27149
“China!the winner of DEF CON 28 CTF isA*0*E from China!”结果宣布那一刻,上海一群守候在会议室的CTF选手爆发出了一阵欢呼。
这是中国在CTF领域最高水平赛事DEF CON CTF上夺得的第一个冠军。这一天,中国网络安全已经等待了很多年。
CTF(CaptureThe Flag,夺旗赛),一种流行于网络安全技术人员之间的技术竞赛,常见有两种模式,解题赛和攻防赛。
在解题赛中,题目通常分为Web、Crypto(密码学)、Pwnable、Reversing(逆向)等几种类型,选手通过解题获得一串具有一定格式的字符串——也就是flag,将flag提交给主办方就可以获得积分;而在攻防赛中,参赛者需要在一场比赛里扮演攻击方和防守方,攻者得分,失守者会被扣分,攻击对手的服务获取Flag的同时,也要保护自己的服务以防扣分。
从2017年开始,由腾讯安全主办、科恩实验室承办的腾讯信息安全争霸赛(TCTF)已经走过了第五个年头。
5年间,TCTF吸引了来自中国、美国、俄罗斯、日本、波兰、韩国、德国、英国等5000多支战队参赛,为中国年轻网络安全人才提供了一个和全球顶尖强队切磋、交流的平台,也为国内网络安全行业输送了大量人才储备。
中国CTF比赛突飞猛进式的发展中,科恩实验室发挥了无可替代的作用,他们在五年间历经风雨,初心不改,打造了中国最顶尖的CTF赛事TCTF。
本期显微故事采访了科恩实验室的三位成员,试图探寻中国网络安全未来的发展方向。
以下是关于他们的真实故事:
文 | 沐秋
编辑 | 常新
漏洞猎人的江湖理想
9月25日,在经历了残酷的初赛筛选后,TCTF 2021迎来了最终决赛。
比赛现场,选手们的电脑屏幕上飘满了代码,各式各样的顶尖设备熠熠发光,选手们宛如弹钢琴般,敲击的速度赶不上大脑的运转,与此同时,更强大的对手远在几千公里的欧美,他们依靠云服务器开展着激烈的对抗。
“用自己擅长的事情去和黑产作斗争,是一件充满荣誉感的事情。”
解出题目的他们笑容满面,最能给他们带来快乐的,不是名次,而仅仅是谜题本身。
经历48小时鏖战后,来自英国的organizers战队凭借6668分的总积分,从12支全球极客强队中脱颖而出;而新星邀请赛的冠军,则由在赛事中持续保持领先优势的浙江大学AAA战队获得。
这一首鼓舞人心的极客战歌能够谱写,其中有一个关键性的人物:科恩实验室的总负责人——吴石,网络安全方面的鼻祖人物,截止到2016年,是全球计算机漏洞发现和报告最多的人,被福布斯杂志评价“发现的漏洞比苹果整个安全团队的两倍还多”。
2013年,从微软辞职的吴石加入了KEEN Team,2014年 1月,Keen Team正式加盟腾讯,2016年正式成立“科恩实验室”。
腾讯对加盟的网络安全方面的人才极为重视:整个腾讯目前16级以上的专家只有3 位,吴石是其中之一。“选择加入腾讯是当时最优的选择”。
腾讯给科恩最初的定位是基于Keen Team的漏洞挖掘能力,只需要负责支持公司的内部产品安全,没有明确的KPI考核限制。
也就是在这时,科恩实验室遇到了最大的问题:少人。
利好政策刚开始推行,行业蓝海亟待开拓,需要先驱者探路,让网络安全快速破圈,打出知名度。
在刚进入腾讯时,领导希望吴石能够组建一支比较大的网络安全研究团队,吴石在全世界探寻,也只找到了十个人。
“这个行业是极度缺人的,行业出现了很严重的断层,如果大家都只喝水而不挖井的话,每个人都会被饿死。”
科恩实验室决定成为挖井人。
2014年前后,吴石发现了CTF比赛,“就像发现了金子一样”,他自己找了很多赛事的题目练习,发现比赛其实是实际的简化版,“如果CTF能够做好的,原则上做实际的工作也不会问题。”
网络安全专业的教材可以引入,知识可以引入,但是能力难以复制的,而恰好在CTF赛事中可以明显地看出选手的动手能力。
“应该从CTF比赛里选拔人才,而不是靠单纯学校的成绩、写论文。”吴石便开始密切关注这个领域,并且发现和当时举办CTF比赛的高校保持联系。
