在7月10日,第十届全国大学生信息安全竞赛创新实践能力赛线上赛刚刚落下帷幕,承办方i春秋在实现了千人大赛、万人观战的大型赛事运营里程碑之后,又开始了新的征程——向比赛作弊宣战!
作弊,网络安全竞赛的恶性肿瘤
近年来,CTF(CaptureTheFlag,译为“夺旗赛”)竞赛已经成为网络安全人才培养和选拔的主流形式。竞赛为大学生们提供了在线学习和演练技艺的战场,为高校提供了培养学科建设、人才培养成果的舞台,同时也成为企业发现人才的苗圃,得到了各方的重视。很多人通过CTF快速成长,也有很多人通过CTF一战成名,拿到加分、保研甚至年薪百万的入场券。国内大小赛事如雨后春笋一般涌现,国赛、省赛、校赛、企赛遍地开花。
CTF等网络安全竞赛迅猛发展的同时,规则、标准的缺失等问题也暴露出来。由于CTF成绩可以打开快速攀升的通道,有人会通过作弊来获得不正当的成绩。破坏竞赛公平性,污染了比赛成绩的神圣,也成为CTF运动的发展的恶性肿瘤。
作为国内最早的信息安全竞赛发起者以及赛事平台供应商,永信至诚竞赛组一直在保障赛事正常运行的情况下对抗作弊行为。竞赛组裁判鸽子表示:通常来讲,作弊按照作弊者的参赛资格分为两大类——(一)没有参赛资格的“外援”代打,(二)有参赛资格的参赛者之间相互串题。代打按照操作形式不同分为两个小类:a、“外援”直接登录参赛账号代打;b、“外援”通过指点参赛者代打。串题又可视交换程度分为串答案(俗称“串flag”(flag通常为一行字符串,是CTF比赛中答案的形式))和串思路。
(常见的几种作弊形式)
现在有两个现象很可怕,一个是很多人认为作弊被惩罚和公示没什么大不了,下次不被抓住就好了;第二个是有些参赛者认为交换思路或者让别人指点一下自己不算作弊,“任何破坏比赛公平性的行为都可以视为作弊,窃书也得算偷”——鸽子说。
烽火台发布,竞赛场上的一炬明灯
永信至诚竞赛组负责人幻泉表示:“技术防作弊在之前的AliCTF、HCTF等比赛中已经有了一些尝试,永信至诚也会根据比赛的形式和受众实施不同规格的防作弊措施,最难的不是提高门槛,而是监控异常。尤其是在线比赛中,参赛者、作弊者可以远程合作,除非你抓住了某个身份确定的人发生作弊行为的瞬间,不然很难公平判罚——我们不能为了提高比赛的公平性,而破坏判罚的公平性。也正是因此,我们调研了很多优秀的战队和赛事运营方的意见,开始结合i春秋竞赛平台设计烽火台监考系统,并配套多种手段来遏制作弊行为。”
据了解,烽火台系统的主要作用是监控竞赛过程中的异常行为,譬如ip地址,token、提交时间、答题路径等等,并向裁判和系统管理员发起警报,同时记录异常日志。这个有点像现在银行的监控系统,正常顾客到达业务大厅后排号,等待,办理业务,离开。而如果有一个顾客反复进入大厅,在保安、摄像头前长期徘徊巡视,但是却不做任何业务办理,那么这个顾客就有可能有异常,安保系统就会向管理员发起警报。有些可疑人员会伪装成正常顾客的样子,靠人眼很难识别,但是计算机眼中他的行为模式却和正常顾客完全不一样。谁是羊,谁是披着羊皮的狼,一眼就能看到。所有参赛选手大部分的行为都是在竞赛系统中完成的,因此可以得到更清晰的判断。
(裁判组可以根据系统提示来查看异常行为)
有时候失误操作和异常行为只有一墙之隔,如何准确判断异常而非失误,避免系统误报的“烽火戏诸侯”事件发生?——“这个就需要大数据喂养了。”i春秋研发总监郑斐斐解释道。“i春秋竞赛平台一年仅去年就有超过人次的比赛,比赛形态涵盖了CTF夺旗、AWD攻防乃至AI攻防等形式,参赛者从小学生到政企从业人员都有,其中全国各省市的大学生比赛占了大多数。系统会不断学习参赛者的行为来修正评价的参数,从而提高判罚的准确性。”
(i春秋竞赛训练版,成为很多人接触CTF的起点,这份责任也为i春秋竞赛团队带来很大压力,和改变的动力)
多管齐下,跑赢作弊与反作弊的猫鼠游戏
CTF作为一个知名的网络安全赛事运动,陪伴着网络安全产业的崛起和成长,也带动了网络空间安全学科建设。国内很多先行者(如AliCTF、HCTF等)都在反作弊之路上进行了诸多探索:比如赛题动态计分规则,答对的人数越多,赛题分值越低;实名参赛;赛后提交Writeup(解题思路);线下比赛等等,已经应用到如今的比赛过程中。然而作弊和反作弊就像一个互相角力的猫鼠游戏,在很多比赛高额奖金和获奖后名利汇报的诱惑面前,作弊依然是信息安全竞赛如影随形的顽疾。
对此,永信至诚竞赛团队深有体会:“即便是线下赛,也会有人私自搭线路让外援接进来。大数据算法再精明,面对善于发现规则漏洞的黑客们,早晚也会束手无策。只有监控、预警、赛题设计、严肃纪律以及抽查答辩几种手段结合在一起,才能给作弊的人造成有效阻碍。作弊的成本提高、收益降低,自然作弊的人就少了。”随后,幻泉展示了i春秋即将启动包括烽火台在内的一系列反作弊措施:
1、严肃比赛纪律——赛前显著位置明确比赛纪律和作弊判定依据,一经判定即严肃处理
2、作弊行为监控及预警——烽火台反作弊系统“监考”
3、一抄就错的每人一题——通过算法让每个人,每道题都有不同的正确答案,如果抄别人的就会扣分
4、赛题动态计分——赛题的分值由答对的人数及时间等因素确定,会动态变化
5、CTFer黑名单——有过作弊记录和严重疑似作弊的参赛者的日志信息被裁判重点监控
i春秋还会引入更多机制,如身份绑定、机器指纹识别等方式来“给作弊者找麻烦”。不过,幻泉也表示,任何规则和系统都有漏洞,是否愿意去研究作弊技巧和技术,取决于作弊的成本,以及得到的回报。就像奥运会一样,兴奋剂和反兴奋剂一直在做亦步亦趋的军备竞赛。很多人过去玩CTF是因为兴趣,而现在则是因为钱和利益的诱惑,这是一个事物进步的标志——从某种层面上讲,有人愿意去作弊以及研究作弊技巧,也说明网络安全竞赛的影响力在提高,人们对网络安全人才的重视程度也在提高。但是如果作弊现象不加以遏制的话,也会限制赛事乃至整个行业的发展。未来在平均每两天就有一场CTF的今天,另外一个攻守战场已吹响号角。而点燃狼烟的i春秋学院下一个回合的战斗,必将更加精彩和残酷。
赞赏
