注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

我是老鹰的博客

一只湿羽的鹰 振翅拍打淤积的云

 
 
 

日志

 
 
关于我

老鹰(1971- ?)  老鹰(1971~?)伟大的中国特色黑客文化倡导者,无产阶级空想家、幻想家和梦想家,中国鹰派联盟网的主要缔造者和领导人。

网易考拉推荐

没有什么能够阻挡,我对黑客文化的向往: CTF竞赛浪潮来袭!  

2013-10-27 23:05:00|  分类: ctf,安全,竞赛,黑 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

没有什么能够阻挡,我对黑客文化的向往: CTF竞赛浪潮来袭!

 

 

 

    从1992年因为天性偶然进入信息安全领域以来,特别是有了互联网以来,IRC的聊天室才开始接触国外的黑客圈子。但第一次真正意义的海外见面交流,则又因种种原因一直到2012年去日本和台北、韩国之后。

 

    国内媒体在2001年中美黑客大战之后,开始关注这个特殊的群体。但之前往往是文艺调调的喧嚣和口水,夹杂在网络爱国愤青和和网络犯罪的两极化摇摆。特别是曾有很多江湖调侃方式的排名,让大众对这个群体要么是神秘莫明,要么是鄙夷排斥不以为然。

 

    记得2006年就曾想去参加台湾的骇客年会hitcon,才第一次注意到WarGame这样的黑客竞赛方式,联想到电玩比赛的酷范,当时就想什么时候中国黑客也应出现在这样的竞技舞台上,这才是黑客文化最酷最直接的对话方式。所以此后我一直很关注国外黑客竞赛的情况。

 

    但实际上,黑客竞赛一直是一个很特别的存在,尤其是在国内与国外,竞赛题型的差异非常大。国内的竞赛记得主要是从高校开始的,毕竟我国现在约有58所大学开设有信息安全本科专业(但实际我个人是反对在高校本科阶段开设信息安全专业的,详细会另外撰文阐述)。但国内的题目通常出得比较偏向于基础题和实践题,出得相对好点的竞赛题会有模拟搭建出的渗透环境。而国外的题目有两大类题型,一类是 Wargame,类似于通关挑战,比较出名的有 SmashTheStack.org2011@IDF实验室 在负责支持江西全省高校安全竞赛的时候,也曾尝试过想有所突破把这类题加入,但事前调研结果发现基本上可能少数学生能玩而放弃。

 

一类是CTF,如美国著名的Defcon CTFCapture The Flag 夺旗赛),有线上资格赛与线下决赛两个环节。线上资格赛以做题拿到不同的分值,积分前x名进入线下决赛。决赛所有的队伍被关在小黑屋里,每个队伍分配一台 VM,上面跑着各种各样的 App 或者 WebVM 里也随机散布着各个 flag 文件(得分文件)。比赛开始后,所有队伍相互进攻以及防御,哪个队拿到的 flag 文件多,哪个队获胜。2010年在无锡与美国IDEFENSE合办的石中剑峰会上也曾尝试全套引进了这样的比赛环境,惭愧的是居然没有国内战队报名,最终价值10万人民币的比赛设备大奖只能“完璧归赵”。

 

 

没有什么能够阻挡,我对黑客文化的向往: CTF竞赛浪潮来袭! - 黑客老鹰 - 我是老鹰的博客

    

                       图:  CTF比赛竞赛形式

 

 

 没有什么能够阻挡,我对黑客文化的向往: CTF竞赛浪潮来袭! - 黑客老鹰 - 我是老鹰的博客

 

                    图: Defcon CTF 决赛平台 价值1.1万人民币

 

