黑客攻防賽：國(guó)內(nèi)外興趣點(diǎn)不同

文/萬(wàn)濤

“我和圈子內(nèi)的朋友也聊過(guò)如何舉辦一場(chǎng)國(guó)內(nèi)的CTF競(jìng)賽，后來(lái)發(fā)現(xiàn)要在國(guó)內(nèi)舉辦一場(chǎng)這樣的比賽是何其艱難，CTF這種類別的競(jìng)賽對(duì)競(jìng)賽者的綜合水平要求非常高，這可不是平時(shí)玩點(diǎn)腳本、注入、跨站就能迅速適應(yīng)的。”

萬(wàn)濤黑客文化倡導(dǎo)者、中國(guó)計(jì)算機(jī)取證專家委員會(huì)成員

記得2006年準(zhǔn)備去參加臺(tái)灣的駭客年會(huì)hitcon，才第一次注意到Wargame這樣的黑客競(jìng)賽方式，聯(lián)想到電玩比賽的酷范，當(dāng)時(shí)就想什么時(shí)候中國(guó)黑客也出現(xiàn)在這樣的國(guó)際競(jìng)技舞臺(tái)上，此后我一直很關(guān)注國(guó)外黑客競(jìng)賽的情況。

黑客競(jìng)賽一直是一個(gè)很特別的存在，尤其是在國(guó)內(nèi)與國(guó)外，競(jìng)賽題型的差異非常大。國(guó)內(nèi)的競(jìng)賽主要是從高校開(kāi)始的，畢竟我國(guó)現(xiàn)在60所左右大學(xué)開(kāi)設(shè)有信息安全本科專業(yè)。但國(guó)內(nèi)的題目通常出得比較偏向于基礎(chǔ)題和實(shí)踐題，出得相對(duì)好點(diǎn)的競(jìng)賽題會(huì)有模擬搭建出的滲透環(huán)境。而國(guó)外的題目有兩大類型，一類是 Wargame，類似于通關(guān)挑戰(zhàn)，比較出名的有 SmashTheStack.org，2011年IDF實(shí)驗(yàn)室在負(fù)責(zé)支持江西全省高校安全競(jìng)賽的時(shí)候，也曾嘗試過(guò)，有所突破把這類題加入，但事前調(diào)研結(jié)果發(fā)現(xiàn)基本上可能只有少數(shù)學(xué)生能玩而放棄。

一類是CTF，如美國(guó)著名的Defcon CTF（Capture The Flag 奪旗賽），有線上資格賽與線下決賽兩個(gè)環(huán)節(jié)。線上資格賽以做題拿到不同的分值，積分前x名進(jìn)入線下決賽。決賽所有的隊(duì)伍被關(guān)在小黑屋里，每個(gè)隊(duì)伍分配一臺(tái) VM，上面跑著各種各樣的 App或者 Web，VM 里也隨機(jī)散布著各個(gè) Flag 文件（得分文件）。比賽開(kāi)始后，所有隊(duì)伍相互進(jìn)攻以及防御，哪個(gè)隊(duì)拿到的Flag 文件多，哪個(gè)隊(duì)獲勝。2010年在無(wú)錫與美國(guó)IDEFENSE合辦的石中劍峰會(huì)上也曾嘗試全套引進(jìn)了這樣的比賽環(huán)境，慚愧的是居然沒(méi)有國(guó)內(nèi)戰(zhàn)隊(duì)報(bào)名，最終價(jià)值10萬(wàn)人民幣的比賽設(shè)備大獎(jiǎng)只能“完璧歸趙”。

圖 CTF比賽形式

信息安全認(rèn)證炙手可熱

2013年，美國(guó)企業(yè)發(fā)布了5000個(gè)CISSP認(rèn)證信息安全專家招聘職位，但美國(guó)市場(chǎng)總共只有6萬(wàn)名CISSP認(rèn)證持有者，這意味著相當(dāng)多的企業(yè)需要激烈爭(zhēng)奪少數(shù)處于“轉(zhuǎn)會(huì)市場(chǎng)”的CISSP認(rèn)證安全專家。

刺激CISSP等信息安全認(rèn)證的另外一個(gè)重大事件是今年2月白宮發(fā)布了美國(guó)國(guó)家信息安全指導(dǎo)規(guī)范——《提升美國(guó)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架規(guī)范》。這是棱鏡門事件后，美國(guó)官方機(jī)構(gòu)首次系統(tǒng)提出的新形勢(shì)下的國(guó)家信息安全指導(dǎo)規(guī)范，也是奧巴馬政府2013年啟動(dòng)的保護(hù)關(guān)鍵基礎(chǔ)設(shè)施信息安全戰(zhàn)略的第一個(gè)基礎(chǔ)性文件。

