。周总最近又在吹嘘“云查杀”,其实就是为了掩盖这个问题。
2. 360为什么要获取用户隐私呢?
360是免费的,靠什么养活公司、养活我们这个团队呢?360对外号称的,靠代理卡巴斯基杀毒软件的收入、靠软件推广的收入,其实根本无法支撑如此庞大的奇虎团队和服务器开销。周总花掉了大笔VC的钱,一次次不能兑现对VC的承诺,奇虎再融资难上加难。面临VC业绩的压力,铤而走险,周总也是没有别的办法。
免费产品放广告是互联网的模式,但是,安全软件不像新浪拥有广告时间(用户上新浪总要看10分钟),安全软件的广告机会不多(这是周总非常痛苦的一点,所以360为什么经常提醒用户什么补丁,安全新闻,等等,主要是吸引用户,争取广告时间),广告时间很短,要做广告就要精准,要精准,就必须了解用户信息。有了这些用户隐私,广告才够精准,就像此前的分众无线一样。用户隐私数据的商用价值我们已经不必怀疑了,手机上用户的隐私更多,更值钱,无数垃圾信息的群发公司已经充分证明了这一点。周总做3721的时候,什么“***”、“***”的关键词都卖,赚钱是根本。
毕竟,天下没有免费的午餐。对自己隐私不在意的人,用隐私换取免费服务也还划算。不过,手机上的对隐私在意的用户可能多一些。理解了这些,有许多和360有关的事件迷局也就迎刃而解。
3.360真正的收入来源是什么?
360对外声称的收入来源主要靠卖卡巴斯基。但是,360是代销卡巴斯基,代销的毛利率很低,15-20%左右,这点收入对于360而言是杯水车薪。360最大的收入是“互联网**”,收保护费;交了钱的程序有点问题也可以放过,还帮助推广,网评自然很好;不交钱的,网评就很差,还加入黑名单**。当然,最初依托奇虎社区上的“擦边球”内容给网站带流量,也为360带来一些收入。
有了360大量获取的用户隐私信息为基础,有了360保险箱的帐号关联,360的浏览器在精准广告上也就往前走了一大步。这一点对于广告主有价值,对用户也许会是个“灾难”。前段360宣传了自己的一个案例,协助**部门破了一个案,但是,没有用户信息作为基础,怎么协助呢?
4. 周总为什么到处宣传的所谓“云查杀”?
周总最近宣传的,所谓的360 “云查杀”(把查杀工作放到360服务器上),实质是为了掩饰360每10分钟频繁联网,掩盖其上传用户隐私的问题。周总号称扫描速度是传统杀毒软件的10倍,扫描快的原因是采用文件名匹配来进行最简单的模式匹配(叫一样文件名的文件的就是木马?这可能导致非常严重的误杀。难道在中国叫陈**的都是浑蛋?)。360所谓的“查杀10万木马”,是因为360根据文件名来判断病毒,病毒传播者只要改一下名字,奇虎360就得重新加入木马病毒库,所以一个病毒文件要是有10个名字,360就要加载10次木马姓名库,别人要查一次就够了,可360要加载10次。所以360才会费力去 “查杀10万木马”。
网上有篇帖子,说周总最新在手机上推出的扣费克星,也采用了同样的匹配文件名的简陋技术。tompda上有人反编译了代码,发文说明了这点,也许一场新的闹剧又要上演。
5. 为什么360只靠文件名查杀也能杀出木马,还号称比专业杀毒软件更好?
周总**出走雅虎之前,曾经利用3721干过一件大事:他通过遍布全国的3721客户端,在用户机器上种下了后门,包括dll和驱动。而打开这个后门的秘密,只有周总和几个核心人员知晓。这也就是为什么360一推出,就能让用户感觉到特别好用的最大原因,因为它查杀的木马,都是此前用3721客户端自己种下的,自己种,自己杀,效果当然顶呱呱。
为了维持奇虎360的口碑,周总一直在做这样的事情:不断制造新木马和***,再不断进行查杀。
6. 为什么绿霸受阻?
前一段,政府推动的绿霸计划,希望解决青少年的上网**内容过滤问题。但是,绿霸和360的预装策略冲突,一旦装了绿霸,就占领了360在PC上的位置,更重要的是就可能发现360的上传用户隐私的问题,那对360是很大的危机。因此,360成了在幕后攻击绿霸的推手。
7. 为什么360表面上口碑很好呢?
