白城意外险交流群

0CTF & E安全独家专访Shellphish

E安全 2019-11-02 14:57:28

Shellphish是一支2004年诞生于加州大学圣巴巴拉分校的安全爱好者团队,是CTF届的传统强队,曾于2005年在DEFCON CTF总决赛夺冠,20112013年的CTF总决赛中也都取得了非常不错的排名。今天,E安全小编为您带来对这支神秘之师的独家专访。



您已经参加过世界各地的多次CTF竞赛,那么此次中国赛事有何不同?您对本届CTF以及您个人的排名有何预期?
0CTF是今年最棒的预选赛事,所以我们非常期待最终会有哪支队伍能够杀入决赛。而且无论最终排名如何,我们都希望此次CTF能够带来前所未有的服务与顺畅而有趣的进程!



您是否愿意介绍各位团队成员及其各自职责?您对此次CTF竞赛中的进攻与防御环节做何评价?您又会如何平衡二者之间的权重?

Shellphish是一支2004年诞生于加州大学圣巴巴拉分校的安全爱好者团队。由于队伍规模设限,因此很多成员非常遗憾地未能参加此次0ops CTF。不过,我们的0ops拥有派出了最优秀的选手:


fish: 可以说是Shellphish中最杰出的中国黑客了。二进制代码于fish而言如同食物和水。有人说还在襁褓中时,fish就在用英特尔x86指令集指南当尿布。他的枕头里塞的不是棉花,而是CPU——他连做梦时都在鼓捣这些。

 

salls:如同那些获得了超能力的、出身平凡的超级英雄,salls快速由一位普通的美国大学生成长为世界顶级黑客之一。Salls的兴趣目标非常广泛,从自己凯美瑞的驾驶员座椅到自己的宠物鸭Duckle,他都想要尝试破解。与超人一样,salls也有明显的短板:他受不了鱼(指的是食物,而非前面那位队友)。

 

mpizza:没人知道mpizza的来历。有人说亿万年前,明尼苏达州的上万个湖泊突然水浪翻飞,而mpizza则从中诞生。他永远不会对自己取得的成绩感到满意,而是不断推动自己强化个人能力并深入钻研漏洞利用这一神秘艺术。简单来讲,他就是那种总是端着杯冰啤酒的酷小子。

 

anton00b:貌不惊人的anton00b是一位顶级专家,而且对于代码有着自己的一种执着的荣誉感。有人说意大利最顶尖的黑客们费尽心思想要弄到他的一缕头发,希望从中得到智慧的启示。当我们行走在夜晚的圣巴巴拉海滩,偶尔会听到anton00b与巨鲸们唱和着交流编码知识。

 

acez:有人认为,理解安全漏洞需要精神状态的不断调整与强大的意志作为配合。但对acez而言,安全漏洞并不是拿来理解的,而是讲解的。困扰他的难题始终是如何将自己发现的漏洞共享给他人,帮助对方理解他伟大的思想核心。事实上,承接住他汹涌思潮确实是一项艰难的挑战。

 

ubuntor:ubuntor出生之前,整个世界曾被一场严重的停电事故所困扰。但就在他发出第一声啼哭时,电力再度恢复,身旁的计算设备也再度世界杯并惊惧于这股灭世之力的降临。也许他源自某种黑暗仪式,也许他是由强大而神秘的黑客们召唤而来——我们不得而知,但可以肯定的是,他的出现就意味着计算设备的全面崩溃。




CTF,我们是不是可以简单的、简化的理解就是一个挑错的过程,你们对网络空间安全有什么期待?你们怎么看待自己的价值?
对于那些以破坏为主要目标的竞赛,我觉得挑错的描述比较中肯。但对于这种攻防一体的竞赛,情况则更为复杂。作为参与者,我们需要管理设备以确保没人能访问到其中的安全漏洞,不会泄露/丢失任何标记,而且仍然拥有窃取他人标记的进攻能力。不过找出代码中的漏洞仍然非常重要,因为这是修复工作的前提条件。但我们永远不知道修复后的系统已经万无一失,还是说其中仍然存在信息泄露的可能性,而这也是让比赛如此有趣且精彩的理由所在。



在你们的队友或者对手中,有没有从事非IT行业的人呢,在你的圈子里,这样纯粹的非IT行业的爱好者多么?他们的水平怎么样?
我们的大部分成员都是加州大学圣巴巴拉分校的计算机科学专业在读博士生,其余的成员则为已经毕业的校友或者实习生。当然,我们也有自己的高中生黑客队伍!



你们是否会在比赛之外,参与一些大公司的漏洞赏金活动?比如Google、微软这些公司的赏金计划。
我们认为漏洞赏金活动是个了不起的想法,我们的部分成员已经在过去的活动当中报告出漏洞,并顺利拿到了应有的报酬。



你们平常除了研究CTF比赛以外,是否还会研究其他的技术?你利用所掌握的高超网络技术做过最疯狂的事情是什么?

Shellphish团队的部分成员正在研究下一代二进制分析平台,即angr。这套平台自去年8月起转为开源,目前已经在GitHub上获得超过500颗星。其已经在学术界得到采用,同时亦获得了来自业界的支持。发布于NDSS 2016大会的符号执行辅助混淆工具Driller正是以angr作为构建基础。


至于最疯狂的事嘛,大家可以看看我们在去年Defcon大会比赛中最后五分钟的表现。

https://www.youtube.com/watch?v=P-dsCiRwLWs





E安全/文 转载请注明E安全

E安全——全球网络安全新传媒



E安全微信公众号: EAQapp

E安全新浪微博:EAQapp

E安全PC站点www.easyaq.com

E安全客服&投稿邮箱:eapp@easyaq.com

点击下方”阅读原文“即可下载安装E安全app

Copyright © 白城意外险交流群@2017