热门:两年半获奖40余，这支复旦白泽战队在攻防实战中守互联网安全

本篇文章4424字，读完约11分钟

原来的金碧滚复旦青年据戴嘉润说，虽然是同样的攻击漏洞，但双方技能的采用意图完全不同:黑客是为了谋求不正当的私利，“白帽子”们心里有维护安全的标准，在黑客面前发现漏洞，及时报告修补， 另外对抗恶意攻击，进行防御和追踪 “技术本身很相似，但必须看是用它来危害社会还是保护社会。 我认为保护安全是我们实验室团队的初衷。 “施游堡补道。 复旦青年记者金碧滚主笔复旦青年记者朱月萌于9月29日中午12点正好在武汉国家互联网安全人才与创新基地展示中心，匆匆的键盘声瞬间变成了寂静 会场前的黑色巨幕上，80支球队的比赛成绩滚滚而来 “whitzard”突然获得第一名，白泽战队的四名选手瞬间放松紧张的神经，“我们是总冠军！ ”很兴奋。 白泽战队第33届代表复旦网络安全比赛 预赛、半决赛、决赛经过三轮激烈的比赛，他们卓越于1184支高中队，在第13届全国大学生新闻安全比赛中获得了总冠军，获得了年度最重的金牌。 年4月成立，仅2年半，在复旦大学系统软件和安全实验室孵化的这个年轻团队就获得了国内外ctf (意味着全名“capture the flag”，网络安全攻防旗大赛)和安全突破类大会的40多个奖项 白泽战队，这个保护网络安全的师生队伍正在迅速成长。 从最初的7人队，现在迅速发展成了涵盖本硕博学生的30人队，走上了保护客户安全隐私的道路，为保护网络新闻系统的基础安全增加了瓷砖。 ▲白泽战队4名主力和指导教师的参加照片/图源:回答者逢凶化吉的“白帽子”白泽是中国古代神话中凶化吉的瑞兽 每次出征，这个头上都戴着两对拐角的蓝色吉祥物，总是出现在战旗上，和选手一起全力比赛，在领奖台上见证各自的荣耀。 “名字是队员在成立时取的，大家都觉得很好。 复旦大学网络空间安全专业级博士生、领导说，一方面想强调中国自古流传的文化，另一方面希望保护安全的神兽能给战队带来积极的正面迹象。 除此之外，瑞兽“白泽”的寓意也很符合战队的事业目标 现在的队员，网络空间安全专业级研究生施游堺表示，团队致力于研究系统软件本身存在的一点安全隐患，一旦发现漏洞，立即向软件开发者报告，展开修复，系统 但是现实问题很多，复杂多样，队员们首先必须有“高度敏锐的嗅觉”。 只有具备过硬的逆向分解、安全审计的技术能力，才能迅速发掘和利用安全漏洞，进行深层修复 在这次决赛中，4名队员需要在模拟购物、搜索、视频播放等网站的“靶场”环境中，寻找潜在的安全漏洞，利用它完成指定的攻防操作，得到分数。 ▲printf漏洞泄露libc的代码示例/图源:回答者戴嘉润和谈话心是同期的同学，也是肩膀上的战友 他介绍说，一点问题就考验参加者是否能在不知道账户密码的情况下从攻击网站上“窃取”管理者的密码。 “登录成功后，将得到问题的答案 关于“偷”，他明确了攻击者有可能输入一点恶意结构的副本，从而解决网站远程服务器的异常，并利用异常获得录用权限，进一步窃取新闻，展开攻击。 这样的操作听起来像网络黑客的惯用行为。 但事实上，白泽战队所做的恰恰相反 “我们要和他们对抗的‘白帽子’！ ”戴嘉润说，同样是攻击漏洞，但双方技能的采用意图完全不同:黑客是为了谋求不正当的私利，“白帽子”们心里有维护安全的标准，必须在黑客面前发现漏洞，及时报告修补。 另外对抗恶意攻击，进行防御和追踪 “技术本身很相似，但必须看是用它来危害社会还是保护社会。 我认为保护安全是我们实验室团队的初衷。 “施游堡补道。 ▲小组成员共同讨论比赛问题/图源:回答者只有两个“安全”，但相关行业非常广泛，一般方向是crypto (密码学)、reverse (反向)、web (互联网)、misc (其他) 面对很多复杂的文案，即使被老师称赞为“多面兼长”，依然觉得自己像是“爱因斯坦的圆”。 知识越多，未知的东西也越多。 实战中重视的是这些技能的综合运用。 因此，“白帽子们”的分工合作和团队的互补性特别重要 战队四个中心主力，正好各有各的“专业”。 “例如密码学的主题通常交给队长。 施游堡对web方向； 许海龙——我们称他为“龙哥”，是杂乱无章相反的主力。 戴嘉润首先负责脆弱性的利用方向 》战队指导教师张源介绍 一个比赛问题往往需要四个选手交替合作分享知识，最终导致完美的解答过程 “不是说‘是你干的，是我干的’，一匹马不行。 在“实战”中，“纳贤”的时间回到了当年，随着网络的迅速发展和国际形势的变化，系统的安全对国家、社会、领域越来越重要。 实验室领导、计算机学院博士生导师杨珏教授认识到新闻安全人才培养模式需要发生变化以适应国家对新闻安全类人才的需要 根据以前流传的教育方法，很多同学毕业后在课程和工作之间容易出现“能力断层”:与众所周知的理论知识相比，大部分学生对系统安全的现实问题没有深入理解，处理具体问题的实践 这被实验室“致力于服务社会”的迅速发展目标不断阻碍 “我们总是听公司的抱怨，说找不到合适的毕业生，请他们自己花很多时间培养人才。 考虑后，杨珏觉得，比较缺课，组建战队是很好的补充方法，既可以实现“实战”，也可以实现“纳贤”:让同学积极参加新闻安全比赛，重视实践经验的积累。 另外提高知名度，可以招收学校内外的优秀学生，向实验室注入新鲜血液 刚入门的新成员通过战队组织的训练和友谊赛，可以加深对这个行业的理解，培养有趣的东西 老选手在参加国际联赛和精英挑战的过程中可以达到“在比赛中练习，相辅相成”的双重效果 ▲白泽战队参加“强网杯”比赛/图源:回答者在这样的想法中，他安排了实验室与研究安全攻防技术方向的张源副教授一起策划设立安全攻防战队。 年4月，白泽战队悄然诞生 恳谈是最早加入战队的七个成员之一。 他说，ctf比赛与自己的专业有很强的相关性，平时在科研中学到的技能大多可以应用于比赛，比赛过程的训练也提高了自己和选手们的技术水平，有助于实验室的研究 绝对来看，战队每年参加二十多场比赛 但事实上，这些是仔细筛选的结果。 “毕竟比赛的目的是培养自己。 我们通常选择方向合适、质量高的比赛，组织选手参加。 结束后再往回走，对比赛问题和现场进行简单的再生，达到按比赛费练习的效果。 ”恳谈介绍了 “其实比赛的过程本身也很有趣很刺激 ”张源笑着说 他把ctf竞赛想象成“偷军旗”的过程:在实验室环境中，选手在技术上挖掘和攻击对方系统的安全问题，夺走对方的flag。 然后，修复自己的漏洞，避免被别人袭击 “就像战争一样，攻防都要考虑 他希望竞技作为一种非常有挑战性的形式，唤起学生对系统安全的有趣和热情。 “但是因为没有接触的机会，很多同学还不太了解我们的专业，技术能力的基本训练也不足。 因此在留学教书后，张源开设了通识课程——“系统安全攻防技术”，以ctf比赛为例向本科生介绍了网络安全知识。 在这门课中，班软件工程专业的研究生许海龙参加了实验室，成为了白泽战队的主力选手 “我觉得所有的安全攻防实验都很有趣，下课后联系了张老师。 这两年，通过比赛、授课、报告、自媒体等推广，“白泽战队”的名字被很多学生和公司所熟知 以优异的战绩和研究成果战队也得到了领域内的高度赞同 战队的邮箱里也收到了来自“火星情报局”教练的协助邮件 除了奖项外，“收获归属感”也是对杨珏队员的期待 工作日，他鼓励大家一起吃饭，外出共同建设，组织实验室内的教师和学生运动会 “大学生活只是人生的短暂阶段，我们可以一起比赛，进行科学研究。 