白帽黑客教主 TK 告诉你,黑客的游戏 CTF 究竟是什么 | 硬创公开课总结文+视频(2)
CTF最近两年在国内发展迅速,可以从我给的这两个截屏看出来。左边这幅是我在2015年在手机上的截屏,右边这幅是我在2017年的手机上的截图。 大家可以看到,2015年,在谷歌翻译上输入“CTFcontests”,翻译是“周大福竞赛”。但在2017年,谷歌翻译就已经认识 CTF了,我觉得这能说明一点问题。 为什么CTF越来越多 教育部高等学校信息安全专业教学指导委员会秘书长封化民曾说过:中国信息安全人才需求将以每年 1.5 万人的速度递增,到 2020 年相关人才需求将增长到 140 万。我还看到毕马威对英国大企业的调查显示:安全人才越来越供不应求,有 52% 的被调查者表示,甚至愿意雇佣有网络犯罪前科的人,因为人才供不应求。美国兰德公司发布的一份报告指出:美国高端信息安全人才存在短缺,尤其是在联邦政府内,这会对国家安全造成不利影响,建议联邦政府放宽雇用规则、投资信息安全教育。 所以,可以看出,安全人才缺乏是一个国际性问题。而 CTF 是培养安全人才的重要手段。我觉得这是近年 CTF 热门的的最重要原因。 学习CTF 的好处 研究安全技术过程中训练出来的思维能力是很有用处的,即使以后不去做网络安全。我经常跟大家讲的一个案例是,1996 年成立的黑客技术团体“w00w00”的成员中至少包括: WhatsApp 的联合创始人 Jan KoumNapster(世界最早的音乐共享平台) 的联合创始人 Shawn FanningArbor Networks 的联合创始人 Dug SongNmap 的开发者 Gordon Fyodor LyonCounterTack 的 CTO Michael A. DavisGoogle 元老 David McKayYammer 安全主管 Josha BronsonAccuvant Labs 的 Joshua J. Drake Veracode 的 Andrew Reiter 这个团体不是特别大,却出了这么多人才。有些人后来虽然没有从事网络安全的工作,但在自己的工作岗位上做得非常出色。 如果,你不但对安全感兴趣,而且想未来从事安全工作,那么就要明白,CTF中的技术对安全工作来说一部分,不是全部。工作中遇到的有些问题可以用 CTF中涉及的知识解决。还有很多问题则需要用到 CTF 之外的技能。 这是京华时报的一个报道截图:有人发现自己一卡通的金额突然变成了4000多万,有一点计算机基础知识的人,一看就知道是怎么回事:处理一卡通的机器在设计中存在问题,扣费没考虑余额,把钱扣成了负数。报道里提到余额被扣成了-1.8元,但当再次把卡插入机器,机器在读取余额时,按无符号数处理,就变出了4000多万。 类似的事情用 CTF 里的知识就能解释。但安全工作中还需要很多其它技能。如果能在比赛之余,找机会接触一下安全行业,了解行业里有哪些角色,了解每种角色需要什么技能,了解自己适合哪种岗位,在将来进入行业时会有很大帮助。 CTF 和现实安全技术工作的关系 打 CTF 是非常好的安全技术能力训练方式,优秀 CTF 选手在从事安全技术工作时也会有很大优势。不过大多数现实中的安全技术工作其实没有 CTF 中的问题那么困难,但会复杂得多。另外,打 CTF 的目标是得分,处理现实安全问题的时候要考虑更多因素,比如,解决问题的同时还要保持业务运行。 我所列出的信息安全技术方向只是粗粗列举,实际上不止这些。CTF直接涉及的只是其中一部分。当然,在 CTF 中训练的基本功可以帮助你比较顺畅地去学习那些没接触过的领域。 另外,除了和 CTF 相关的技术能力,从职业的角度看,通用能力也很重要。比如,很基本的三点:能想清楚、能写清楚、能讲清楚,这体现了你逻辑是否严密、语句是否通顺、表达是否清晰。有些通用能力对专业能力提升也有帮助,比如分析能力、判断能力、规划能力、搜集能力、学习能力、提炼能力。无论以后你想从事什么工作,在学生时代加强这些能力的培养,对你整个人生都会有很大的帮助。 二、谢天忆的发言记录第二部分,谢天忆讲解腾讯 CTF (TCTF)初赛题目及解答,由于涉及到很多术语和代码,雷锋网编辑整理了谢天忆的PPT,请读者配合视频直接“服用”。 三、问答互动1.小白对 CTF 感兴趣,能否推荐学习路径? (编辑:ASP站长网) |