IT时报 -V4 新闻产业-
4新闻产业
  • ·带你走进网络安全大神们的世界

别被韩商言迷惑了,真实的CTF大赛原来是这样的

带你走进网络安全大神们的世界

真实网络安全比赛场景(左)VS剧中CTF比赛镜头

图东方IC

  

IT时报记者孙妍IT时报见习记者李玉洋
  耳机?电竞座椅?炫酷的队服?精心打理的发型?坚毅的眼神?谁说一个CTF选手最好的黄金年龄就只有6年?
  电视剧《亲爱的,热爱的》的热播,让神秘的CTF(俗称网络安全大赛)第一次出现在荧幕上,很多“上头姐妹”都想要组团找打CTF的男朋友,觉得这群白帽子黑客简直就是“天选之人”。
  这一切仿佛都在宣告着:CTF已成功冲破网络安全壁垒,成功出圈了!但是,真正的CTF圈网络安全大神们却对剧中选手的设定吐槽不断,墨宝非宝原著《蜜汁炖鱿鱼》中,男主韩商言是一位电竞选手,电视剧直接将电竞改编成CTF,难免与真实的CTF有很大的差距。
  差距有这么大?颜值不是我们讨论的重点,他们聪明,但未必“绝顶”。《IT时报》记者采访了多位CTF选手和领队,还原一个真实的CTF选手日常。
训练比赛日常舞台、发型VS光膀、拖鞋
  剧中,韩商言带领一批年轻人训练备战比赛,他们的日常是晨跑5公里,吃盒饭,课间休息时测个手速;比赛时,台上都是顶配的电脑、键盘、耳麦和座椅,短短几分钟就成功攻破对方的服务器,美女主播、粉丝呐喊汇集成选手们的高光时刻。
  最重要的是,每个选手的发型都经过精心打理,永远有型。
  对此,CTF专业选手、腾讯eee战队成员阿左表示,听说这部剧原先是讲电竞的,后期重新配音,硬改成了CTF。他所在的腾讯eee战队在中国网络安全领域颇有名气,是拿到Defcon外卡资格三个战队之一,其他两支战队是Tea Deliverers和r3kapig。
  阿左说,真实的CTF一个比赛打48小时,常常是连轴转,别说是发型了,常常是光着膀子,踩着拖鞋。因为赛场很嘈杂,很多战队会选择在酒店里做题,决赛的房间常常惨不忍睹,昨晚吃剩的外卖没有扔,床上、地上都能找到几双臭袜子。
  相比电竞比赛,CTF没法直播,因为CTF没有直观的画面。假如真有直播,那不是在给其他选手抄答案吗!真实的CTF选手常常坐上一天,题都没解出来,观众还会有耐心吗?
  上海交通大学0ops战队web选手Waderwu,大二时参加了第一次比赛0CTF/ TCTF 2017,目前已接触CTF比赛两年多时间。
  吃饭全靠外卖,比赛全靠熬夜,这是真实的CTF比赛日常。“有时一比就是几周,每天睡一两个小时,一场比赛下来,要连睡一两天才能回血。”他坦言,虽然电视剧和真实CTF的比赛、训练日常有着天壤之别,但相似的是比赛的高光时刻,逆风翻盘、最后绝杀时常上演,比如腾讯eee战队在两次强网杯中,刚开始都不是第一,到最后一天下午的时候才翻盘;r3kapig在今年的OCTF中,也是最后时刻才拿到第一。
  复旦大学Whitzard战队队员Hdt打CTF时间更长,他于2014年开始接触CTF,前后参加过几十次大大小小CTF赛事。他告诉《IT时报》记者:“与电视剧里头戴专业耳机、坐着电竞椅、用着高配电脑的CTF选手很不一样,我们用于比赛的设备基本是自带的,而且只要一台普通配置的笔记本就可以了;比赛也并不是两个队伍之间的较量,而是至少10支队伍的大混战。”
  MozhuCY是南京邮电大学计算机科学与技术专业大二学生,同时也是X1cT34m南邮校队和SU江苏省联队的成员,参加过XCTF Final、Real World CTF、强网杯等CTF比赛,擅长解逆向题,攻防战主要负责修洞。“喜欢CTF可能就和一个人为什么喜欢玩游戏一样,做出题目的感觉和玩游戏通关是同一种感觉。比如,比赛时拿到一血(first blood)、awd时成功攻击了别队以及每次打比赛都能认识、面基新师傅,这都是比较有趣、好玩的事儿。”
选手职业生涯黄金期只有六年VS大叔“廉颇”尚能饭否
  “过去两年零三个月,赢过、输过、笑过、哭过……被质疑、被绯闻、被非议、被黑幕从未辩解,无须辩解。今夜华筵终散场,功成名遂,满目荒唐。”这是剧中韩商言的退役宣言。
  韩商言及其solo战队在电视剧里被封了神。剧中对网络安全高手们的设定大多来自电竞选手,比如超过30岁就不得不退役,因为打比赛需要极高的反应速度,退役后生活惨淡,曾经的全国冠军队成员小米只能回家开超市。
  其实,现实中的CTF选手根本没有这样的限制,国外战队常常会出现四五十岁的程序员参加CTF比赛,优秀的CTF高手还会被国内外互联网巨头揽入麾下。