这段友谊很重要。 他希望队员们向顶尖人才努力，有越来越多的感情联系，“收获一生的朋友”。 施游堺至今还记得特别感动他的小事 一天晚上，为了尽快完成科研论文，他向指导教师张源征求了思路整理上的建议 “当时老师感冒了，没有好好休息，所以人也困了。 “在4个多小时的讨论中，张源有时咳嗽，但为了帮助学生进行科学研究，一直说到最后。 “这对我的鼓励很大！ ”施侃感慨地说 如果把虚拟照片融入现实中，这次的冠军就不好办了 因为是第一次参加全国安全比赛，所以不习惯比赛的形式，战队在第一次参加日没有很好地发挥，受到来自其他队的“攻击”，结束时的成绩只有第11、2名。 “当时还在崩溃，确实想放弃 “施游堺回忆道 但是比赛安排很紧，没有失望的时间，选手们必须调整心情，互相鼓励，集中于自己擅长、分数高的主题 第一天晚上，选手们没有休息，集中精力做问题，所以最终在第二天的比赛中挽回了落后的比分，逆转了局势，获得了冠军。 对队员们来说，“通宵”这个词对比赛中的生活一无所知 虽然有时很累，但是即使想起当初加入实验室和战队的决策，他们也不后悔 施游堡读本科二年级时，总书记提出了建设网络强国的目标，强调“没有网络安全就没有国家安全”。 这句话对当时入党的积极分子他打击很大。 “我想用自己的专业信息为社会做贡献。 “谈心认为ctf这个新乐园可以让他更自由地发挥拳击手。 “周围有很多同学从事算法和机器学习等比较受欢迎的行业 但是，网络安全刚开始，出现了很多新技术，同时，对国家和经济社会的重要性也越来越受到关注，所以我想在这个新行业进行探索。 面对“硬核”的系统软件和安全研究，队员们多次认为重要的是“你心里有没有信念，有没有梦想”。 他们认为，由于起步晚，中国的网络安全研究在国际舞台上还处于起步阶段，与海外有一定的差距。 “我们也想扭转这一比较被动的局面，为中国网络安全的迅速发展和发展做出贡献。 ”戴嘉润清楚地记得战队成立后的第一场比赛中展示了自己和别人的差距 “但是我个人不想输，所以我想我能做得更好吧。 以这种不败的进取精神，他们在之后的比赛中获得了多个重量级的奖 年首次参加trend micro ctf国际比赛，取得了世界第五、中国战队第二好成绩，实力也得到工业界和学术界的肯定 现在战队已经和百度、华为、蚂蚁金服、金山、艾奇奇等网络公司合作，将实验室的科研成果转化为公司，协助修复他们的脆弱性和优化服务。 其次，他们打算将越来越多的能量投入到更广泛的基础支持系统的安全研究中。 除此之外，知识科学普及也是“走出象牙塔”的重要一步 成立以来，白泽战队微信公众平台不断更新“白泽带你读论文”系列顶尖学术论文的领先，揭开网络安全学术研究的神秘面纱。 微博、乎等平台也有战队发表的文案，从“白泽请你吃大餐”到“你招到‘美颜相机’了吗”，缩小现实问题进行网络安全知识科学普及。 谈谈未来，团队希望更好地实现“理论落地”。 比赛外进行了越来越多的接近服务国安全、社会生活的事件，追求“真正的影响很大”。 杨珏希望通过实验室和战队的培养，这个保护网络安全的团队继续成长，向国家输送越来越多的安全领域人才，将更多的研究成果转化为现实世界的应用，确保和护卫网络顾客的新闻安全 微信|李鑫瑁编|甲干初，喜欢这个文案的人，也喜欢原来的标题。 “仅仅2年半，获奖40多年，这个复旦白泽战队在攻防实战中保护网络安全”原文 ]