“China!the winner of DEF CON 28 CTF isA*0*E from China!”结果宣布那一刻,上海一群守候在会议室的CTF选手爆发出了一阵欢呼。这是中国在CTF领域最高水平赛事DEF CON CTF上夺得的第一个冠军。这一天,中国网络安全已经等待了很多年。
图 | 第28届DEF CON CTF主办方宣布中国战队夺冠)
CTF(CaptureThe Flag,夺旗赛),一种流行于网络安全技术人员之间的技术竞赛,常见有两种模式,解题赛和攻防赛。在解题赛中,题目通常分为Web、Crypto(密码学)、Pwnable、Reversing(逆向)等几种类型,选手通过解题获得一串具有一定格式的字符串——也就是flag,将flag提交给主办方就可以获得积分;而在攻防赛中,参赛者需要在一场比赛里扮演攻击方和防守方,攻者得分,失守者会被扣分,攻击对手的服务获取 Flag 的同时,也要保护自己的服务以防扣分。从2017年开始,由腾讯安全主办、科恩实验室承办的腾讯信息安全争霸赛(TCTF)已经走过了第五个年头。5年间,TCTF吸引了来自中国、美国、俄罗斯、日本、波兰、韩国、德国、英国等5000多支战队参赛,为中国年轻网络安全人才提供了一个和全球顶尖强队切磋、交流的平台,也为国内网络安全行业输送了大量人才储备。中国CTF比赛突飞猛进式的发展中,科恩实验室发挥了无可替代的作用,他们在五年间历经风雨,初心不改,打造了中国最顶尖的CTF赛事TCTF。本期显微故事采访了科恩实验室的三位成员,试图探寻中国网络安全未来的发展方向。以下是关于他们的真实故事:
9月25日,在经历了残酷的初赛筛选后,TCTF 2021迎来了最终决赛。比赛现场,选手们的电脑屏幕上飘满了代码,各式各样的顶尖设备熠熠发光,选手们宛如弹钢琴般,敲击的速度赶不上大脑的运转,与此同时,更强大的对手远在几千公里的欧美,他们依靠云服务器开展着激烈的对抗。“用自己擅长的事情去和黑产作斗争,是一件充满荣誉感的事情。”解出题目的他们笑容满面,最能给他们带来快乐的,不是名次,而仅仅是谜题本身。
经历48小时鏖战后,来自英国的organizers战队凭借6668分的总积分,从12支全球极客强队中脱颖而出;而新星邀请赛的冠军,则由在赛事中持续保持领先优势的浙江大学AAA战队获得。
这一首鼓舞人心的极客战歌能够谱写,其中有一个关键性的人物:科恩实验室的总负责人——吴石,网络安全方面的鼻祖人物,截止到2016年,是全球计算机漏洞发现和报告最多的人,被福布斯杂志评价“发现的漏洞比苹果整个安全团队的两倍还多”。2013年,从微软辞职的吴石加入了KEEN Team,2014 年 1 月,Keen Team 正式加盟腾讯,2016 年正式成立“科恩实验室”。腾讯对加盟的网络安全方面的人才极为重视:整个腾讯目前 16 级以上的专家只有 3 位,吴石是其中之一。“选择加入腾讯是当时最优的选择”。腾讯给科恩最初的定位是基于 Keen Team 的漏洞挖掘能力,只需要负责支持公司的内部产品安全,没有明确的KPI 考核限制。利好政策刚开始推行,行业蓝海亟待开拓,需要先驱者探路,让网络安全快速破圈,打出知名度。在刚进入腾讯时,领导希望吴石能够组建一支比较大的网络安全研究团队,吴石在全世界探寻,也只找到了十个人。“这个行业是极度缺人的,行业出现了很严重的断层,如果大家都只喝水而不挖井的话,每个人都会被饿死。”2014年前后,吴石发现了CTF比赛,“就像发现了金子一样”,他自己找了很多赛事的题目练习,发现比赛其实是实际的简化版,“如果CTF能够做好的,原则上做实际的工作也不会问题。”网络安全专业的教材可以引入,知识可以引入,但是能力难以复制的,而恰好在CTF赛事中可以明显地看出选手的动手能力。图 | 参与CTF的选手们
“应该从CTF比赛里选拔人才,而不是靠单纯学校的成绩、写论文。”吴石便开始密切关注这个领域,并且发现和当时举办CTF比赛的高校保持联系。2016年,吴石向他的老板、腾讯副总裁丁珂表达了想要办CTF赛事的意愿,得到了后者的大力支持。此时背靠腾讯这座大树,科恩实验室的预算、人力、资源都有了极大保障,为了吸引国外的人员参与,TCTF设置了全世界CTF赛事类别的最高奖金。因为大赛经验不足,他们决定与0CTF合作,并且选择了0ops的队长,也是他们的实习生谢天忆作为主要负责人。
