文/陶春傅宇凡諸葛建偉
XCTF
第二屆XCTF國際聯賽從2015年11月一直持續到2016年7月,共設置了福州站RCTF、西安站SSCTF、北京站BCTF、上海站0CTF和杭州站ALICTF五站國際選拔賽,以及鄭州站ZCTF、成都站CTF和武漢站WHCTF三站國内選拔賽。
去年的首屆XCTF聯賽,已經有超過1萬人次參與,最終在南京的總決賽上,台灣大學217戰隊奪冠,上海交通大學0ops和福州大學ROIS分獲亞軍和季軍。
今年在XCTF官網注冊的中國大陸的參賽隊伍多達1758支,此外五站國際選拔賽也吸引了其他84個國家與地區的近兩千支國際戰隊參與,共計一萬六千多隊次、三萬八千多人次參與第二屆XCTF國際聯賽的八站選拔賽。
7月16日,北京國際會議中心,XCTF國際聯賽總決賽在此火熱上演。大賽由中國互聯網發展基金會、教育部高等學校信息安全專業教學指導委員會指導,國家創新與發展戰略研究會、網絡空間安全人才發展基金(籌)聯合主辦,南京賽甯總體承辦,藍蓮花戰隊命題組織。
此次國際聯賽曆時半年多,從2015年11月開始,經過五站國際選拔賽、三站國内賽PK,來自全球84個國家和地區的近2000支國際戰隊和全國1700多支隊伍同場競技。這些隊伍大多來自國内外的高校、網絡科研機構以及企業,最終,2015年世界排名前10的五大CTF戰隊,以及中國大陸排名前10的十支戰隊進入總決賽,争奪首個國際聯賽的總冠軍頭銜。
7月17日下午,XCTF2016國際聯賽總決賽在經過兩天的激烈交戰後落下帷幕。來自韓國的CyKor戰隊拿下本屆聯賽的總冠軍,并赢取20000美元獎金。來自俄羅斯的LC↯BC戰隊取得總決賽亞軍,上海交通大學的0ops團隊獲得季軍。此外,台灣大學217戰隊、台灣科技大學Forx、FlappyPig、複旦大學六星、Nu1L分别位列四至八名。
“以賽促建,以賽促學,XCTF比賽,是希望發現更多民間的網絡安全攻防高手,讓更多的網絡安全人才有一個展示才華的平台。”XCTF聯賽共同發起人與執行組織者諸葛建偉說。
賽事陣容強大,彙聚國際明星
星光閃耀的XCTF總決賽,對于選手們來說,這一天已經期待很久了,因為在這個巅峰對決的現場,他們可以近距離與高手過招。“武林大會”的高規格出場“配置”究竟有多高?讓我們一起來圍觀。
本屆XCTF總決賽的國際頂級戰隊陣容可謂空前強大:世界排名前10的五大CTF戰隊,以及中國大陸最強的十支戰隊集體亮相。排名前10的五大CTF戰隊在國際上過關斬将,可謂戰功赫赫,來自韓國大學的CyKor戰隊,俄羅斯的LC↯BC戰隊、中國上海交大的0ops戰隊、中國台灣大學的217戰隊……每一支隊參與的國際比賽不下五十場。
越來越多網絡安全愛好者躍躍欲試,而對于“老一輩”的江湖們來說,眼界不再是局限于切磋和觀看比賽輸赢時的愉悅,而是期待着在這賽事結束後,又能夠“挖掘”出更多網絡安全新生後輩力量。
對于“手藝的傳承”緊迫感,并不是杞人憂天,人才是網絡安全第一資源,當下我國網絡安全形勢不容樂觀。據統計,2015年網頁仿冒、拒絕服務攻擊等呈現增長态勢,黨政機關、科研機構和重要行業單位網站成為攻擊的重點目标。“互聯網+”安全不僅僅是計算機網絡安全,而是大衆生存空間線上線下綜合安全問題,培養更多網絡安全人才已經上升成為國家意志。所以,XCTF聯賽模式,并不僅僅是一場切磋手藝的比賽,而是承載着人才培養的重任——未來将為中國網絡安全人才提供輸出平台,促進國際先進網絡安全技術、人才引進,協助高校、企業、科研機構建立更加科學的網絡安全人才培養體系。
展示才華,選手找到自己的歸屬
能吸引高手雲集,原因是多方面的。首先,收益不錯。以近幾年崛起的明星戰隊PPP(PLAIDPARLIAMENTOFPWNING)為例,這支隊伍來自美國CMU(卡内基梅隆大學),隊内有Geohot神奇小子和Ricky兩位國際最高水平黑客作為雙子領軍,被XCTF聯賽共同發起人與執行組織者諸葛建偉稱為超強戰隊。作為最傑出的CTF參與團隊之一,PPP每年能夠拿下5000到65000美元不等的獎金收入。