文件將美國(guó)關(guān)鍵基礎(chǔ)設(shè)施信息安全防護(hù)體系框架模型分為識(shí)別、保護(hù)、偵測(cè)、響應(yīng)和恢復(fù)五個(gè)層面，其中每個(gè)層面都明確對(duì)應(yīng)COBIT5、ISO/IEC 27001等安全標(biāo)準(zhǔn)認(rèn)證。這意味著市場(chǎng)對(duì)相關(guān)信息安全認(rèn)證人才的需求將持續(xù)增長(zhǎng)。

殘酷的現(xiàn)實(shí)是，國(guó)內(nèi)的競(jìng)賽更喜歡偏現(xiàn)實(shí)/實(shí)際的題型（記得有的高校早期主辦的全國(guó)高校安全競(jìng)賽比的居然是論文），例如模擬真實(shí)的Web環(huán)境，讓你滲透常見(jiàn)的網(wǎng)站平臺(tái)或辦公網(wǎng)絡(luò)環(huán)境等，也造就了國(guó)內(nèi)黑客的興趣點(diǎn)和國(guó)外的不同。Defcon CTF Qual的題目里面有很多小技巧或者黑客文化。也許在老外眼里，技術(shù)競(jìng)賽是一種樂(lè)趣，就像我們喜歡看足球世界杯，一次的輸贏不重要，更多是一種對(duì)競(jìng)技的享受。這完全稀釋了我過(guò)去經(jīng)歷中太多的社會(huì)意識(shí)和民族情結(jié)，能感受到很純粹的黑客文化以及與黑客的那種兵不厭詐，不拘一格，打破常規(guī)的思維方式。

當(dāng)然也許這也是前些年國(guó)際競(jìng)賽中中國(guó)人面孔較少的原因,因而每每出席國(guó)際黑客會(huì)議交流時(shí)常被他們問(wèn)及這類問(wèn)題。

但要改變這種大環(huán)境的功利主義，就和以前我倡導(dǎo)的“刺刀上帶著思想”一樣，似乎是個(gè)性感卻沒(méi)有骨肉支撐的事情。安全技術(shù)大牛，早年都靠自己白手起家基本形成了自己的游戲方式，而國(guó)內(nèi)看著熱鬧卻始終不溫不火的安全行業(yè)，使享受黑客文化的快感就局限在小小的悶騷圈子里。很純粹地享受技術(shù)、黑客文化的自由這種氛圍也許還是個(gè)漫長(zhǎng)的話題。

2011年之后，我和圈子內(nèi)的朋友也聊過(guò)如何舉辦一場(chǎng)國(guó)內(nèi)的CTF競(jìng)賽，后來(lái)發(fā)現(xiàn)要在國(guó)內(nèi)舉辦一場(chǎng)這樣的比賽是何其艱難，CTF這種類別的競(jìng)賽對(duì)競(jìng)賽者的綜合水平要求非常高，這可不是平時(shí)玩點(diǎn)腳本、注入、跨站就能迅速適應(yīng)的。就拿2011年江西高校安全競(jìng)賽來(lái)說(shuō)，通過(guò)之前實(shí)際操辦和調(diào)研的結(jié)果表明，目前國(guó)內(nèi)安全專業(yè)的大學(xué)生是很少能達(dá)到這種水平的（希望這個(gè)階段就快被快速超越），所以我目前趨向先鼓勵(lì)和支持國(guó)內(nèi)的安全愛(ài)好者積極參與國(guó)際黑客競(jìng)賽，以形成相當(dāng)一批有實(shí)力的戰(zhàn)隊(duì)玩家后再考慮在國(guó)內(nèi)舉辦這樣的競(jìng)賽以進(jìn)一步吸引國(guó)外戰(zhàn)隊(duì)參與。也許不久的將來(lái)，比DEFCON 48小時(shí)的連續(xù)競(jìng)賽更酷的72小時(shí)CTF競(jìng)賽會(huì)在國(guó)內(nèi)出現(xiàn)。

期待未來(lái)全世界各國(guó)的CTF，會(huì)涌入更多的來(lái)自中國(guó)的年輕有朝氣的面孔。