周总逢人就说,360没有花一分钱的推广费,完全靠口碑传播发展的。其实,以我跟随他多年的经验,基本说什么,就不是什么,随时可以变卦,说话就是放水。
与其360说是安全软件,不如说是管理软件,最初定位就是帮助用户管理补丁、卸载程序、提供软件下载,很多功能是超级兔子做的事情。当然,360做得更深入全面。360在产品体验设计得不错,动不动弹出来告诉你帮你做了这个,做了那个,让用户感觉干了很多事情。因此,360吸引了很多草根的用户。
但是,装了360,该出问题还是会出问题,该中毒还是中毒,该中木马还是中木马。真正的业内人士,金融、电信、政府的人员担心“偷东西”,都不太敢用360。
360的媒体控制力很强,周总在市场营销上很有天分,360在PC预装上下足了大功夫、大价钱,对外声称,很多中关村装机器的人推荐用户用360,不花钱,谁会帮你推荐。强有力的媒体控制,强有力的市场预装推广,一些不错的功能体验,掩盖了360许多本质的问题
8.360为什么要进入手机?
360的收入增长将以打扰用户、获取用户隐私为主要手段,因此收入基本不具备成长性。360的收入对于投资人来说还是个故事。360在互联网能够拓展的领域基本差不多了。手机是下一个增长点。
PC上隐私有限,手机上用户的隐私更多,更值钱,无数发公司已经证明了这一点。360要进入手机领域,成为移动互联网“**”老大,总领手机软件公司生杀予夺的大权。
9. 为什么做扣费克星?
从扣费克星的查杀列表可以看出周总在手机上沿用了互联网上的思路痕迹:实施焦土战略,先扫清手机上的常用小软件;然后,开始收保护费,顺我者昌,逆我者亡。 “扣费克星”这么响亮,当然要加入恶意扣费软件。但是,手机大头、千尺、来电秀、许多无线SP公司的商用收费软件大都被加入列表。想在手机上发展又没有很强靠山的公司,要注意了。
周总一般先不会得罪大的公司,有不少大公司的软件一样是收费的,但是名单中并没有。联合少量大的,打击小的,这是做流氓的高级策略。当然,大公司也别着急,周总最厉害的就是各个击破,先解决小的,然后逐个收拾大的。
因此,扣费克星对于用户很有吸引力的。也许周总早就在手机上布局了不少***,然后自己杀自己。拿着打流氓的旗号,打造一个更大的***公司,和360在PC上的思路完全一致。
10. 为什么要以个人名义发布扣费克星而不是360?
很多人会问,扣费克星是个人做的,和360有什么关系呢?360为什么用个人名义发布扣费克星,估计原因有三:
周总在PC上干得黑事太多,在手机上不想得罪太多人,所以找了个个人作者来顶缸(手机上的SP公司,如果知道是360挡他们的路,个个都不是好惹的);
用个人作者发布,容易骗取草根网民的认同感和同情心。你看我是一个网民,被扣钱了,所以做了个软件,帮大家解决问题,外表看起来多感人啊。
用个人作者发布,具有很强的迷惑性,很多SP和无线领域的公司,肯定会认为个人作者的产品,不会有很大的影响力,所以不太关注。而360已经在暗渡陈仓,大规模推广扣费克星,等到扣费克星控制局面后,再变身为360。
360官方还象模象样的发表申明说“360只发布了手机卫士(垃圾信息过滤)这一个产品,其他产品与360无关”,太有点“此地无银三百两”了。360自己发布了一个进行垃圾信息过滤的产品,从第一个版本看还比较一般,和信安易等比还有很大距离。当然,360官方说法就是,这是实验室流传出去的beta产品。据说,这几天又推出了一个安全管家,对软件的评论基本一样,估计也是360的,手机上即将开始一场腥风血雨。
11. 奇虎社区今后怎么发展?
