杭电的这场大赛,吸引了全国的谢耳朵
大家被关在一个断网的屋子里破解各种谜题,展开攻防大战
本报记者 郑琳 本报通讯员 程振伟 叶璟
比赛现场 |
在网络安全的江湖中,黑客并不都是“黑”的。那些用黑客技术来“行侠仗义”, 测试网络和系统的性能的“侠客”,被称为“白帽黑客”。而他们之间的“武林大会”,就叫做CTF——“夺旗赛”。
在杭州电子科技大学,就有一项国内CTF圈人尽皆知,甚至走向国际舞台的高规格比赛——HCTF(杭电信息安全夺旗赛)。在最近刚刚结束的HCTF比赛中,吸引了1500支战队参赛,连老外都来报名。最后的决赛,来自清华、北大、国防科技大学等众多高校的黑客“大神”们齐聚一堂。
参赛战队都有着酷炫的名字。“联合Null队”、“Flappypig”(飞猪联合战队)、清华Redbud(紫荆花战队)……这些就像“武当”、“少林”一样,是国内CTF圈里响当当的名字。经过2天的决战,走出赛场的选手都觉得值了,清华紫荆花战队队长Briefly连呼“过瘾”,“题目出得好,逼出了最强的自己”。
顶级赛事的背后
是国内顶尖CTF战队
CTF比赛,通常是参赛团队之间通过攻防对抗、程序分析等形式,从主办方给出的比赛环境中得到字符串、图片等“旗帜”,相当于在夺宝,并将其提交给主办方,从而夺得分数,所以叫做“夺旗赛”。
想象一下,一群谢耳朵坐在电脑前,关在一个断网的屋子里破解各种谜题、展开攻防大战,这是什么样的场面?
HCTF就是这样的比赛,它的背后是一个很牛团体——Vidar(杭电信息安全协会)。Vidar指导老师、杭电计算机学院吴迎来老师告诉记者, “比赛质量高低,取决于出的题目水平有多高,杭电Vidar在任何一项国内权威CTF排名中都稳居前五,长期拥有不少于3个国内顶尖实战高手。”
在CTF圈,大家都以ID互称。本次HCTF主要出题者Explorer郑吉宏,就是Vidar历史上的重要人物之一。这个大四学生在国内CTF界可谓战绩彪炳,他曾经与清华、复旦、交大高手组成TeaDelivers联合战队,参加CTF界的“奥运会”——DEFCON,获得总决赛第五名。以他为主力的Vidar战队曾获得国内多项CTF大赛奖项。
有这样一位大神坐镇,让参赛的黑客们相当兴奋。“脑洞够大!” Flappypig战队成员说,“总决赛体验太棒了。”
为了让这些全国各地赶来参赛的黑客们兴奋,Vidar战队足足准备了半年。
到底出了怎样刁钻的题目?Vidar战队现任队长、杭电信息对抗技术专业大三学生Processor李政博笑言,“外行很难理解。”
他举了一个容易理解的例子——战队开发了一个小游戏,参赛者需要练到100级才能获得最终的“宝箱”。“选手可以不择手段达到100级,夺得答案。”李政博说,“这是一个非常开放性的题目。最后的比赛中,有战队是通过编写脚本来开金手指,刷怪练级,迅速地练到了100级。但与此同时,这个账号却被别的战队盗取了,盗取账号的战队也马上拿到了答案。”
由于杭电的HCTF含金量高,今年,这项赛事在国际权威CTF平台CTFTIME上正式亮相了,参加这项赛事的选手可以获得积分,进而在战队排名中提升名次。“从前我们挺低调的,现在开始冲向国际。只要我们保证赛事水平,比赛积分会不断提高。”吴迎来说,“而这次,已经有很多国外战队报名我们的比赛了。”
五百强企业都来抢人
刚毕业年薪20万起步
郑吉宏将于今年6月毕业。由于在网络安全实战上多年拼下的声誉,多家大公司实验室向他发出offer,这些公司提供的待遇都是年收入20万+。
“凡是能在Vidar留下的学生,找工作的待遇都很好,”郑吉宏说,前些年社团里的核心成员大多在谷歌、阿里、华为等世界著名互联网科技公司工作,现在大多是网络安全高级工程师,年收入30万+很正常。
而李政博认为,队员被互联网科技公司“提前预定”,是因为“玩CTF有一套独特的筛选机制”。
李政博以自己为例,2015年9月入学,当时听说“进入杭电,不试试加入CTF,大学生活会留下遗憾的”。于是,当年大一新生有500余人报名参加Vidar社团,到寒假只剩下100人,寒假开始后,大家在家里等着线上放题,“实战题都是脑洞大开题,训练题基本不出现,有的同学一看题目就脑袋发木,一道题做不出,只能退出,”李政博说,2016年春节,正是新一周放新题日,他和后来成为社团骨干的同学拼命做题,“疯了一样,但一道道题做出来,攻克一个个难关,内心的激动和自豪也是最大的奖赏”。
2016年,李政博和坚持下来的5个小伙伴,算是跨过了CTF门槛,他们在郑吉宏等老队员带领下不停训练,参加国内外各种赛事,逐渐取得了好名次。
郑吉宏认为,打CTF比赛需要具备的核心能力包括编程、即时学习能力,其次还要有“耐得住寂寞”、“连续亢奋工作”的精神力。“它实质上就是考验真实情境下发现网络系统漏洞的能力”,编程技术水平每天都在进步,可谓一日千里,新技术新漏洞层出不穷,CTF题目的脑洞越开越大。
技术那么强大,战队的学生会不会私下去黑现实中的网站呢?
“有授权的情况下就会去。”李政博说,“有的企业会公开悬赏自己公司的漏洞。例如腾讯、阿里都有这样的平台。腾讯的TSRC平台就是如此,只要在上面提交腾讯公司的任何漏洞都会拿到奖金。”
Vidar战队从前的成员Airbasic,就在TSRC的英雄榜上长期占据TOP5的位置。如今,Airbasic还没毕业已经开了属于自己的公司。“Vidar这个名字,是北欧神话中的一个神,重建了世界。所以,我们战队的精神就是:‘自此而起、推陈出新!’”