其次,CTF競賽幫助學生們擴展了自己的非正統技能儲備。比如,他們能夠通過CTF競賽了解并掌握多達20種漏洞利用技能。學校不會指導學生如何攻擊計時信息、錯誤信息或者在加密類中填充指示标記,但在競賽中掌握的這些知識将最終幫助這群年輕人擊敗未接受過類似訓練的軟件開發者。而這些技能在市場上擁有旺盛的需求。“我們的團隊會從各國防承包商、蘋果、Facebook、谷歌以及領英等廠商處收到群組郵件。”PPP前隊長、現任隊員TylerNighswander在采訪中指出。
而且,CTF競賽讓參與者們迎來了遠超課堂的廣泛施展才華的平台。作為一位新生,該團隊隊長NedWilliamson的一項家庭作業要求其編寫一套模拟其他計算機系統的仿真器。“在接觸CTF競賽之前,我一直覺得為了解決某項問題編寫一套完整的仿真器簡直就是天方夜譚,”他指出,“但現在我發現自己已經習慣了這種原本看似極為困難的解決方案。”
一将難求,企業發現人才的最佳場所
當前網絡安全行業的火熱,與實用人才的供給不足形成了強烈的反差。網絡安全頂尖人才一将難求的局面已成為行業常态。雖然國家在學科建設上已經進行了針對性的改革,但落實到多年的教育培養體制,還有待各高校結合自身特色進一步發展創新。
那麼在比賽中脫穎而出的選手,無疑是對自身實戰能力的一個最好證明,最能滿足行業對人才的迫切需求。網絡安全企業對比賽的興趣也越來越濃厚,不僅積極贊助大型賽事,自身也舉辦各種類型的選拔賽和特訓營。此次XCTF聯賽就得到了包括“BAT3”在内的衆多互聯網企業的贊助。
比賽不僅成為企業發現精英好手的一個途徑,衆多參與團隊在此也開闊了眼界,得到了難得的實戰曆練。更進一步來看,整個安全行業通過大大小小的比賽,高校、企業、民間組織之間的互動性大大增強,比賽成為了當前安全人才發現和培養的一個有效途徑,而且帶動了更多人群對網絡安全的興趣。
同時,比賽期間,來自百度、阿裡巴巴、騰訊、360、啟明星辰、中國科學院、清華大學、北京大學、複旦大學、北京航空航天大學等國内知名企業和高校的安全行業專家還出席了XCTF聯賽網絡安全高峰論壇、InforSec學術論壇等活動,掀起一場有關網絡安全行業狀況及人才培養的讨論新浪潮。
在XCTF聯賽網絡安全高峰論壇上,教育部高等學校信息安全類專業教學指導委員會秘書長封化民認為,通過XCTF聯賽和CTF賽制,有效普及了網絡安全知識,建立了一個高手競技和展示技能的平台,也希望未來更多企業能深度參與網絡安全人才的培養,構建一個校企溝通的平台。
阿裡安全副總裁杜躍進則提出,XCTF聯賽未來要更貼近真實對抗環境,能從事件響應變為威脅應對,從業務安全變為風險控制,在貼緊業務、複雜場景、對抗演練方面進一步提升。360副總裁譚曉生更關注CTF賽事選手的未來職業規劃,他認為面對安全人才缺口問題,需要網絡空間所有企業和從業者聯手來解決。騰訊北京分公司總經理劉勇表示,騰訊通過贊助XCTF聯賽,正是為了加大基礎人才培養力度,為更多年輕安全人才提供實戰、高校合作、工作的機會,加強網絡安全人才與互聯網企業的連接。
通過XCTF聯賽湧現出來的優秀選手是互聯網企業亟需的網絡安全人才,XCTF聯賽正在成為連接網絡安全人才與企業的“橋梁”。
但諸葛建偉也表示,我們需要一種可持續發展的賽事組織和隊伍培養機制。目前,政府部門、教育機構對CTF對抗競技賽的重視與支持力度還不夠,僅靠民間力量構建健康可持續發展的賽事機制非常困難,急需國家力量加入,共同推動網絡空間安全人才選拔與培養體系建設。
網絡安全嘉年華:看你如何玩轉黑科技
賽事不是以純粹的比分數字形式呈獻給觀衆,而是通過更炫更直觀的星球大戰3D動畫效果全程模拟比賽過程。同時,主辦方設立了豐富多彩的展區互動環節,智能安全黑客破解大賽GeekPwn的現場破解秀、VR體驗區、現場CTF模拟比賽體驗等等。
在展區互動環節,觀衆可以參與破解雷達映趣百萬獎金,“全球首款情感機器人”Pepper的隆重亮相,全球首個關注智能生活安全的黑客大賽GeekPwn則帶來最新澳門站比賽項目的現場破解秀。到場觀衆近距離觀看了安全極客演示汽車的入侵和破解過程,在神秘網絡安全體驗屋感受手機中各種安全隐患,破解不同難度的漏洞可以免費從提貨機領取飲料。頂級極客現場展示網站安全漏洞的問題,短期内将某電商網站爆款産品價格修改為1元錢。多樣而有趣的活動,吸引了大量網絡安全愛好者參與其中。
強手如雲,培養高手中的高手