  残酷的现实是,我国在实用主义和专家威权主导下,国内的竞赛更喜欢偏现实/实际的题型(我记得北理工早期主办的全国高校安全竞赛比的居然是论文),例如模拟真实的web环境,让你渗透常见的网站平台或办公网络环境等,也造就了国内黑客的兴趣点和国外的不同。Defcon CTF Qual的题目里面有很多小技巧或者黑客文化。也许在老外眼里,技术竞赛是一种乐趣,就像我们喜欢看足球世界杯,一次的输赢不重要,更多是一种对竞技的享受。这完全稀释了我过去经历中太多的社会意识和民族情结,和我第一次出国真实接触不同文化差异和存在的心态变化非常相似,做这些题或许不一定会就证明自己就真的很牛逼,但却能感受到很纯粹的黑客文化,与黑客的那种兵不厌诈不拘一格打破常规的思维方式。

 

    当然也许这也是前些年国际竞赛中国人面孔较少的原因(其实我猜测也和有些早期的大牛们出身草根英语不好加上已经成名不屑参与也有点关系^-^,但这的确与国外媒体热潮中国黑客威胁论形成了鲜明的对比。所以每每出席国际黑客会议交流时常被他们问及这类的问题。

 

  但要改变这种大环境的功利主义,就和以前我倡导的“刺刀上带着思想”一样,似乎是个性感却没有骨肉支撑的怪异事情。安全技术大牛,早年都靠自己白手起家基本形成了自己的游戏方式,而国内看着热闹却始终不温不火的安全行业,使享受黑客文化的快感就局限在小小的闷骚圈子里,更别提“苟富贵、莫相忘”的吐槽依然是大家日常的调侃口头禅了。很纯粹地享受技术、黑客文化的自由这种氛围也许还是个漫长的话题。何况我自己在2000年就也曾说过,当时,我们还缺乏黑客文化的土壤。

 

2011年之后我和圈子朋友也聊过如何举办一场国内的CTF竞赛,后来发现要在国内举办一场这样的比赛是何其艰难,CTF这种类别的竞赛对竞赛者的综合水平要求非常高,这可不是平时玩点脚本、注入、跨站就能迅速适应的。就拿2011年江西高校安全竞赛,最后的挂名也是:信息安全软件设计大赛(主办单位认为用攻防两字太敏感:我吐)。但的确通过之前实际操办和调研的结果,目前国内安全专业的大学生是很少难能达到这种水平(希望这个阶段就快被快速超越),所以我目前趋向先鼓励和支持国内的安全爱好者积极参与国际黑客竞赛,以形成相当一批有实力的战队玩家后再考虑在国内举办这样的竞赛以进一步吸引国外战队参与。也许不久的将来,比DEFCON 48小时的连续竞赛更酷的72小时CTF竞赛会在天朝出现。

 

 没有什么能够阻挡,我对黑客文化的向往: CTF竞赛浪潮来袭! - 黑客老鹰 - 我是老鹰的博客

         图:20135月俄罗斯莫斯科黑客大会PHDAYS,大屏幕里的是谁?

 

  值得高兴的是,就在5月我去俄罗斯参加Phdays还艳羡的只能坐看美国大神PPPPlaid Parliament of Pwning)和荷兰的Eindbazen火热PK的时候,8月作为全球最顶级的黑客竞赛DEFCON CTF,来自中国的安全宝-蓝莲花战队,继续了他们今年异军突起的神奇,顺利通过资格赛进入总决赛并取得第11名的不俗战绩。9IDF实验室在车库咖啡的第八期黑客文化沙龙特意邀请他们来做了分享。

 

期待未来全世界各国的CTF,会涌入更多的中国年轻有朝气的面孔。假如某一天打开Defcon.org的官网首页出现一行“Made in China by QQ: 2056018"再挂上我儿子弹唱蓝莲花的视频(http://t.cn/z8pUqLm )也未尝不是好玩的事,对吗?呵呵。

 

 

附录:PHDays夺旗比赛(CTF)决赛比赛规则

http://blog.idf.cn/2013/05/rules-of-ctf-in-phdays/

国内外黑客比赛介绍及对比

 

http://blog.idf.cn/2012/12/the-introduction-of-international-hack-games/

  评论这张
 
阅读(354)| 评论(9)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017