黑客攻防賽：國內外興趣點不同

文/萬濤

“我和圈子內的朋友也聊過如何舉辦一場國內的CTF競賽，后來發現要在國內舉辦一場這樣的比賽是何其艱難，CTF這種類別的競賽對競賽者的綜合水平要求非常高，這可不是平時玩點腳本、注入、跨站就能迅速適應的。”

萬濤黑客文化倡導者、中國計算機取證專家委員會成員

記得2006年準備去參加臺灣的駭客年會hitcon，才第一次注意到Wargame這樣的黑客競賽方式，聯想到電玩比賽的酷范，當時就想什么時候中國黑客也出現在這樣的國際競技舞臺上，此后我一直很關注國外黑客競賽的情況。

黑客競賽一直是一個很特別的存在，尤其是在國內與國外，競賽題型的差異非常大。國內的競賽主要是從高校開始的，畢竟我國現在60所左右大學開設有信息安全本科專業。但國內的題目通常出得比較偏向于基礎題和實踐題，出得相對好點的競賽題會有模擬搭建出的滲透環境。而國外的題目有兩大類型，一類是 Wargame，類似于通關挑戰，比較出名的有 SmashTheStack.org，2011年IDF實驗室在負責支持江西全省高校安全競賽的時候，也曾嘗試過，有所突破把這類題加入，但事前調研結果發現基本上可能只有少數學生能玩而放棄。

一類是CTF，如美國著名的Defcon CTF（Capture The Flag 奪旗賽），有線上資格賽與線下決賽兩個環節。線上資格賽以做題拿到不同的分值，積分前x名進入線下決賽。決賽所有的隊伍被關在小黑屋里，每個隊伍分配一臺 VM，上面跑著各種各樣的 App或者 Web，VM 里也隨機散布著各個 Flag 文件（得分文件）。比賽開始后，所有隊伍相互進攻以及防御，哪個隊拿到的Flag 文件多，哪個隊獲勝。2010年在無錫與美國IDEFENSE合辦的石中劍峰會上也曾嘗試全套引進了這樣的比賽環境，慚愧的是居然沒有國內戰隊報名，最終價值10萬人民幣的比賽設備大獎只能“完璧歸趙”。

圖 CTF比賽形式

信息安全認證炙手可熱

2013年，美國企業發布了5000個CISSP認證信息安全專家招聘職位，但美國市場總共只有6萬名CISSP認證持有者，這意味著相當多的企業需要激烈爭奪少數處于“轉會市場”的CISSP認證安全專家。

刺激CISSP等信息安全認證的另外一個重大事件是今年2月白宮發布了美國國家信息安全指導規范——《提升美國關鍵基礎設施網絡安全的框架規范》。這是棱鏡門事件后，美國官方機構首次系統提出的新形勢下的國家信息安全指導規范，也是奧巴馬政府2013年啟動的保護關鍵基礎設施信息安全戰略的第一個基礎性文件。

文件將美國關鍵基礎設施信息安全防護體系框架模型分為識別、保護、偵測、響應和恢復五個層面，其中每個層面都明確對應COBIT5、ISO/IEC 27001等安全標準認證。這意味著市場對相關信息安全認證人才的需求將持續增長。

殘酷的現實是，國內的競賽更喜歡偏現實/實際的題型（記得有的高校早期主辦的全國高校安全競賽比的居然是論文），例如模擬真實的Web環境，讓你滲透常見的網站平臺或辦公網絡環境等，也造就了國內黑客的興趣點和國外的不同。Defcon CTF Qual的題目里面有很多小技巧或者黑客文化。也許在老外眼里，技術競賽是一種樂趣，就像我們喜歡看足球世界杯，一次的輸贏不重要，更多是一種對競技的享受。這完全稀釋了我過去經歷中太多的社會意識和民族情結，能感受到很純粹的黑客文化以及與黑客的那種兵不厭詐，不拘一格，打破常規的思維方式。

當然也許這也是前些年國際競賽中中國人面孔較少的原因,因而每每出席國際黑客會議交流時常被他們問及這類問題。

但要改變這種大環境的功利主義，就和以前我倡導的“刺刀上帶著思想”一樣，似乎是個性感卻沒有骨肉支撐的事情。安全技術大牛，早年都靠自己白手起家基本形成了自己的游戲方式，而國內看著熱鬧卻始終不溫不火的安全行業，使享受黑客文化的快感就局限在小小的悶騷圈子里。很純粹地享受技術、黑客文化的自由這種氛圍也許還是個漫長的話題。

2011年之后，我和圈子內的朋友也聊過如何舉辦一場國內的CTF競賽，后來發現要在國內舉辦一場這樣的比賽是何其艱難，CTF這種類別的競賽對競賽者的綜合水平要求非常高，這可不是平時玩點腳本、注入、跨站就能迅速適應的。就拿2011年江西高校安全競賽來說，通過之前實際操辦和調研的結果表明，目前國內安全專業的大學生是很少能達到這種水平的（希望這個階段就快被快速超越），所以我目前趨向先鼓勵和支持國內的安全愛好者積極參與國際黑客競賽，以形成相當一批有實力的戰隊玩家后再考慮在國內舉辦這樣的競賽以進一步吸引國外戰隊參與。也許不久的將來，比DEFCON 48小時的連續競賽更酷的72小時CTF競賽會在國內出現。

期待未來全世界各國的CTF，會涌入更多的來自中國的年輕有朝氣的面孔。