黑客攻防赛：国内外兴趣点不同

admin

黑客攻防赛：国内外兴趣点不同
记得2006 年准备去参加台湾的骇客年会hitcon，才第一次注意到Wargame 这样的黑客竞赛方式，联想到电玩比赛的酷范，当时就想什么时候中国黑客也出现在这样的国际竞技舞台上，此后我一直很关注国外黑客竞赛的情况。
黑客竞赛一直是一个很特别的存在，尤其是在国内与国外，竞赛题型的差异非常大。国内的竞赛主要是从高校开始的，毕竟我国现在60 所左右大学开设有信息安全本科专业。但国内的题目通常出得比较偏向于基础题和实践题，出得相对好点的竞赛题会有模拟搭建出的渗透环境。而国外的题目有两大类型，一类是 Wargame，类似于通关挑战，比较出名的有 SmashTheStack.org，2011 年IDF 实验室在负责支持江西全省高校安全竞赛的时候，也曾尝试 过，有所突破把这类题加入，但事前调研结果发现基本上可能只有少数学生能玩而放弃。
一类是CTF，如美国著名的Defcon CTF（Capture The Flag 夺旗赛），有线上资格赛与线下决赛两个环节。线上资格赛以做题拿到不同的分值，积分前x 名进入线下决赛。决赛所有的队伍被关在小黑屋里，每个队伍分配一台 V M，上面跑着各种各样的 A p p或者 Web，VM 里也随机散布着各个 Flag 文件（得分文件）。比赛开始后，所有队伍相互进攻以及防御，哪个队拿到的Flag文件多，哪个队获胜。2010年在无锡与美国IDEF NSE合办的石中剑峰会上也曾尝试全套引进了这样的比赛环境，惭愧的是居然没有国内战队报名，最终价值10 万人民币的比赛设备大奖只能“完璧归赵”。

图 CTF 比赛形式

残酷的现实是，国内的竞赛更喜欢偏现实/ 实际的题型（记得有的高校早期主办的全国高校安全竞赛比的居然是论文），例如模拟真实的Web 环境，让你渗透常见的网站平台或办公网络环境等，也造就了国内黑客的兴趣点和国外的不同。Defcon CTF Qual 的题目里面有很多小技巧或者黑客文化。也许在老外眼里，技术竞赛是一种乐趣，就像我们喜欢看足球世界杯，一次的输赢不重要，更多是一种对竞技的享受。这完全稀释了我过去经历中太多的社会意识和民族情结，能感受到很纯粹的黑客文化以及与黑客的那种兵不厌诈，不拘一格，打破常规的思维方式。
当然也许这也是前些年国际竞赛中中国人面孔较少的原因, 因而每每出席国际黑客会议交流时常被他们问及这类问题。
但要改变这种大环境的功利主义，就和以前我倡导的“刺刀上带着思想”一样，似乎是个性感却没有骨肉支撑的事情。安全技术大牛，早年都靠自己白手起家基本形成了自己的游戏方式，而国内看着热闹却始终不温不火的安全行业，使享受黑客文化的快感就局限在小小的闷骚圈子里。很纯粹地享受技术、黑客文化的自由这种氛围也许还是个漫长的话题。
2011 年之后，我和圈子内的朋友也聊过如何举办一场国内的CTF 竞赛，后来发现要在国内举办一场这样的比赛是何其艰难，CTF 这种类别的竞赛对竞赛者的综合水平要求非常高，这可不是平时玩点脚本、注入、跨站就能迅速适应的。就拿2011 年江西高校安全竞赛来说，通过之前实际操办和调研的结果表明，目前国内安全专业的大学生是很少能达到这种水平的（希望这个阶段就快被快速超越），所以我目前趋向先鼓励和支持国内的安全爱好者积极参与国际黑客竞赛，以形成相当一批有实力的战队玩家后再考虑在国内举办这样的竞赛以进一步吸引国外战队参与。也许不久的将来，比DEFCON 48 小时的连续竞赛更酷的72 小时CTF 竞赛会在国内出现。
期待未来全世界各国的CTF，会涌入更多的来自中国的年轻有朝气的面孔。
http://bbs.sy-ea.com




来源：网络转载

---