答案就是不发展。奇虎的发展,基本完全靠**擦边球内容来充流量,社区不作了,原有的人走的走,没有走的,就帮周总做宣传,打口水仗,帮周总打压瑞星、金山。说到金山,前一段网上有争论“在手机有没有病毒?”,居然有所谓金山的工程师出来说明没有病毒,不知道他是不是真的金山员工?还是金山前员工?是代表金山,还是代表个人?也很可能是360雇佣的写手断章取义,扭曲了人家的发言。
我个人认为,手机病毒是事实,这是任何一个安全工程师都知道的基本问题。手机病毒还没有象PC病毒那样大规模爆发,不像一些手机安全公司宣传得那么严重,也是事实。当然,善于打擦边球,断章取义,混淆视听是周总及其雇佣枪手擅长的事情。
12.为什么周总对媒体控制力强?
周总身边有人上可达政府,下可控制媒体。从3721开始,周总最擅长的就是口水仗,到雅虎,可以说周总的势力范围更是遍天下,据说为周总服务的记者不下千人,各地临时调拨的枪手可达万人。奇虎最初要做论坛搜索,Discuzz!和一大批互联网论坛都是周总投资的。一些媒体朋友不服气,周总甚至设计将其投入监狱。如此的手段,媒体哪能不服气?
扫黄期间,其他网站都被关了,奇虎没事。但是,最近奇虎常常被点名批评涉黄,前一段又被处罚了。涉黄这种事情发生多了,渐渐也没有人敢帮了。也许验证了那句话“夜路走多了,总会见到鬼”。
13.为什么表面上360如此成功,而最初的核心骨干却一个个都离开了360?
今天360的团队早已不再是360最初的那批团队,最初的核心团队早被周总逐个换掉了,360产品的方向也偏离了最初的目标。我们(360最初团队)原本的目标是打造一款伟大的产品,但是360后续发展的方向已经不是我们能够把控的。为了商业利益,360中加入了太多的、标称为“安全软件”不应该做的功能。
离开奇虎,实属无奈。我们不愿意自己精心付出心血打造的360产品(最初的360)又一次成为人人唾弃的***。如果公司真的好,真的是为了用户,我们为什么要离开?
现在360已经成为周总收黑钱、打压对手的工具,和3761***有过之、无不及,实际上,今天的360已经成为互联网最大的***,控制了数千万台PC,比3721最为鼎盛的时候还要大,这是多么可怕的事情。据以前的同事透露,目前360每天搜集的用户数据量高达TB量级。在360面前,用户毫无隐私可言,360保险箱甚至直接存放着用户的各类帐号信息。也许,广大网民刚刚逃脱3721等***的“狼窝”,又进入另一个更大的“虎穴”。
当然,周总常说,流氓足够大了,也就有了江湖地位,就可以漂白了,小流氓是瘪三,大流氓是黑老大。
14.为什么要说出这些?为什么要匿名发表?
周总崇尚柔道战略,这是一种小公司冲击大公司,攻击大公司弱点的有效打法,也非常符合周总的性格。但是,这也决定了周总是个商人,而不是企业家。周总适合把小企业带到中型企业,却再没有能力打造一个伟大的公司。这一点,从3721,到雅虎,到奇虎,都已经充分证明了。
周总本人的优点恰恰也是他最大的缺点,缺少承载一个伟大公司的胸怀和气度。了解360的人都知道,周总身边的人越来越少。当然,周总的用人原则就是,有利用价值的就用,没有利用价值的就滚;服气的留下,不服气的就滚。这也是我们离开奇虎的重要原因。我们似乎很难相信,一个曾经的互联网***之父,一个常常做出损人不利己的事的人,一个连自己多年好友都可以投入监狱的人,可以打造一个伟大的产品和公司。
外表强大凶悍的360,内部其实四面楚歌,病入膏肓。一个事物靠穷兵黩武抢夺回来的,也很快消失。许多人把现在的360都叫做“丧六灵”。原本目标是打造伟大产品的最初360团队,发现产品已经背离了原有的方向。作为最初360团队之一,作为一个有良知的人,我觉得有必要说出这些。
熟悉周总的人都知道,周总经常打电话威胁别人的家人安全。泼脏水,诽谤,诬告,收黑钱,实施恐怖威胁甚至**,是周总的拿手好戏。黑事做多了,心思就多就重,难怪周总出入要请贴身保镖,周总年纪不大,却常常夜不能寐、身体每况愈下。因此有人称周总是“邪教教主”,一是蛊惑群众,二是为了牟取暴利,三是违反法律的约束。很遗憾,周总的手段,用流行语说,“很狠很**”,我只能通过匿名的方式。
老周,回头是岸(周总现在已经不是我老板了,就叫句老周吧)。