2021-03-15 20:12:0613075人阅读
如果说,极客们能为一件事儿,组团儿+整日闭关+孤注一掷。其中之一,或许就是卯着夺旗赛了。
作为DEF CON CHINA最具竞争性的环节,BCTF百度网络安全技术对抗赛的赛季总决赛一直是安全圈和极客们关注的焦点。在3月20日即将举行的DEF CON CHINA Party上,BCTF也即将迎来其在2020赛季的收官之战。
本赛季,BCTF干了两件大事儿:
其一,推出了全新的自动化攻防赛AutoPwn。
其二,举办了全球首场AutoDriving自动驾驶CTF。
BCTF自动化攻防赛AutoPwn将在本次DEF CON CHINA Party中带来全新的VR沉浸式体验
而本次赛季总决赛,也将继续延续AutoPwn线上赛模式,赛题方向瞄准CrashMe自动化漏洞挖掘和PopCalc自动化漏洞利用,比赛全程12小时。而在比赛现场,我们还将特邀一只神秘的人类战队向机器人发起挑战。在DEF CON CHINA Party的BCTF极客竞技馆,我们将为此带来首次VR实况直播和专业解说。
BCTF 2020赛季总决赛报名通道
比赛时间:2021年3月20日 11:00—23:00
参赛方式:线上参赛
报名通道:https://anquan.baidu.com/bctf/#/zh-CN/login
*1 请根据页面提示注册战队,主办方审核通过后即可参赛。
*2 总决赛现已开放测试,请参赛战队登陆比赛官网完成接口测试,确保比赛顺利得分。
But,这仍然是个技术活儿,看懂BCTF的“神仙打架”仍然有着不低的门槛。
比如,CrashMe自动化漏洞挖掘通常会用到模糊测试技术(Fuzzing),这是一种通过向目标系统提供随机化的输入并监视异常结果来发现软件漏洞的方法……
而PopCalc自动化漏洞利用则基于自动化漏洞利用生成程序(AEG),是一种基于劫持控制流量的自动化漏洞利用技术……
由此,我们在这里隆重剧透全新的CONTESTS体验馆,BCTF“神仙打架”入门。
没整过Fuzzing?那肯定玩过迷宫、扫雷和超级马里奥!AutoPwn极客村将利用Fuzzing“自动”进行上述三款广为人知的小游戏,并借助这一机会向极客们解释这项技术的原理——Fuzzing通过生成随机化的输入,来测试目标程序是否会对特定输入做出预期外的反应,例如错误的运行结果甚至是程序崩溃——在游戏里,Fuzzing会尝试每一种路径、每一块踏板和每一次跳跃,最终找到不撞墙、不踩雷和不掉血的行进方式,并触发胜利机关——而在现实的Fuzzing中,这个机关就是我们要找的漏洞!由此,我们便可实现对漏洞的高效自动化测试,大大提高漏洞挖掘效率及检验兼容性。
超级马里奥遇见模糊测试
不仅是发现软件漏洞,对于自动驾驶来说,Fuzzing也可以协助解决一些安全挑战。在本次DEF CON CHINA Party的KEYNOTE环节中,百度安全首席科学家李康将展示Fuzzing 在传统软件漏洞发现以外的一个应用,为极客们展示百度最新的研究进展。
相较而言,AI模型的对抗对于自动驾驶来说也至关重要。
在DEF CON CHINA 1.0上,我们曾展示了一件隐形衣。如今,我们要隐形一辆卡车!在AutoDriving AI+极客村,我们还原了BCTF在2020赛季的经典赛题——通过向“卡车车厢”添加“干扰图片”发起攻击,让整个车辆在视觉感知模型眼中“消失”,达成真实的物理欺骗并造成“事故”。
BCTF的自动驾驶CTF赛题
在线下活动中,我们可以用这辆自动驾驶模拟智能小车复现这一攻击过程
以应对智能经济时代全新的安全挑战为核心,本次BCTF和极客村将全面聚焦AI安全技术对于网络攻防的作用和影响。而BCTF极客竞技馆和CONTESTS体验馆,也将成为极客们抢先了解AI安全趋势、掌握AI安全技能的主阵地。
在与DEF CON CHINA Party同期举行的线下活动中,我们将邀请您与众多极客们一起加入到CONTESTS体验馆的有趣课程。根据北京本地的疫情防控要求,这将是一场小规模的团聚,我们将根据您在DEF CON CHINA Party的注册信息,随机抽取并启动定向邀请。在现场,我们将能够更好地感受定制化VR头盔带来的全新DEF CON体验和充满想象力赛博世界交互方式,并与多位网络安全行业大咖、技术大牛进行面对面的切磋交流。
如果您尚未在DEF CON CHINA Party登记您的注册信息,点击此处即可进入线上报名通道。