騰訊信息安全爭霸賽的第四年:喝水人和挖井人

騰訊信息安全爭霸賽(TCTF)的誕生,是一個「出道即巔峰」的故事。

2017年,騰訊安全發起、騰訊安全聯合實驗室主辦的第一屆騰訊信息安全爭霸賽,沒有經歷「冷啟動」的開局之難,第一年就吸引了全球近1000支CTF戰隊參賽,盛名在外的俄羅斯老牌強隊LC↯BC戰隊、日本的binja戰隊和美國的Shellphish、PPP戰隊、匈牙利的傳統CTF強隊!SpamAndHex都在參賽戰隊之列。

2019年的0CTF/TCTF賽事在CTFTime上被打出了接近滿分100分的高分——CTFTime是一個去中心化的賽事資訊和積分網站,以權威和公正著稱,無論是對於戰隊還是賽事主辦方來說,在CTFtime上的排名和得分都是衡量其水平的最有說服力的指標。

「我們不是(像你問題里描述的那樣)花了四年或者花了幾年打造一個這個水平的賽事,我們是從第一年開始就是最好的,後來幾年水平也沒有掉下來過。」騰訊安全科恩實驗室的負責人吳石提及這一點,語氣里是掩飾不住的驕傲。

生逢其時

正如唯物主義史觀強調的「時勢造英雄」所說:一個人的命運除了自我奮鬥,也和歷史進程離不開關係。TCTF的一騎絕塵,有很多天時地利的條件。

中國第一個公開的CTF賽事大約出現在2014年,經過幾年的發展,到2017年的時候,雖然已經陸續出現一些新的CTF賽事,但質量良莠不齊,沒有一個在國際上有影響力。也是那個時候,中國開始重視網絡安全的建設,而舉辦安全競賽是一個很好的推廣網絡安全的抓手。

「當時CTF在中國是一個將起未起的新鮮事,國內安全領域對這個比賽形式只有了一些粗淺的了解,但不知道一個好的CTF比賽應該是什麼樣的。」騰訊安全科恩實驗室高級研究員謝天憶回憶,「我那時候就在想,如果以後有機會,我要讓國內的CTF選手知道真正的CTF比賽是什麼樣的。」

巧的是,謝天憶有一天接到了老闆吳石的一個提議:我想辦一個面向全球的CTF比賽,你有沒有信心辦好?謝天憶心想:我就是干這個的啊。事情就這麼愉快地決定了。

那時候國內有實力去打國際比賽、能打進決賽的CTF戰隊寥寥可數,叫得出名字的一個是清華的藍蓮花,另一個是上海交大的0ops,而謝天憶就曾經是0ops的隊長。

和謝天憶出於興趣投身CTF賽事不同,騰訊安全科恩實驗室負責人吳石想要辦TCTF,最早是出於培養人才的考慮。有一天,0ops戰隊的指導老師姜開達帶了兩個學生來找吳石,請吳石對他們進行「特訓」,讓他們在接下來要進行的一個CTF賽事中打出好成績。「我當時也觀察了一下,國內安全研究人員極度缺乏,我們幾乎招不到人。如果整個行業都這麼缺人,那麼我是不是可以把這個事情搞大一點,讓更多年輕人都可以參與進來?」

吳石的Keen Team已經被騰訊安全招致麾下,預算、人力、資源都有保障,如果說他之前也曾經產生過辦一個國際賽事的想法的話,那這個時候這個想法的實現已經觸手可及。吳石向他的老闆、騰訊副總裁丁珂表達了想要辦CTF賽事的意願,得到了後者的大力支持。

2017年,TCTF正式「出道」。第一屆TCTF由騰訊安全聯合實驗室主辦,騰訊安全聯合實驗室七大掌門人吳石、於暘、袁仁廣等悉數出陣,和數十所高校的資深網絡安全老師一起組成了全明星導師團。通過與0ops戰隊的合作,第一屆TCTF順利申請到了有「黑客世界盃」之稱的DEF CON CTF外卡賽的資格,成為中國大陸當時唯一拿到DEF CON CTF外卡賽資格的賽事。這意味着在TCTF中獲得國際賽冠軍的團隊會直接進入DEF CON CTF總決賽。

「從第一年開始的確就有很多海外知名強隊參加TCTF,我自己認為有兩個原因,一個是0ops是中國數一數二的戰隊,與0ops合作辦這個賽事,質量有保障;另一個是我們給決賽戰隊提供來中國的差旅,有機會來中國一趟,這些海外戰隊也很樂意。」吳石說。

