比如对于很多第一次接触“CTF竞赛”这个名词的人来说,电视剧里描绘的世界确实很美好:
战斗、团队、高薪、荣誉、青春
,一瞬间就能让人燃起来为之打call。
然而现实中的黑客和 CTF 等网安竞赛,却远远没有这么多光环和滤镜。
首先,有必要搞清楚网安竞赛到底是干嘛的?
就拿男主角参加的
CTF(Capture The Flag)夺旗赛来说,指的是网络安全技术人员之间进行技术竞技的一种比赛形式
。以前,黑客们总是通过发动真实攻击来比拼技术,CTF 则是将安全攻防变成了游戏化的设定。
CTF 的起源是 1996 年 DEFCON 全球黑客大会,而后者如今每年也会吸引全球最多的黑客前往。此外还比较知名的网安大赛还有黑帽大会,每年在拉斯维加斯聚集世界顶尖的黑客与安全专业,甚至包括 FBI 的特工。美国安全机构 TippingPoint DVLabs 赞助的 pwn2own 大赛也是高手云集。
近几年,网安竞赛也开始吸引政府或企业的目光,比如美国国防部从 2014 年开始举办名为“CyberStakes”的 CTF;中国的 BAT 3巨头也都有自己的网安竞赛,比如腾讯的 TCTF 影响力就不小,成为 DEFCON CTF 外卡赛授权;饱受隐私泄露困扰的 Facebook 也在 2019 年举办了第一届 fbctf……
目前来看,网安竞赛的核心价值无非以下三种:
第一种是帮助互联网企业查漏补缺,提升安全能力。
比如在 pwn2own 大赛上,黑客查理·米勒就凭借一己之力,在苹果Mac OS、微软Office以及Adobe Reade 等软件中发现了 20 个技术漏洞。谷歌的 Pwnium 竞赛甚至将单日比赛改为了全年制,选手们不论什么时候找到 Google 的 BUG,均可获得奖金,刺激黑客们来帮助自己发现问题。
第二种是和网络安全人才培养直接挂钩。
参与比赛的职业黑客有机会夺得分数和奖金,还有企业递出的高薪橄榄枝,自然能够吸引和挖掘更多的人才投身网络安全行业。从国际到国内,从一线城市到三线小城,无处不可 CTF,甚至还发展出了专门针对高中生的比赛。
第三种则是公关价值和广告效应。
通过 CTF 赛事,主办发可以彰显对自身产品和技术的信心,有实力搭建竞赛环境;夺冠当然也值得宣传一波,比如腾讯安全团队在世界黑客大赛上用 5 秒攻破 Safari 拿下第一,360 公司 13 人登上微软 2018msrc top100 白帽黑客榜单,都是在为企业安全技术实力代言。
正是这三个方面的助推,让网络安全竞赛迎来了爆发期。黑客们也从互联网的边缘角色,成为了赛场上荣耀加身、线下被追捧的主角。
网安竞赛的火爆,其好处是显而易见的,比如让更多人了解和重视网络安全,推动上下游产业链的完善等等。可是在其背后,仍然有不少隐患和疑虑尚待解决。
首当其冲的就是
黑客竞技与公众安全之间的界限比较模糊。
对于很多观众来说,网络安全漏洞到底危害有多大,或者说黑客的技术能力有多强,还是一个相对陌生的事情,这需要很长一段时间的市场教育。
而CTF的比赛形式与内容拥有浓厚的黑客精神和黑客文化,在节目中攻占摄像头、入侵手机、截流个人信息,甚至是到国家情报部门系统“一日游”,都是家常便饭,很容易引发大众的心理恐慌。
像我本人看完一场比赛之后,就默默地把密码改成了 30 位...如今有
赛事要求选手上传手持身份证照片
,就是希望通过实名制等方式来打消公众的顾虑。
再一点是,仅仅提供赛事奖金并不能解决网络安全人才的空缺问题。
大多数企业主办方都是“赔本赚吆喝”,指望发掘一些新兴人才加入自己的安全技术部门,然而高昂的奖金吸引来的可能不只是人才,还有“赛棍”,进入决赛和得奖的可能来来回回都是一批人,也就失去了挖掘新人的初衷。
而且,
竞赛所挖掘的人才未必是产业当下最需要的。
夺旗竞赛并不是现实生活问题的镜像反映,很多比赛都朝着脑洞越来越大、难度越来越高的趋势发展,比如在 WCTF 中就曾经出现过让选手破解火箭的题目。
很多企业自己不会搭建比赛环境,通过比赛招来的高薪人才,很可能出现在实际工作中水土不服的问题。最后要么是因为技能无处施展而离职,要么就是被巨头以更优厚的条件挖走。所以说并不是引来了“金凤凰”,就一定能留得住这些人才,办赛的投资也就打水漂了。
另一方面,竞赛非常考验选手的手速和反应能力,需要在短时间内完成追捕、逃避、反扑、防守等一系列高强度操作,所以年龄稍大一点都有可能产生反映误差,剧中战队在挑人组队时选择的都是十几岁的小伙也就不足为奇了。
但在实际的产业需求中,对于攻击的判断、经验、新兴技术的理解等等也非常重要。
CTF 选出来的人才是否真的能为产业所用,还需要不少的磨合。
更何况,许多顶级黑客也是很难被“招安”的,他们秉承的是“自由探索”理念,与互联网企业更多的是相互博弈、相爱相杀的关系。
2012年,Pwn2Own 不再要求获胜者公布漏洞发掘及攻破过程,就直接遭到了 Google 的反对,并撤出了对 Pwn2Own 的资金赞助。
中国互联网上著名的偷了马化腾 QQ 号码、黑进腾讯的鄢奉天,也被举报并送进了监狱。
总之,借力黑客提升安全能力、充实安全队伍的想法,以及黑客的“洗白之路”,中间都存在着很多的不确定性,很可能只是企业和赞助方的一厢情愿。
所以我们能看到近年来不少组织机构花重金扶持网安竞赛,可是网络勒索、用户信息泄露等事故还是频繁出现,真正走进大众视野、解决切实需求的案例并不多。
网络安全竞赛作为核心元素,出现在大众娱乐文化当中,无疑会吸引更多的人去关注它,
从这个角度讲,所谓的“改编”和求生欲未尝不是一件好事。
不过,当下的网络环境也提出了许多新的问题,需要公众、企业与黑客们来共同探索。
