黑客竞赛,你不知道的台前幕后 | 专访腾讯安全科恩实验室天忆&阿左(2)
做技术的很多都这样,碰到问题就学,CTF 比赛还是能接触到很多东西的,遇到一个我就去学怎么用,然后再去实践,在不断地打 CTF 比赛的过程中我也发现大多数情况下还是要以实践为主。 很多技术看了文章觉得自己懂了,但真正利用起来的时候还是不会。安全技术说起来其实也就是用进废退的。 小编宅客:CTF 比赛的题目的应用性如何?天忆:现在的CTF题目大多还是非常接地气的,比如一个题目可能就是从一些技术模型中抽象出来的,因此经常可以在一些 CTF 题目里看到经典漏洞的影子。好的题目还会契合目前最前沿的黑客技术和新的学术研究成果。所以完全不用担心应用性不强。作为安全研究人员,我们还可以从 CTF 的题目里找到灵感,发现一些以前没有发现的东西,反过来启发我们的实际研究。 透露一个小秘密,腾讯安全科恩实验室最近新招进来的同学,基本上多少有些 CTF 的背景,我自己也觉得参加CTF比赛经历是可以体现出很多方面能力的。 小编宅客:CTF 比赛进入国内的时间并不算太长,这几年国内 CTF 环境有什么变化吗? 天忆:最明显的变化就是难度越来越难了,早些年的CTF竞赛题和现在的根本没法比。就以三年前来说,2014年我觉得最难的题目,放在如今也就相当于入门级的难度;其次是队伍越来越多了,CTF 刚被引入国内时比赛是少之又少,队伍也不多,厉害的更少,如今人数多了很多,算是遍地开花了,涌现了不少在国际上。高校里面的 CTF 氛围也越来越浓了;另外国内的比赛也越来越多了,而且质量也很高,意在向DEFCON这样的国际大赛看齐。 前不久腾讯就成立了一个新的 CTF 比赛——TCTF,本人在其中担任技术负责人,也是朝着国际化大型 CTF 竞赛来做的,毕竟只有一个一流的比赛和平台才能够吸引和塑造一流的人才。 小编宅客:我们注意到这次腾讯主办的 TCTF 只有解题模式而没有攻防模式,是出于什么考虑? 天忆:这两种模式,其实是”快“和“难”的关系。在 CTF 比赛中,解题模式和攻防模式侧重点有差别的,攻防模式更看重攻防效率,讲究快速攻击得分,所以攻防模式上不太会采用一些特别难的题目。尤其在国内,攻防模式因为欣赏性更高,有一些“泛滥”,甚至有种被玩坏了的感觉。优势第一名的分数是第二名的两倍,其实他们的水平并没有相差那么多,也许只是第一名“手速更快”而已。 解题模式则朝着越来越专业、技术难度更高的方向发展,更贴近前沿技术。比如二进制漏洞利用上,“快”是起不了什么作用的,更需要高难度的漏洞挖掘能力。 就目前而言,TCTF 面向国内高校大学生,很大程度上承担着发掘安全人才的使命,从这一角度上来看,解题模式是更合适的,这是一个考量。只保留解题模式,这并不是我们首创的,现在很多知名比赛也有这么做的先例,这次 TCTF 的题目是是往高难度的方向去,基本是朝着 DEFCON 的难度来看齐的。 小编宅客:据说这次 TCTF 的优秀队伍除了奖金之外还有别的福利? 天忆:对的,冠军可以获得 DEFCON CTF大赛的直通卡。然后这次腾讯推了“百人计划”,除了丰厚的奖金之外,还可以通过全明星导师团为他们提供专业指导。在就业方面,据我所知也有相当丰厚的福利,比如入职腾讯和支持企业都有绿色通道,可以不用笔试直接面试等等。 其实这次腾讯举办 TCTF 本身就是希望通过安全信息竞赛的形式,来发现高校里更多热爱安全技术的人才,最后形成一个从高校向社会输送安全人才的平台,解决现在网络安全人才缺失的问题。我周围认识的很多安全从业者,包括我自己还有阿左,一开始都是从高校打 CTF 比赛开始的,我觉得这是一个很好的方式。 ,。 (编辑:ASP站长网) |