CTF競賽浪潮來襲!

1992年，我偶然進入信息安全領域，隨著互聯網的興盛，我在IRC的聊天室里開始接觸國外的黑客圈子。但第一次真正意義上和他們在海外見面交流，是2012年去日本、韓國的時候。

國內媒體在2001年中美黑客大戰之后，開始關注這個特殊的群體。但最初基本是文藝調調的喧囂和口水，或是在網絡愛國憤青和網絡犯罪這兩極間搖擺。因此，大眾對這個群體要么是充滿好奇，要么是鄙夷排斥不以為然。

2006年，我曾想去參加臺灣的駭客年會hitcon，因此第一次注意到WarGame這樣的黑客競賽方式，聯想到電玩比賽的酷范兒，當時就想什么時候中國黑客也應出現在這樣的競技舞臺上，這才是黑客文化最酷最直接的對話方式。所以此后我一直很關注國外黑客競賽的情況。

但實際上，黑客競賽一直是一個很特別的存在，而且無論國內外，競賽題型的差異非常大。

國內的競賽主要興起于高校之中，畢竟我國現在約有58所大學開設有信息安全本科專業（但實際我個人是反對在高校本科階段開設信息安全專業的）。但國內的題目通常出得比較偏向于基礎題和實踐題，出得相對好點的競賽題會有模擬搭建出的滲透環境。

而國外的題目有兩大類題型，一類是Wargame，類似于通關挑戰，比較出名的有 SmashTheStack.org。一類是CTF，如美國著名的Defcon CTF（Capture The Flag 奪旗賽），有線上資格賽與線下決賽兩個環節。線上資格賽通過做題拿到不同的分值，積分前若干名進入線下決賽。

決賽中，所有隊伍被關在小黑屋里，每個隊伍分配一臺虛擬機（VM），上面跑著各種各樣的 App 或者 Web，VM 里也隨機散布著各個 flag 文件（得分文件）。比賽開始后，所有隊伍相互進攻以及防御，哪個隊拿到的 flag 文件多，哪個隊獲勝。

2010年在無錫與美國IDEFENSE合辦的石中劍峰會上，也曾嘗試全套引進這樣的比賽環境。

慚愧的是，居然沒有國內戰隊報名。最終，價值10萬人民幣的比賽設備大獎只能“完璧歸趙”。

在實用主義和專家威權主導下，國內競賽更喜歡偏現實/實際的題型（我記得北理工早期主辦的全國高校安全競賽比的居然是論文），例如模擬真實的web環境，讓你滲透常見的網站平臺或辦公網絡環境等，這也造就了國內黑客的興趣點和國外的不同。

Defcon CTF Qual的題目里面有很多小技巧，并蘊含著黑客文化。也許在老外眼里，技術競賽是一種樂趣，就像我們喜歡看足球世界杯，一次的輸贏不重要，更多是一種對競技的享受。

當然，這也許是因為前些年國際競賽中中國人面孔較少的原因，其實我猜測也和有些早期的大牛們出身草根，英語不好加上已經成名不屑參與有點關系。但要改變這種大環境的功利主義，似乎是個性感卻沒有骨肉支撐的怪異事情。

安全技術大牛，早年都靠白手起家基本形成了自己的游戲方式，而國內看著熱鬧卻始終不溫不火的安全行業，使享受黑客文化的快感就局限在小小的悶騷圈子里，更別提“茍富貴、莫相忘”的吐槽依然是大家日常的調侃口頭禪了。

純粹地享受技術、黑客文化的自由，這種氛圍也許還是個漫長的話題。何況我自己在2000年就也曾說過，當時，我們還缺乏黑客文化的土壤。

2011年之后，我和圈子里的朋友也聊過如何舉辦一場國內的CTF競賽，后來發現要在國內舉辦一場這樣的比賽是何其艱難。CTF這種類別的競賽對競賽者的綜合水平要求非常高，這可不是平時玩點腳本、注入、跨站就能迅速適應的。

就拿2011年江西高校安全競賽，最后的掛名也是：信息安全軟件設計大賽（主辦單位認為用攻防兩字太敏感）。

的確， 通過之前實際操辦和調研的結果看，目前國內安全專業的大學生很少能達到CTF的水平，所以我目前趨向先鼓勵和支持國內的安全愛好者積極參與國際黑客競賽，擁有相當一批有實力的玩家戰隊后，再考慮在國內舉辦這樣的競賽以進一步吸引國外戰隊參與。

值得高興的是，今年8月，在全球最頂級的黑客競賽DEFCON CTF上，來自中國的安全寶-藍蓮花戰隊，延續了他們今年異軍突起的神勇，順利通過資格賽進入總決賽，并取得第11名的不俗戰績。9月，IDF實驗室在車庫咖啡舉辦的第八期黑客文化沙龍，還特意邀請他們來做了分享。

期待未來全世界各國的CTF，會涌入更多的中國年輕有朝氣的面孔。

也許不久的將來，比DEFCON 48小時的連續競賽更酷的72小時CTF競賽會在天朝出現。