公认的计算机病毒的始祖,其实是一个计算机实验室里面几个学生,工作之余为了娱乐发明的。这种 IT 男娱乐的方式很独特,他们各自写程序,然后放到计算机里看看谁能把谁的程序吃掉。围绕这么一个简单的游戏,最终发展出了无数病毒和与之相关的产业。
腾讯玄武实验室负责人,TK教主于旸对雷锋网宅客频道如是说。在他身后,另一场盛大的“游戏”正拉开帷幕。
【腾讯玄武实验室负责人,TK教主 于旸】
黑客游戏:CTF
CTF(Capture The Flag),正是黑客们的游戏。
简单来说,这种游戏就是黑客们的“灯谜”。比赛的组织者把一些精心设计的题目展示给参赛的黑客战队,解出相应的题目就得到相应的分数。根据不同的赛制,衍生出了各个队伍利用漏洞对攻、攻擂守擂等规则。
世界最著名的 CTF 大赛,就是在美国拉斯维加斯举办的 DEFCON CTF,这个可以追溯到1996年的黑客对抗游戏,是全世界 CTF 的始祖。当年,一群热血的年轻黑客开创了 CTF 的虚拟世界。从此,这个战场上一直集聚着热爱突破的黑客,边疆不断延展。
近些年网罗天下黑客的腾讯,在内部组建了“七大安全实验室”。这家产品经理风格的互联网巨头渐渐具备了更多黑客精神。就在今天,腾讯终于把自己的版图和 CTF 这个神秘的黑客游戏相对接,推出了“T”字号的 CTF 大赛——TCTF。
TCTF
说到 TCTF,就不得不介绍一下腾讯自己的 CTF 战队——鹅鹅鹅战队(eee),这个在2017年初才成立的黑客战队却有着不错的战绩。在2017年1月于东京举办的 SECCON CTF 大赛上,鹅鹅鹅战队拿到了第三名的成绩。
鹅鹅鹅战队的队长天忆,正是首届 TCTF 大赛技术负责人。他介绍说,这次 TCTF 将主要采取“解题模式”
他为黑客们准备的谜题有以下几类:
二进制漏洞利用——Pwnable
逆向工程和逆向分析——Reversing
web安全——Web
密码学——Crypto
移动安全——Mobile
专业程序编码——PPC(Professionally ProgramCoder)
杂类——MISC
天忆还介绍了本次 TCTF 的赛制,有兴趣组团打怪的黑客们可以参考:
TCTF 分为两个平行的比赛 0CTF(国际赛)和 Risingstar CTF(新人邀请赛)。
0CTF
0CTF 获得了 DEFCON 的官方授权,是 DEFCON CTF 的外卡赛,意为获得 0CTF 冠军的队伍,可以直接参加 DEFCON CTF 的决赛。
0CTF 分为线上预赛和决赛两部分:
线上赛采用解题模式,面向全球所有战队,并且不限制每个战队的人数。时间是2017年3月18日-19日。
线下决赛同样是采用了解题模式,线下决赛我们限制参赛战队人数不超过四位,时间是2017年6月2日-4日。
Risingstar CTF
新人邀请赛仅限于高校选手参加,战队队员必须全部为该高校的在读学生。每个战队上场人数不超过四人,题目类型包括但不限于 0CTF 的类型。邀请赛和国际赛独立排名,规则赛制和 0CTF 一致。
【鹅鹅鹅战队队长、 TCTF 大赛技术负责人天忆在介绍TCTF时间表】
玩物和造物
虽然游戏本身的价值有限。但是,当无数个人投身于同一个游戏的时候,这些人就会形成一个坚实的基座,在此之上形成无数新的学科、产业。
中国网络空间安全协会竞评演练工作委员会副主任李舟军在 TCTF 的发布会上提供了一个数据:
我国网络安全专业人才的缺口高达70万,并以每年1.5万人的速度递增。
而对 CTF 大赛热情最高的,显然是来自各大高校的学生战队。面对如此巨大的人才缺口,CTF 大赛显然是一面面向大学生群体招纳人才的大旗。
而带有极强“鹅厂”烙印的 TCTF,其中涌现的人才对腾讯来说显然是“近水楼台”。
腾讯公司副总裁丁柯向雷锋网宅客频道表示,
腾讯在早期付出了很多不重视安全的代价。到现在来看,我们勉强能够稍微有一点前瞻性的布局,仅此而已。所以包括我们在内的很多互联网公司都迫切需要网络安全人才。犯罪分子所使用的大数据模型、人工智能模型已经非常尖端了。为了对抗这些黑产,我们必须发掘前沿的技术和跨界的人才。
实际上,腾讯手握中国社交产品的命脉,所有最新的黑色产业、犯罪分子几乎都会“考虑”利用腾讯的社交产品作案。作为腾讯的安全研究员,面临着全球最前沿的对抗环境。如此说来,腾讯对于安全人才的渴望,正反映了我们这个社会对于安全的渴望。
从这个角度来看,TCTF 不仅是腾讯对于安全大赛的一次尝试,也是作为互联网巨头,对安全人才价值的一次肯定。
虽然在国际和国内有越来越多 CTF 大赛涌现,但是真正高水平的 CTF 大赛还寥寥无几。而对于整个互联网安全文化来说,CTF 所起到的推动作用,还远没有达到它应该达到的效果。
正像TK教主所说:
高校里面的文体明星大家都觉得好厉害,如果有一天 CTF 的明星在学校里也像歌手一样受到明星一样的追捧,又何愁没有安全人才呢?
