被誉为硅谷创业之父的连续创业者 Paul Graham 曾在《黑客与画家》一书中,将沉迷于编程的程序员调侃为「书呆子」。
他们沉迷于 0 与 1 组成的大量数字之间,日以继夜地创造自己的程序作品,同时改变世界,互联网改变了人们的生活,成为了世界重要的一部分。
国内同样有这么一批人,作为「醉心于电脑技术的年轻人」,一路奋斗,演绎了一出我国网络安全行业的传奇故事。
CTF 也被称作夺旗赛,是网络安全行业最常见的赛事。它和电脑的发展息息相关,最早可以追溯到上世纪末,其中历史最悠久的赛事 DEF CON CTF,也是全球影响力最大的赛事,堪称网络安全行业的奥运赛事。
从 1996 年第一届赛事开始,DEF CON CTF 经过 20 多年发展,赛制愈发成熟的同时,难度也在直线上升,最开始还是以解题积分制为主,主办方给出一系列安全考题,由各个队伍解题,解题越多积分越多,以积分定排名。
现在,DEF CON CTF 赛制已经升级成了混合攻防模式,参赛队伍要主动寻找其他队伍服务器的安全漏洞,发起攻击的同时也要注意自家服务器,不能被偷袭了,这也促使战队队员要各司其职,互相配合。
最终 DEF CON CTF 根据攻守效果计算得分,与解题分一起加起来作为总得分定排名先后。
我国电脑普及相对晚一些,人们对于 CTF 赛事的认知更少,2015 年、2016 年左右,能进入国际赛事打决赛都只有清华蓝莲花、上海交大 0ops 等少数队伍。
▲ 0ops 战队
起步晚、技术氛围不足、赛事少,是我国战队难以在 DEF CON CTF 这样的国际赛事上斩获成果的重要原因。
0ops 的核心队员谢天忆就曾是一位「醉心于电脑技术的年轻人」,从小爱折腾电脑,甚至仅仅靠参考手册,就解锁了电脑仿制机「中华学习机」上的《超级马里奥》游戏,然而像谢天忆这样的年轻人终究是少数。
▲ 谢天忆
再加上没有专业的竞赛氛围,按照谢天忆的说法就是更多更好的安全考题,推动选手成长,很长一段时间内国内 CTF 战队和相关人员都是以「野蛮生长」的状态发展。
直到网络安全概念逐渐普及,人们意识到了其重要性,以赛养赛也就被提上了日程,2015 年左右国内已经陆陆续续出现了一些 CTF 赛事。
谢天忆同样是这一批 CTF 赛事潮流中的一员,作为 0ops 战队曾经的队长,他参与了腾讯在 2017 年组织的腾讯信息安全争霸赛(以下简称为 TCTF),出具高质量的考题,为国内外安全领域的 CTF 战队提供了一个舞台、一个交流提升的社区。
国内各种 CTF 赛事,极大地推动了各家战队技术水平增长,仅仅几年间,中国战队就从决赛徘徊走向了冠军舞台,斩获了 DEF CON CTF 2020 届赛事全球总冠军。
▲腾讯 A*0*E 联合战队斩获 DEF CON CTF 2020 决赛总冠军
这个冠军意味着那些曾经醉心于电脑技术的年轻人为自己正名了,我国网络安全行业从野蛮生长过渡到了「登堂入室」。
苍天大树并非一天长成,硕大的树干、广袤的枝叶,背后是无数次浇灌与维护,DEF CON CTF 冠军同样也是,创新的 CTF 赛事为网络安全行业提供了养料。
斩获 DEF CON CTF 的冠军战队腾讯 A*0*E 联合就和 TCTF 竞赛有着千丝万缕的联系,其现任队长马会心正是 TCTF 2019 赛事的选手之一。
