2018年3月1日,一场在真实办公网络环境下举办的全球黑客挑战赛将正式启动。不同于业界常见的CTF比赛,这场黑客挑战赛没有复杂的题目,也不设淘汰机制,只有一个目标文件和一套网络防御系统作为挑战对象,比赛面向所有技术爱好者和专业人士不限次数开放,破防夺旗是唯一标准。这就是由北京卫达信息技术有限公司(简称“卫达安全”)主办的第二届“攻陷卫达总部”百万悬赏全球黑客挑战赛。
公开资料显示,这不是卫达安全第一次大张旗鼓地设立高额奖金举办黑客挑战赛。2017年10月1日,第一届“攻陷卫达总部”百万巨奖全球黑客挑战赛在北京举行。据企业有关负责人介绍,当时为期一天的比赛迎来了百余名参赛者,现场反应热烈。虽然最终没有人突破防御系统夺得目标文件,但参赛选手对此类别具一格的赛制感到十分新奇,普遍表示意犹未尽。
事实上,整个2017年,卫达安全陆续在北京、武汉、杭州等地举办了六场黑客挑战赛,吸引了近千人参与,在展示企业技术实力的同时,也为培养我国网络安全技术人才探索了“寓教于赛”的创新模式。
即将启动的第二届“攻陷卫达总部”百万悬赏全球黑客挑战赛,延续了2017年的风格。据悉,今年的挑战赛将沿用去年的赛制模式,设置一百万元挑战奖金,接受来自国内外所有地区的技术爱好者报名。比赛全程在卫达安全总部的真实办公内网中进行,除了在网络拓扑结构中搭载一台由卫达自主研发的“幻境内网动态防御系统”产品之外,不安装任何多余的防护设施和软件。同时,靶机环境将被搭建为没有任何补丁、杀毒软件及防火墙的Windows2003系统,内置的口令也是长度不超过6位的无特殊字符弱口令。
一方面保留传统,另一方面,与第一届相比,今年的挑战赛也有了一些新的特点。首先是比赛周期更长。本届比赛自3月1日开始将持续两个月,每个工作日10:00至17:00全天不限时段开放,参赛者将有充分时间自由安排比赛行程。其次,今年的赛制也更为灵活。据活动负责人介绍,今年的比赛不限参与次数和参赛形式,所有选手可以多次报名,也可以根据选手自身情况个人或组队参与,还可以申请由主办方协助、在报名选手间随机组队。
在专业人士眼中,这样的环境搭建和比赛设置是非常冒险的。允许挑战者直接接入办公网络相当于将正常业务终端也一并置于挑战环境之中,且连续开放两个月,这需要企业有足够的防御实力和风险应急能力来保障日常工作的顺利进行。同时,靶机本身不进行任何终端防护,意味着一旦黑客找到“幻境内网动态防御系统”中任何一点细小的漏洞,便足以攻陷成功,获取目标。不限制选手的参赛次数和形式,就等于给了挑战者认知和学习网络系统的机会,用一套固定的防御系统来对抗未知数量、未知模式的攻击人员、攻击次数和技术手段,胜率几何似乎难下定论。
对于此类担忧,卫达安全的负责人有自己的想法。公司总裁张长河对记者谈到,根据推算,“幻境内网动态防御系统”被攻破的机率是亿分之一,现有的黑客攻击手段不足以对其构成威胁。但“如果真的有人发现了幻境的漏洞,那么用一百万换来产品的升级,很值得”。
这样的底气和自信,在企业的宣传口号上也可见一斑。卫达安全称自己是“一个让黑客颤抖的安全公司”,在一贯低调的网络安全企业中这般标签难觅第二例。如今卫达安全设下擂台向黑客发起挑战,他们将如何应对全球技术精英对其总部的攻击?这场网安界的“武林大会”一旦开战,结果值得期待。
报名通道:直接点击以下链接,或关注卫达安全官方微信(ID: VEDA400-097-0097)获取报名入口
https://d.eqxiu.com/s/7Q6gxnYQ?eqrcode=1&share_level=3&from_user=58854a6b-30a9-4afa-b1ba-dd2b4d67b259&from_id=2da43a22-404a-4e79-8a6d-f21bfa8b587e&share_time=1519726695618&from=singlemessage&isappinstalled=0