2016年,吴石向他的老板、腾讯副总裁丁珂表达了想要办CTF赛事的意愿,得到了后者的大力支持。
此时背靠腾讯这座大树,科恩实验室的预算、人力、资源都有了极大保障,为了吸引国外的人员参与,TCTF设置了全世界CTF赛事类别的最高奖金。
因为大赛经验不足,他们决定与0CTF合作,并且选择了0ops的队长,也是他们的实习生谢天忆作为主要负责人。
2017年,TCTF拉开帷幕。
打造中国最好的CTF赛事
谢天忆与CTF比赛的首次触电发生在2014年的研究生二年级期间。
当时,他参加的是0ops战队举办的校内CTF比赛,稀里糊涂就拿了一个冠军。0ops战队最早的一批主力队员里,超过一半都是通过校内赛选拔上来的。
甚至于因为忙于参加CTF,谢天忆在15年的三月份没有达到公开发表一篇论文的毕业要求,被迫延期毕业。可直到现在,他仍然不后悔自己的“拖延症”。
“如果同时让我选择写论文和打比赛,我觉得打比赛让我更快乐。“
谢天忆的计算机启蒙来自家里的中华学习机,当时只有四岁的谢天忆把它当成玩具,看见一串代码被敲入,然后屏幕上出现花花绿绿的图案,他兴奋得亮起了眼睛。
初中的时候,微机课在全国各中小学刚开设不久,进入机房还要提前穿鞋套,防止灰尘破坏电脑。
已经自学了pascal语言的谢天忆听着微机老师正对97版本Word侃侃而谈,不甘于寂寞的他,调出了“智能ABC”输入法,将被锁屏的电脑成功独立于系统之外。
发现了他“小诡计”的老师非但没有责骂他,反而询问他是否想要系统地学习计算机编程,参加竞赛,谢天忆欣然答应。
开了挂的天忆在编程上高歌猛进,在高三的时候凭借“全国青少年信息学奥林匹克联赛”的全国一等奖,保送至上海交大。
高考结束之后,推销的电话打过来问他,要不要花钱去读三本的民办学校,因为他们查到他的高考分数是零分。
这个插曲是谢天忆第一次明显地感觉到,网络上的个人信息泄露会给人的现实生活带来影响,“网络安全”这个概念开始模糊成型。
刚担任TCTF技术负责人的时候,谢天忆还只是科恩实验室的实习生,他之前是0ops战队的队长,而彼时0ops已经是国际上一流的CTF战队。通过与0ops战队合作,TCTF顺利申请到了作为DEF CON CTF外卡赛的资格。
由于公司和部门的大力支持,他们在资金、人力、赛事组织方面并没有遇到太大的困难,唯一的对手是他们自定的标准——做到中国认可度最高的CTF赛事。
评判一个CTF赛事水平高低最重要的条件,就是比赛题目的质量水平。
科恩实验室给命题者们开了“绿灯”,允许他们在比赛筹备期间放下手里的任务,把出题工作作为最高优先级。
大家需要各自从自己的日常研究和工作中找到有意思的方向和主题,将其中有趣的问题抽象成比赛题目,再移交给另外一个人去试做,探讨难度是否合适,检查题目是否有纰漏等。
比起做题,第一次参与出题的谢天忆感到了很大的不同:出题需要考虑得更全面,要从题目的立意出发,把它设计得新颖有趣、有吸引力、有深度,并且不能“炒冷饭”。
“题目的解法要能够体现出设计思路的价值,所以必须要保证不能被选手用题目的非预期bug解出来。”
CTF的文化就是需要选手打破固有思维,跳出系统思考,利用一切可行的方案,甚至是题目本身的bug。如果选手利用题目本身的bug破解了问题,主办方只能承认是自己出题的纰漏。
即使很多高水平的CTF比赛,也都会有许多题目被选手用非预期的方式破解。可在第一届TCTF的比赛中,用非预期方式解出的数量只有一两道。“我们的最终目标就是举办一场跟DEF CON CTF能够并肩的比赛。”
“有些题目直到比赛前一刻才正式完成定稿,直接从源头上杜绝了泄题的可能。”
为了培养人才,TCTF比赛在国际公开赛的基础上增加了面向国内高校战队的新星赛,希望能够给未来的新星参与国际舞台、与顶尖的战队切磋的机会。
通过TCTF,腾讯吸纳了很多高校的优秀选手,他们大多已经成为了谢天忆并肩作战的伙伴,复旦大学六星战队的队长马会心就是其中的一员。
有人在传承,有人在成长