可以说腾讯 TCTF 竞赛为国内不少 CTF 战队提供了一个全面的、国际化的竞赛环境,就拿参赛战队来说,2017 年举办的首届 TCTF 就吸引了全球近 1000 支 CTF 战队参与,其中就有美国 Shellphish、匈牙利 !SpamAndHex 这种盛名在外的强队。
与不同国度 CTF 战队同台竞技,有利于提升视野和推动自我技术成长,更重要的是在举办方腾讯安全实验室的推动下,首届 TCTF 赛事拿到了 DEF CON CTF 外卡赛资格。
也就是说赢得腾讯 TCTF 赛事冠军的队伍,可以直接进入全球顶尖网络安全赛事 DEF CON CTF 的总决赛中。
其次,腾讯 TCTF 赛事在考题方面也颇为考究,作为曾经 0ops 战队队长,现在 TCTF 的技术负责人谢天忆,为了考题要和团队一起耗费近一个月时间调整、雕琢,而包括他在内出题人基本都有丰富的海外赛事经验。
即便是现在谢天忆仍然会经常出去参加国内外知名 CTF 赛事,在满足个人兴趣的同时,也是接触不同类型的 CTF 赛题,为 TCTF 赛事做准备。
▲如今的谢天忆
好的考题不仅是考验,更是出题人与选手的一次隔空交流,让选手能真正从考题中学习,提升能力。
无论考题还是赛制,腾讯 TCTF 赛事历来都是看重实践能力,它既可以是选手自我实践、印证的舞台,也是无数网络安全爱好者展示自我,走向人生新旅程的一张门票。
虽然 TCTF 赛事同样强调竞技性,但除了享受最多关注的冠军,其他选手、战队也能找到新的位置,腾讯安全科恩实验室负责人吴石就曾表示国内安全研究人员极度匮乏,即便是腾讯也曾面临招不到人的困境。
问题正在被改善,现在腾讯安全科恩实验室一半新成员来自 TCTF 赛事,参与赛事的选手们也大多走向了网络安全行业。
除了链接人才,TCTF 也在吸引更多普通人,尤其是高校年轻人的关注,推动网络安全行业发展,用吴石的话来说就是:
培养人才应该是一个正和博弈而不是零和博弈,是需要大家一起参与、携手来做好的事情。如果都不挖井、都只想喝现成水的话,这个行业起不来,每个人都没有水喝。
在《黑客与画家》一书中,作者 Paul Graham 给出了为什么调侃程序员是「书呆子」的原因,在他看来程序员往往极度认真、聪慧,能从庞大的代码中发现独特的美丽——和画家一样,程序员也在创造伟大的作品。
这些程序作品,有的提供了新的生活工具、有的改变了你我的生活方式,正是因为受到伟大的作品的吸引,程序员们才甘心成为「书呆子」,两耳不闻窗外事,专心徜徉在代码的海洋中。
国内各大 CTF 赛事正是这样一个窗口,为人们展示各种各样的作品,展示代码的魅力,腾讯 TCTF 赛事以及中国战队夺冠的经历,充当了这个过程中的一个放大器。
得益于互联网的普及,全国不少高校设置了相应的网络安全专业,一度成为热门专业,该专业学生以及技术爱好者同样需要不同强度的 CTF 赛事。
腾讯 TCTF 安全竞赛也想到了这一情况,除了面向全球各大 CTF 战队的国际赛事,还有专门面对高校团队的「新星赛」。
赛事不仅为年轻人提供一个比较、自我提升的舞台,同时也让更多年轻人了解网络安全行业,甚至投身其中。
国内另外一项重磅网络安全赛事 XCTF 国际网络攻防联赛就呈现出了年轻化的趋势,甚至于参赛人员中 00 后选手所占比例一度达到了 60%。
和谢天忆们相比,现在的年轻人有着比前人更高的起点,对于互联网认知更全面,在 TCTF 等赛事的推动下,也有更多机会创新向前。
9 月 25 日,一年一度的腾讯 TCTF 安全竞赛将举办决赛,新老选手们将上演怎样的夺旗故事,让人期待。