IT时报 -V9 时报独家-
9时报独家
  • ·三支中国战队登顶“极客全明星赛”

三支中国战队登顶“极客全明星赛”

腾讯借赛“储备”顶尖安全人才

  

IT时报记者郝俊慧
  三支中国战队登顶!
  6月9日下午4点,当倒计时针停留在0:00分时,上海西岸艺术中心B1馆内响起一阵欢呼声,经过30小时鏖战,有着“极客全明星赛”之称的第三届腾讯信息安全争霸赛(Tencent Capture The Flag,简称TCTF)终于决出本届冠军——来自中国的r3kapig战队问鼎国际赛(0CTF)。更令人惊喜的是,来自中国台北的Balsn战队和中国Tea Deliverers分获亚军和季军,本届TCTF前三甲被中国战队囊括,而上一届TCTF中国战队无一进入前三。
  当日问鼎的还有复旦大学Whitzard战队,获得TCTF面向国内高校的新星邀请赛(RisingStar CTF)冠军,这也是他们首次闯入TCTF决赛。
  “这个结果有其必然性,随着越来越多中国战队参与国际顶尖赛事,从发展的规律看,‘以赛代练’,成绩自然越来越好。”上海交通大学网络信息中心副主任姜开达如是说。
  作为赛事主办方,通过连续三年举办TCTF,腾讯逐渐摸索出一条发现、培养、转化的网络安全人才培养生态链,从而为“拥抱产业互联网”的自己和传统企业,储备足够多的“种子”。
惊心动魄最后一小时
  5146、5091、5068……这是一场没有硝烟、惊心动魄的比赛,最后一小时,前三甲已将第四名远远甩开近1000分,决胜局在三支中国队伍之间展开,第一宝座几经更迭,直至最后10分钟,r3kapig成功解出一题,实现完美逆袭,而三甲间的最后得分差不超过100分。
  CTF(Capture The Flag),即所谓夺旗赛,是属于极客们的游戏,比赛时,每解出一道题目,便可以在桌前插一个旗帜,旗的大小、颜色分别代表不同的解题速度和分值。世界上最有名的CTF大赛,是在美国拉斯维加斯举办的顶级极客大赛DEFCON CTF,被誉为CTF中的“世界杯”,全球极客团队要闯过层层关卡,才可能最后进入总决赛。
  作为中国最专业、规模最大的CTF赛事之一,TCTF连续三年取得DEFCONCTF中国大陆外卡赛,r3kapig以5146高分获得全球直通DEF CON CTF最后一张入场券。
  新星邀请赛则是TCTF面向全国高校的平行赛事,赛题与国际赛一样,今年入围最后决赛阶段的12支战队分别来自复旦大学、上海交通大学、西安电子科技大学、北京航空航天大学等高校,其中不乏曾多次在国际大赛取得好成绩的战队,但最后胜出的黑马却是成立刚刚一年的复旦白泽战队,以超过3000分的成绩夺冠,堪称本届最大的“黑马”。
“硬核”赛题挑战未知
  “赛题特别难。”谈及今年TCTF,几支战队不约而同地发出感叹。
  刷题无用,这可能是CTF类比赛最大的魅力。与普通考试不同,CTF更强调挑战未知。考核的重点在于战队能否在限定的时间里,调动所有资源,快速学会新知并解决问题,而高质量的试题,正是TCTF吸引全球顶级战队参加的重要原因之一。
  据了解,TCTF 2019采用符合国际标准的解题模式,由腾讯安全联合实验室和上海交大的0ops安全团队联合出题,贴合当前产业互联网的安全场景,创新性地融入了云安全、物联网等热门安全领域的试题,在考察技术能力的同时,能够让参赛者挑战和体验真实世界网络安全攻防技术,从而提升安全攻防实战水平。
  新星邀请赛冠军白泽战队成员——复旦大学研二学生王政和告诉记者,比赛中他们便遇到了一道和物联网相关的题目——攻破一个家用路由器,因为其采用的Nips架构,战队成员此前并没有太多接触过,因此需要迅速找到相关反编译工具,通过快速学习后找出解题方法。另一位r3kapig战队成员则表示,TCTF的赛题往往是腾讯将实际场景中遇到的问题,抽象化后形成题目,然后让选手根据出题人的思路学习相关知识,这样一边比赛,一边可以深入理解安全某方面的知识点。“在高水平的比赛中,我们可能会出一些引导性的题目,希望引导大家不仅仅关注传统互联网安全,也能够更关注物联网、车联网等其他网络架构的安全。”姜开达认为,引导性是TCTF出题很重要的原则。
以赛代练淡化“知识边界”
  极客圈,自古英雄出少年。
  冠军战队r3kapig中,一名选手看起来要比战友们稚气许多,刚刚参加完高考的他,6月9日一早便从老家四川飞到上海,参加决赛日的比赛,虽然只是高中生,但他在CTF解题上的热情比许多“哥哥”队友们还要多。
  当然,本科生和研究生还是TCTF战队的主力军,对他们来说,“以赛代练”有更为实际的意义——理论与实践相结合,真正掌握网络安全技术,让自己的未来之路越走越宽。
  据不完全统计,目前全国大约只有30多所高校开设信息安全专业,这并不是一门单纯的计算机专业,而是涉及计算机、通信、数学、物理、法律、管理等多方面的交叉学科,因此对师资的要求非常高。但即便是国内像上海交大、复旦大学这样的名校,老师在授课时也往往会感觉与实践脱钩。“以赛代练”恰恰是一种产学研三位一体的教学方式。王政和告诉《IT时报》记者,比赛可以让他们接触到学校内不太可能遇到的特殊情况,而赛题也大多与实践有关,甚至会由某则与安全漏洞相关的新闻演化而来,这让他们与象牙塔之外的真实世界近了许多。
中国战队逐渐攻占顶尖赛事
  本届TCTF前三甲都是中国战队,在姜开达看来,出现这个结果,既有赛题、团队成员、专长领域等偶然因素,但也与中国战队这几年越来越多地参加国际顶尖赛事有必然联系。
  翻看这几支战队的此前战绩,大多在国际顶尖赛事中拥有骄人战绩。
  冠军r3kapig是由新锐战队Eur3kA与老牌CTF战队Flappypig战队组成的联合战队,其履历表里更是一长串奖项:XCTF2018总决赛冠军、Baidu CTF2018亚军、在国际知名CTF比赛hack.lu CTF季军等等。
  参加本届新星邀请赛的上海交大0ops战队和复旦六星战队,此前连续两年与腾讯科恩实验室联合组队参加DEFCON CTF,去年获得第四名的好成绩,今年7月底8月初,联合战队将再次踏上征程。
  更耀眼的战队是今年TCTF的出题方——著名的腾讯eee战队,2018年,eee横扫国内三大网络安全国家级赛事——“强网杯”“护网杯”“网鼎杯”,今年5月底刚刚结束第三届“强网杯”线上赛中,eee战队更是蝉联冠军。
  如此“攻击力爆棚”的eee战队,其队长谢天忆便来自上海交大0ops战队,毕业之后进入科恩实验室工作。今年,复旦也有两名战队成员进入科恩实验室,他们都是典型由校企合作体系培养出的顶尖人才。