我们与CSAW的特殊情缘

在接下来的几周内，全球数万名学生和专业人士将关注六项竞赛，为他们喜爱的队伍加油助威。这就是我们长期参与的"网络安全意识周"(CSAW)——全美规模最大的学生运营网络安全赛事。无论多忙，我们始终会抽时间助力赛事成功。

CTF挑战的技术贡献

今年我们为资格赛设计了五个CTF挑战：

wyvern

参赛者首先获得一个经过混淆的Linux二进制文件（即crackme）。通过LLVM实现的多层次虚假谓词插入、代码扩散和基本块分割等混淆技术，使得静态逆向分析变得极其困难。参赛者必须采用动态分析方法，使用程序分析工具暴力破解flag。在此过程中，他们将学习如何通过监控指令计数变化来泄漏程序执行路径，以及使用PIN、Angr或AFL等工具。

bricks of gold

这个挑战始于一个国际谜题：“我们截获了一份走私入境的加密文件，只知道他们使用了自定义的CBC模式算法——很可能很糟糕。“参赛者需要成功解密这个自定义XOR-CBC加密文件，这要求他们找出算法、密钥和初始向量。解题过程涉及文件头分析、密码学知识和暴力破解技术，同时学习如何检测加密文件的低熵特征、未加密字符串和CBC模式块特征。

sharpturn

参赛者获得一个损坏的Git仓库存档，需要修复损坏并读取文件。实际上存在三处损坏：每处都是单个比特错误且都位于源代码文件中（这是Trail of Bits真实遇到过的情况）。修复后，源代码文件可编译成包含答案的二进制文件。参赛者将学习Git blob包含带头部信息和zlib压缩的仓库文件版本，以及如何利用Git版本控制信息重建损坏的提交。

punchout

题目提供三个来自IBM System/360穿孔卡的二进制数据块及其加密数据。这些卡片使用1965年的加密技术，要求参赛者研究当时的安全机制。他们会遇到KW-26等密码（生成长比特流并与明文进行XOR运算），以及IBM使用的ebcdic（非ascii）编码方式。由于相同比特流被用于加密每个数据块，这种密钥重用存在已知攻击方式，参赛者需要通过"crib dragging"技术实施攻击。

“math aside, we’re all blackhats now”

参赛者需要找出为电视剧《硅谷》提供咨询的安全行业专家。该剧前两季中出现了大量与CTF社区相关的道具、名称和引用，其安全相关情节的准确性令人惊讶。

其他技术相关内容

政策竞赛设计

我们协助CSAW设计了政策竞赛环节，挑战学生探索美国政府实施漏洞赏金计划的可行性方案。参赛作品由该争议性话题各方的专家小组评审，前五名团队将在CSAW现场展示提案。

技术传承

我们有多名员工曾作为学生参加CSAW比赛，包括通过CSAW女性夏季项目结识的实习生Loren。今年共有1,367支队伍获得积分，创下赛事新纪录。所有历史CTF挑战题均已开源在Github。