谢天忆与CTF比赛的首次触电发生在2014年的研究生二年级期间。
当时,他参加的是0ops战队举办的校内CTF比赛,稀里糊涂就拿了一个冠军。0ops战队最早的一批主力队员里,超过一半都是通过校内赛选拔上来的。甚至于因为忙于参加CTF,谢天忆在15年的三月份没有达到公开发表一篇论文的毕业要求,被迫延期毕业。可直到现在,他仍然不后悔自己的“拖延症”。
“如果同时让我选择写论文和打比赛,我觉得打比赛让我更快乐。“谢天忆的计算机启蒙来自家里的中华学习机,当时只有四岁的谢天忆把它当成玩具,看见一串代码被敲入,然后屏幕上出现花花绿绿的图案,他兴奋得亮起了眼睛。
初中的时候,微机课在全国各中小学刚开设不久,进入机房还要提前穿鞋套,防止灰尘破坏电脑。已经自学了pascal语言的谢天忆听着微机老师正对97版本Word侃侃而谈,不甘于寂寞的他,调出了“智能ABC”输入法,将被锁屏的电脑成功独立于系统之外。发现了他“小诡计”的老师非但没有责骂他,反而询问他是否想要系统地学习计算机编程,参加竞赛,谢天忆欣然答应。开了挂的天忆在编程上高歌猛进,在高三的时候凭借“全国青少年信息学奥林匹克联赛”的全国一等奖,保送至上海交大。高考结束之后,推销的电话打过来问他,要不要花钱去读三本的民办学校,因为他们查到他的高考分数是零分。这个插曲是谢天忆第一次明显地感觉到,网络上的个人信息泄露会给人的现实生活带来影响,“网络安全”这个概念开始模糊成型。刚担任TCTF技术负责人的时候,谢天忆还只是科恩实验室的实习生,他之前是0ops战队的队长,而彼时0ops已经是国际上一流的CTF战队。通过与0ops战队合作,TCTF顺利申请到了作为DEF CON CTF外卡赛的资格。由于公司和部门的大力支持,他们在资金、人力、赛事组织方面并没有遇到太大的困难,唯一的对手是他们自定的标准——做到中国认可度最高的CTF赛事。评判一个CTF赛事水平高低最重要的条件,就是比赛题目的质量水平。
科恩实验室给命题者们开了“绿灯”,允许他们在比赛筹备期间放下手里的任务,把出题工作作为最高优先级。大家需要各自从自己的日常研究和工作中找到有意思的方向和主题,将其中有趣的问题抽象成比赛题目,再移交给另外一个人去试做,探讨难度是否合适,检查题目是否有纰漏等。比起做题,第一次参与出题的谢天忆感到了很大的不同:出题需要考虑得更全面,要从题目的立意出发,把它设计得新颖有趣、有吸引力、有深度,并且不能“炒冷饭”。“题目的解法要能够体现出设计思路的价值,所以必须要保证不能被选手用题目的非预期bug解出来。”CTF的文化就是需要选手打破固有思维,跳出系统思考,利用一切可行的方案,甚至是题目本身的bug。如果选手利用题目本身的bug破解了问题,主办方只能承认是自己出题的纰漏。即使很多高水平的CTF比赛,也都会有许多题目被选手用非预期的方式破解。可在第一届TCTF的比赛中,用非预期方式解出的数量只有一两道。“我们的最终目标就是举办一场跟DEF CON CTF能够并肩的比赛。”“有些题目直到比赛前一刻才正式完成定稿,直接从源头上杜绝了泄题的可能。”为了培养人才,TCTF比赛在国际公开赛的基础上增加了面向国内高校战队的新星赛,希望能够给未来的新星参与国际舞台、与顶尖的战队切磋的机会。通过TCTF,腾讯吸纳了很多高校的优秀选手,他们大多已经成为了谢天忆并肩作战的伙伴,复旦大学六星战队的队长马会心就是其中的一员。
马会心是从14年下半年开始接触CTF比赛的。正值大四的他与复旦大学的同学自行组建了战队,参与了当年的CTF比赛,随后变深深沦陷于此。对于CTF比赛,最让马会心感到兴奋的就是一直会有新的东西去探索,需要你去学一些新理论、新方法、新技术。同时,比赛的题目都是从实际的例子中提炼抽象出来的,解决的方法可以应用到实际中,“让人很有成就感”。“不管是本科时候的课程考试这种,还是研究生的论文产出,都无法和参与比赛的满足感相比。”在CTF比赛里,你需要实际完成一个比较具体的任务,也因此学会了很多动手实践的东西,这是论文无法带教你的。对CTF的更深层次痴迷来源于一种技术信仰,选手可以完全凭借技术优势赢得比赛,而不会被人的主观性所影响。