马会心是从14年下半年开始接触CTF比赛的。正值大四的他与复旦大学的同学自行组建了战队,参与了当年的CTF比赛,随后变深深沦陷于此。
对于CTF比赛,最让马会心感到兴奋的就是一直会有新的东西去探索,需要你去学一些新理论、新方法、新技术。
同时,比赛的题目都是从实际的例子中提炼抽象出来的,解决的方法可以应用到实际中,“让人很有成就感”。
“不管是本科时候的课程考试这种,还是研究生的论文产出,都无法和参与比赛的满足感相比。”
在CTF比赛里,你需要实际完成一个比较具体的任务,也因此学会了很多动手实践的东西,这是论文无法带教你的。
对CTF的更深层次痴迷来源于一种技术信仰,选手可以完全凭借技术优势赢得比赛,而不会被人的主观性所影响。
“当赛题从实际应用场景中抽象提取出来后,剥离了无关的细节,其实更能让人聚焦于解法在纯技术上的美感。”
因此,在研究生期间,他毫不犹豫地投入到了CTF的比赛之中,
2017年,即将毕业的马会心参与了学生时代最后一场CTF比赛——腾讯举办的TCTF,那场比赛给马会心带来耳目一新的感觉。
“每个题目都会让你感到出题人有新的想法。”
接受科恩实验室的实习邀请后,马会心在实验室里感受到了很浓厚的科研氛围,每个礼拜也有专门的导师指导,进行技术交流,这让坚定了进入网络安全行业的决心。
可以说,CTF比赛改变了他的人生轨迹。
到了2018年第二届TCTF的比赛中,马会心已经成长为TCTF赛事的出题人了,与此同时,马会心从2020年起开始担任腾讯CTF战队eee的队长。
也就是在当年,A*0*E联合战队(按:由腾讯eee战队、浙江大学AAA战队、上海交大0ops战队、复旦大学******战队联合组成,“A*0*E”分别取自这些战队的首字母/符号)成为首个获得国际顶级赛事DEF CON CTF冠军的中国团队。
“只有不断参与国际一线比赛,学习借鉴国际上最顶尖的CTF赛事组织者在思考什么,最新的趋势是什么,才能提高TCTF的题目质量。”
去年疫情期间,TCTF紧急启动了线上的工作模式,原本上半年的比赛推迟到了下半年,中国战队尚能线下聚集参赛,国外的战队都是队员在各自的家中线上参赛。
但因为大家合作的流程都很成熟,依托于腾讯云服务器,线上的初赛开展得十分顺利。第一年举办TCTF的时候,初赛的出题工作就花了将近一个月,还不包括各种线下场地的布置,到了今年,一切都轻车熟路了。
“代表中国举办世界顶尖水平的CTF大赛,这面大旗我们一定得扛起来。”谢天忆如是言。
TCTF上线之后,每年都在CTF领域的“大众点评”CTFTime上收到国内外选手的各种好评,其中有两年甚至是满分。
“我们不是花了五年打造这个水平的赛事,我们是从第一年开始就是最好的。”提及这一点时,吴石的语气里是掩饰不住的骄傲。
当然通过参与CTF从而进入网络安全行业的年轻人还有很长的路,比赛只是解决了一道赛题,而现实的难题并不能只能靠灵机一动破解,还有各种规律化的东西需要学习。
但比起以往的大海捞针,中国的网络安全行业在TCTF的带动下,已经有了一片星辰大海。
后记
很多人觉得从事网络安全的人难以抵抗得住黑产的金钱诱惑,事实上,对于真正有技术追求的人而言,他们是不屑于接触黑产的,因为CTF才能接触到真正顶尖的技术。
CTF比赛从最开始不被看好,到如今,全国的CTF比赛遍地开花,组织水平相较几年前也有了质的提升,很多高校都有了自己的CTF战队。
2019年由国家主管部门指导举办的“护网杯”安全竞赛,参赛团队达到了惊人的6479支。
通过高质量赛事的引入和科班教育的发展,中国在CTF领域的能力越来越强,今年,在代表世界最高水平的DEF CON CTF中,中国大陆有4支队伍打进了决赛(全球总共16支队伍进入决赛),并且已经连续蝉联两届总冠军。
当初困扰吴石的无人可招的局面也有明显的改善,仅腾讯安全科恩实验室自己而言,TCTF给它带来了占据实验室一半编制的新成员。
整个腾讯安全、甚至其他事业部都从TCTF里吸纳了大量人才。
“TCTF建立了标杆,是CTF在中国真正的开拓者”。
微信扫一扫 
支付宝扫一扫