  对此,阿左表示:“6年,应该说的是电竞选手,CTF选手似乎没有明确的年龄界限,我从第一次打CTF到现在已经超过6年。可能有一些高中生因为兴趣参加CTF,但是真正在世界级的CTF比赛中没有年纪特别小的选手。”
  MozhuCY也觉得年龄不是问题。他的学长homura 一开始在东南大学医学系学医,后来想学计算机,退学并开始漫长的复读、高考,考上了南京邮电大学,“他现在已24岁了,不过年龄不是问题,上场照样秒题。”
  Waderwu则表示,CTF圈的人员流失也很严重,有被封神的人,比如217的orangetw橘子哥,破解iPhone第一人美国PPP战队的大神Geohot,他们在圈内被称为“大佬”,也被称为“师傅”。
  现实中的CTF正来到最好的时代,顶级战队能拿到腾讯、京东等互联网巨头的赞助,在各种报告中,中国网络信息安全人才的缺口在逐年加大,这也让CTF选手变得更加吃香。一些调研数据显示,2018年初,人才缺口为70万,2021年,网安人才的缺口将达350万。互联网巨头有意识地通过比赛来寻觅优秀的网安人才。
功成身退之后老板、主播VS领队教练
  通往顶级CTF选手的道路是漫长且孤独的。没有人自愿选择单身,不过他们都需要一个像剧中女主角鱿小鱼一样“不作”的女朋友,能够理解他们远大的梦想,理解他们站上世界舞台前的灰暗时刻。
  在鱿小鱼出现之前,韩商言的世界里只有两个字——冠军,身披国旗,站在世界的舞台上,是他最大的梦想。现实中,中国CTF选手也逐渐显露头角,迈进了世界第一梯队。在权威的CTFtime战队排行榜上,也有中国队伍的身影。
  2017年,复旦大学六星战队、上海交通大学0ops战队、浙江大学AAA战队与腾讯eee战队组成联合战队“A*0*E战队”,首次代表中国参加DEFCON,击败众多对手获得季军,成为中国CTF历史上的高光时刻。
  剧中的传奇战队——solo,每一位成员都有归宿,且都回到了CTF这个圈子,他们或担任俱乐部老板,或担当战队领队,或站上主播台,或在比赛场上坚持到打不动的那一天。
  在现实中,也有那么一群人,正在为中国CTF事业培养新鲜血液。
  上海交通大学网络信息中心副主任姜开达,作为上海交大0ops战队领队,指导0ops安全技术战队参与国内外安全竞赛,并参与主办一系列高水平网络安全竞赛。“我从2013年就开始指导学生打CTF比赛,对于那些坚持打CTF比赛的学生,我的观察是,他们不仅要对CTF很感兴趣,而且自学能力要强。”姜开达表示,队员平时训练主要分为两种方式:周一到周五,队员之间会采取“以老带新”的方式进行训练,也就是老队员带着新队员讲解解题思路、梳理知识点等;周末两天,主要采取“以赛代练”的方式,让队员们从比赛中获得实战技能。
  业余时间,队员除了练习课题外,还会打打游戏,也有女生打CTF。“找对象的话,还是要找有共同语言的,不然就很无趣了。”姜开达说。
  复旦大学软件学院教师陈辰,作为复旦大学六星战队指导教师,带领六星战队参与国内外的许多信息安全竞赛,并取得优异成绩。他告诉《IT时报》记者,自己从2014年开始接触CTF,从CTF教学、课程建设、人才培养等方面入手;复旦大学计算机学院组建信息安全竞赛战队,学校会为战队提供3个指导老师,但由于CTF比赛涉及的知识点太多,也会请其他专家做报告。CTF比赛的题目综合性、灵活性更强,也更贴近生活,很多题目都是从没遇到过的、没有标准答案的。“所以,打CTF比赛的选手都是那些能力强、拔尖的一部分人。”陈辰说。TIPS
CTF知识点
  CTF(Capture The Flag)比赛中文名称为夺旗赛,是网络安全技术人员之间进行技术竞技的一种比赛,起源于1996年在拉斯维加斯举办的DEFCON全球黑客大会,举办目的是代替之前黑客们互相发起的真实攻击,以技术比拼的方式切磋技艺。
  CTF有多种模式,可融合多种题型和应用场景。具体规则为:参赛队伍通过攻防对抗、程序分析等形式,率先找到主办方在比赛中设置的内容(又称Flag)并提交给裁判,就能夺得分数。
  经过20年左右的发展,如今每年的高水平国际CTF安全竞赛有近百个,当下,CTF已经成为全球网络安全领域流行的竞赛形式,而DEFCON作为CTF赛制的发源地,也被认为是目前全球最有影响力的CTF,被称之为CTF赛场中的“世界杯”。
  CTF圈里还有一些暗语、话术,除了tcl(太菜了),还有像tql(太强了)、ddw(带带我)和awsl(啊我死了)等。要成为一名CTF比赛选手,需要具备一定的编程、阅读代码、逆向分析、漏洞攻击等能力,这个门槛可不低。