“当赛题从实际应用场景中抽象提取出来后,剥离了无关的细节,其实更能让人聚焦于解法在纯技术上的美感。”因此,在研究生期间,他毫不犹豫地投入到了CTF的比赛之中,2017年,即将毕业的马会心参与了学生时代最后一场CTF比赛——腾讯举办的TCTF,那场比赛给马会心带来耳目一新的感觉。接受科恩实验室的实习邀请后,马会心在实验室里感受到了很浓厚的科研氛围,每个礼拜也有专门的导师指导,进行技术交流,这让坚定了进入网络安全行业的决心。到了2018年第二届TCTF的比赛中,马会心已经成长为TCTF赛事的出题人了,与此同时,马会心从2020年起开始担任腾讯CTF战队eee的队长。也就是在当年, A*0*E联合战队(按:由腾讯eee战队、浙江大学AAA战队、上海交大0ops战队、复旦大学******战队联合组成,“A*0*E”分别取自这些战队的首字母/符号)成为首个获得国际顶级赛事DEF CON CTF冠军的中国团队。“只有不断参与国际一线比赛,学习借鉴国际上最顶尖的CTF赛事组织者在思考什么,最新的趋势是什么,才能提高TCTF的题目质量。”去年疫情期间,TCTF紧急启动了线上的工作模式,原本上半年的比赛推迟到了下半年,中国战队尚能线下聚集参赛,国外的战队都是队员在各自的家中线上参赛。但因为大家合作的流程都很成熟,依托于腾讯云服务器,线上的初赛开展得十分顺利。第一年举办TCTF的时候,初赛的出题工作就花了将近一个月,还不包括各种线下场地的布置,到了今年,一切都轻车熟路了。“代表中国举办世界顶尖水平的CTF大赛,这面大旗我们一定得扛起来。”谢天忆如是言。TCTF上线之后,每年都在CTF领域的“大众点评”CTFTime上收到国内外选手的各种好评,其中有两年甚至是满分。图 | 部分来自参赛选手的满分好评
“我们不是花了五年打造这个水平的赛事,我们是从第一年开始就是最好的。”提及这一点时,吴石的语气里是掩饰不住的骄傲。当然通过参与CTF从而进入网络安全行业的年轻人还有很长的路,比赛只是解决了一道赛题,而现实的难题并不能只能靠灵机一动破解,还有各种规律化的东西需要学习。但比起以往的大海捞针,中国的网络安全行业在TCTF的带动下,已经有了一片星辰大海。
很多人觉得从事网络安全的人难以抵抗得住黑产的金钱诱惑,事实上,对于真正有技术追求的人而言,他们是不屑于接触黑产的,因为CTF才能接触到真正顶尖的技术。CTF比赛从最开始不被看好,到如今,全国的CTF比赛遍地开花,组织水平相较几年前也有了质的提升,很多高校都有了自己的CTF战队。2019年由国家主管部门指导举办的“护网杯”安全竞赛,参赛团队达到了惊人的6479支。通过高质量赛事的引入和科班教育的发展,中国在CTF领域的能力越来越强,今年,在代表世界最高水平的DEF CON CTF中,中国大陆有4支队伍打进了决赛(全球总共16支队伍进入决赛),并且已经连续蝉联两届总冠军。当初困扰吴石的无人可招的局面也有明显的改善,仅腾讯安全科恩实验室自己而言,TCTF给它带来了占据实验室一半编制的新成员。整个腾讯安全、甚至其他事业部都从TCTF里吸纳了大量人才。“TCTF建立了标杆,是CTF在中国真正的开拓者”。在大时代下,每一个小人物都值得被看见,每一个小人物都不普通。
我们关注每一个垂直行业的参与者、亲历者,
将视角切换到这些参与到时代变迁、企业进化的人群身上,
通过更专业细腻的笔触,让更多人看见更多人。
先后荣获
2021年百度百家号优质成长力作者
2020年度钛媒体年度十大作者
2020年度腾讯新闻企鹅号优秀内容合作伙伴
2020年度网易新闻网易号最佳签约作者
2020年度凤凰新闻大风号年度优秀创作者
2020年度ZAKER影响力排行榜最有价值作者
……
如您有合适的作品,可将稿件直接发给fangyuanjing2019@163.com
稿件一经采用发布,即刻支付稿费。
━━━━━━━━━━━━━━━━━━━━
合作媒体平台
腾讯科技 | 36氪 | 虎嗅 | 钛媒体 | 界面新闻 Pingwest品玩 | 第一财经 | 百家号 | 凤凰新闻 ZAKER | 企鹅号 | 今日头条 | 知乎 | 微博头条创业邦 | 澎湃 | 新浪创事记 | 前瞻网 | 网易科技━━━━━━━━━━━━━━━━━━━━