CTF 竞赛浪潮来袭!

  2013-12-06 00:00:00 CST

  Jingwen Peng

  Security

一篇好文章,贴上来分享。文章讲述了作者的一些黑客经历,也对当今国内国外黑客教育状况、黑客团体和比赛形式有一些自己的见解,字里行间同时也传递着黑客文化。

本文转自《时间线》,作者 万涛 (中国著名黑客,有“黑客教父”之称)。

在这说说自己的一些看法,就本科信息安全教育而言,正如作者所说,没有开设的必要。国内本科大部分信息安全专业,课程与计算机专业相差无几,外加几门通讯课程,顶多多一两门关于密码和法律的所谓的专业课。到头来只靠教育开设课程又有什么用呢?而且信息安全本科生刚入学的时候大多数人几乎不了解计算机。报信息安全这门学科只是觉得当今安全比较热,以后发展好或者好找工作。其实不然,如果不是一个好的程序员,又何能成为一名优秀的黑客;如果不是一名黑客,又何能真正读懂黑客文化;不懂攻何来防,如果不是发自内心的热爱,又何能以之为毕生的向往!真的需要一种文化和力量来支撑,才能够享受其中的乐趣。

正文如下:

纯粹地享受技术、黑客文化的自由,这种氛围也许还是个漫长的话题,但没有什么能够阻挡我对黑客文化的向往。

1992 年,我偶然进入信息安全领域,随着互联网的兴盛,我在 IRC 的聊天室里开始接触国外的黑客圈子。但第一次真正意义上和他们在海外见面交流,是 2012 年去日本、韩国的时候。国内媒体在 2001 年中美黑客大战之后,开始关注这个特殊的群体。但最初基本是文艺调调的喧嚣和口水,或是在网络爱国愤青和网络犯罪这两极间摇摆。因此,大众对这个群体要么是充满好奇,要么是鄙夷排斥不以为然。

2006 年,我曾想去参加台湾的骇客年会 hitcon,因此第一次注意到 War Game 这样的黑客竞赛方式,联想到电玩比赛的酷范儿,当时就想什么时候中国黑客也应出现在这样的竞技舞台上,这才是黑客文化最酷最直接的对话方式。所以此后我一直很关注国外黑客竞赛的情况。

但实际上,黑客竞赛一直是一个很特别的存在,而且无论国内外,竞赛题型的差异非常大。国内的竞赛主要兴起于高校之中,毕竟我国现在约有 58 所大学开设有信息安全本科专业 (但实际我个人是反对在高校本科阶段开设信息安全专业的)。但国内的题目通常出得比较偏向于基础题和实践题,出得相对好点的竞赛题会有模拟搭建出的渗透环境。而国外的题目有两大类题型,一类是 War Game,类似于通关挑战,比较出名的有 Smash The Stack.org。一类是 CTF,如美国著名的 Defcon CTF (Capture The Flag 夺旗赛),有线上资格赛与线下决赛两个环节。线上资格赛通过做题拿到不同的分值,积分前若干名进入线下决赛。决赛中,所有队伍被关在小黑屋里,每个队伍分配一台虚拟机 (VM),上面跑着各种各样的 App 或者 Web,VM 里也随机散布着各个 flag 文件 (得分文件)。比赛开始后,所有队伍相互进攻以及防御,哪个队拿到的 flag 文件多,哪个队获胜。

2010 年在无锡与美国 IDEFENSE 合办的石中剑峰会上,也曾尝试全套引进这样的比赛环境。惭愧的是,居然没有国内战队报名。最终,价值 10 万人民币的比赛设备大奖只能“完璧归赵”。

在实用主义和专家威权主导下,国内竞赛更喜欢偏现实/实际的题型 (我记得北理工早期主办的全国高校安全竞赛比的居然是论文),例如模拟真实的 Web 环境,让你渗透常见的网站平台或办公网络环境等,这也造就了国内黑客的兴趣点和国外的不同。

Defcon CTF Qual 的题目里面有很多小技巧,并蕴含着黑客文化。也许在老外眼里,技术竞赛是一种乐趣,就像我们喜欢看足球世界杯,一次的输赢不重要,更多是一种对竞技的享受。

当然,这也许是因为前些年国际竞赛中中国人面孔较少的原因,其实我猜测也和有些早期的大牛们出身草根,英语不好加上已经成名不屑参与有点关系。但要改变这种大环境的功利主义,似乎是个性感却没有骨肉支撑的怪异事情。安全技术大牛,早年都靠白手起家基本形成了自己的游戏方式,而国内看着热闹却始终不温不火的安全行业,使享受黑客文化的快感就局限在小小的闷骚圈子里,更别提”苟富贵、莫相忘”的吐槽依然是大家日常的调侃口头禅了。

纯粹地享受技术、黑客文化的自由,这种氛围也许还是个漫长的话题。何况我自己在 2000 年就也曾说过,当时,我们还缺乏黑客文化的土壤。

2011 年之后,我和圈子里的朋友也聊过如何举办一场国内的 CTF 竞赛,后来发现要在国内举办一场这样的比赛是何其艰难。CTF 这种类别的竞赛对竞赛者的综合水平要求非常高,这可不是平时玩点脚本、注入、跨站就能迅速适应的。就拿 2011 年江西高校安全竞赛,最后的挂名也是:信息安全软件设计大赛 (主办单位认为用攻防两字太敏感)。

的确,通过之前实际操办和调研的结果看,目前国内安全专业的大学生很少能达到 CTF 的水平,所以我目前趋向先鼓励和支持国内的安全爱好者积极参与国际黑客竞赛,拥有相当一批有实力的玩家战队后,再考虑在国内举办这样的竞赛以进一步吸引国外战队参与。

值得高兴的是,今年 8 月,在全球最顶级的黑客竞赛 DEFCON CTF 上,来自中国的安全宝-蓝莲花战队,延续了他们今年异军突起的神勇,顺利通过资格赛进入总决赛,并取得第 11 名的不俗战绩。9 月,IDF 实验室在车库咖啡举办的第八期黑客文化沙龙,还特意邀请他们来做了分享。

期待未来全世界各国的 CTF,会涌入更多的中国年轻有朝气的面孔。

也许不久的将来,比 DEFCON 48 小时的连续竞赛更酷的 72 小时 CTF 竞赛会在天朝出现。

如果您有疑问或建议,请在下方评论区域留言

遵循 BY-NC-ND 协议

评论功能加载中...