第二屆XCTF聯賽在首屆成功舉辦基礎上,進一步升級為“一帶一路”國際聯賽,将中國網絡安全競賽國際化,吸引國際強隊參與其中,促進國内外網絡安全技術交流,提高我國網絡安全人員實戰水平。
美國傳統強隊Shellphish實力自不用說,而韓國大學的CyKor戰隊也是引人注目的強隊,去年全球總決賽上擊敗美國隊伍奪冠的是來自韓國的DEFKOR戰隊,而本次來京參賽的CyKor正是DEFKOR中由韓國大學學生組成的最強分組,也是韓國“天才神童”Lokihardt最早加入的團隊。
第二屆XCTF聯賽上海站0CTF上殺出的一匹黑馬——俄羅斯頂尖戰隊LC↯BC,擊敗美國PPP、Shellphish戰隊奪冠。
烏克蘭Dcua戰隊目前在CTFTIME排行榜位列世界第一,獲得了ASISCTF、VolgaCTF、SharifUniversityCTF等多個線上CTF賽冠軍。
此次參賽的多支“勁旅”均與XCTF聯賽聯系密切,中國台灣大學217戰隊是首屆XCTF聯賽的衛冕冠軍,俄羅斯LC↯BC戰隊曾奪得XCTF聯賽上海站的冠軍,并由此獲得直通的資格,烏克蘭Dcua和美國Shellphish在選拔賽階段也曾不遠萬裡來到比賽現場。
強手如雲在前,對所有參與的人來說,都将是難能可貴的經曆。上海交通大學0ops戰隊作為XCTF聯賽傳統強隊,世界排名曾高居第三,成功舉辦中國大陸首次入圍直通選拔賽的比賽——上海站0CTF。新秀戰隊不斷湧現,衆多優秀戰隊取得突破性進步,這是一次網絡安全技術水平的巅峰較量。
其實,對于組織者而言,“一帶一路”、吸引國外強隊參與其中,這一步的努力,并不是一個簡單的沖動或迎合潮流,而是考慮到人才培養的方向,深思熟慮後決定主動迎接的挑戰。
作為大賽的主要發起人和組織者,清華大學副研究員諸葛建偉博士介紹了将CTF賽制引入中國的緣由,2010年清華大學網絡與信息安全實驗室組建了藍蓮花(Blue-Lotus)戰隊,征戰國際賽場,在2013年以全球第四名的成績,成為(網絡安全領域“世界杯”)中國首支入圍隊伍,2014年、2015年又連續入圍并取得世界第五名的優秀成績。在此過程中,他發現,中國大陸的從業人員在攻防競賽經驗和臨場應變能力上還存在差距。為此,藍蓮花創始團隊選擇南京作為首次大賽舉辦地,将國際流行的現場攻防模式奪旗賽引入中國,讓國内更多網絡安全技術愛好者能夠體驗這種賽制,并從中得到學習網絡安全實戰技能的經驗和能力。近幾年來,包括上海交通大學0ops團隊、複旦大學六星戰隊等多家團隊活躍于國際賽場,并取得了不俗的成績。
以賽促學、以賽促建,是近幾年網絡安全人才培養的一個重要途徑。當前,網絡空間安全已經上升為國家的戰略,得到前所未有的重視。2015年,國家批準成立了“網絡空間安全”一級學科,并且批準了首批29所大學網絡空間安全專業的博士點,一級學科的成立對于安全行業發展将有很大的促進作用。從事互聯網技術及相關研究,了解網絡空間安全的特征很重要,攻擊與防範的對抗滲透在網絡安全各個研究課題之中,系統化的學術研究方法及紮實的防範能力,也是網絡安全人才培養的重要方向。
2016年7月中央六部委聯合印發《關于加強網絡安全學科建設和人才培養的意見》,旨在創新我國網絡安全人才培養機制,推動高等院校與企業合作育人、協同創新,完善網絡安全人才培養配套措施。《意見》提出網絡安全學科建設和人才培養的極端重要性,要“聚天下英才而用之”,加大對網安人才的支持。
網絡空間的競争,歸根結底是人才競争。從總體上看,我國網絡安全人才還存在較大數量缺口。“全球信息化及網絡化快速發展,未來網絡安全問題将不再局限于一個國家或地區,這将對我國網絡安全人才建設不斷提出新的要求與挑戰。”國家973青年項目首席科學家、複旦大學楊珉教授在InforSec學術專場上表示。
中國網絡安全學科建設剛剛起步,人才數量、能力素質、人才結構等方面與國際水平還有差距,與維護國家網絡安全、建設網絡強國的要求不相适應。中國網絡安全學科建設,迫切需要加大投入力度,完備網絡安全學科專業建設和人才培養。
楊珉教授認為,XCTF國際聯賽是目前網絡安全科研機構、一流高校學府及最前沿互聯網公司合作育人、協同創新,完善網絡安全人才培養的一個成功嘗試,他同時希望未來有更多的平台誕生,共同為培養比肩國際水平的網絡安全人才貢獻力量。
2016XCTF全球總決賽實時戰況