和國際賽並列的是另一個面向高校學生的賽道「新星賽」,每年也吸引幾百支中國高校戰隊出戰。這些高校戰隊平時並沒有太多機會去海外打比賽,但是在TCTF的賽場上,他們能和來自全世界的頂尖高手們同台競技。「我們每年都堅持做線下賽,其實就是要給國內的這些選手提供一個能夠面對面跟國際最頂尖選手交流的機會。這幾年國內的CTF水平整體有飛速的增長,這與跟國際戰隊的交流是密不可分的。」

謝天憶介紹道,衡量一個CTF比賽好不好最關鍵的因素看題目質量。TCTF的出題人憑藉豐富的海外參賽經驗,吸收了國際高水平CTF賽事的一些理念,融合出題人自己的思路之後再去設計了很多很好的題目,在當時的CTF領域一下子就鶴立雞群。「參賽選手會覺得比賽題目設計得很好,能學到東西、很有趣,解出來很有成就感。」

雖然是輕描淡寫的幾句,但其實出題是一個苦差事,常常要耗費一個團隊一個月的時間。雖然在部門裡承擔了很多管理職責,但謝天憶每年還是很積極地參加各種國內外高規格的CTF賽事。一是自己的確很喜歡,二也是因為想要捕捉最前沿的CTF賽題。「要麼跟進前沿安全研究,要麼就經常去打比賽,看看別人在出一些什麼類型的、什麼方向的題目,否則你出的題目很容易就會落伍。」

喝水人和挖井人

與2017年騰訊安全聯合實驗室剛剛開始辦TCTF的時候相比,雖然只有短短几年,國內的網絡安全圈子已經發生了很大的變化。全國性的CTF賽事越來越多,組織水平相較四年前也有了質的提升,很多高校都有了自己的CTF戰隊:復旦大學六星戰隊、浙江大學AAA戰隊、清華大學Redbud、北航的Lancet、中山大學WaterDrop……去年由國家主管部門指導舉辦的「護網杯」安全競賽,參賽團隊達到了驚人的6479支。

甚至,在「國賽」中打出成績的戰隊,在考研時甚至可以獲得額外加分——這反映的是一種理念的變化:曾經被認為不務正業、奇技淫巧的CTF,如今已經被正名了。

當初困擾吳石的無人可招的局面也有明顯的改善,僅騰訊安全科恩實驗室自己而言,TCTF給它帶來了佔據實驗室一半編製的新成員,今年代表騰訊安全在DEF CON CTF拿下冠軍的A*0*E戰隊隊長劉耕銘就是第一屆TCTF的新星賽冠軍戰隊成員。

TCTF組委會針對前兩年參加比賽的選手做過一個回訪,從結果上來看,參加過TCTF的選手絕大部分都從事了網絡安全行業,他們流向了一線互聯網公司的網安部門或者專門的網絡安全公司,其中也有相當一部分加入了騰訊。

如今的網絡安全比起四年前算是繁榮了很多,僅從人才培養的角度來看,以辦賽的方式看起來稍顯迂迴,每年砸在TCTF賽事上的錢如果直接用來從高校定向挖人或者補貼,招人效率可能更高。但以目前網絡安全人才缺口的狀況,還遠遠不到坐享其成的階段。教育部高等學校教指委的報告指出,中國每年通過高等教育向社會輸送的安全人才不足1.5萬,但每年安全領域的人才缺口卻高達幾十萬。

「培養人才應該是一個正和博弈而不是零和博弈,是需要大家一起參與、攜手來做好的事情。如果都不挖井、都只想喝現成水的話,這個行業起不來,每個人都沒有水喝。」吳石說道,「目前有一個很明顯的趨勢,國家很多主管部門也在辦這種比賽,這對於整個行業的繁榮都是有幫助的。」

吳石說,如果沒有發生什麼大的變故,TCTF他們會一直辦下去,「和國內高校的學生保持一個比較好的互動」。

光榮與夢想

TCTF今年的預賽已經於6月底完成,決賽將在9月26號展開序幕。和大多數國際競賽一樣,由於疫情,今年的方式改成了線上。雖然沒有了「海外差旅」的加持,現在的TCTF也足夠吸引全球高手來切磋。

東京大學的CTF戰隊TSG今年計劃籌辦CTF賽事,由於和TCTF預賽時間衝突,他們調整了自己賽事的時間。「抱歉給大家帶來困擾,但我們想參加0CTF(即TCTF的國際賽)!」

今年的決賽陣容一如既往地強大,來自韓國的Koreanbadass、來自戰鬥民族俄羅斯的More Smoked Leet Chicken、美國的00后戰隊perfect blue、中國高校聯合戰隊r3kapig、波蘭勁旅Dragon Sector、日本強隊TokyoWestern、浙江大學的AAA戰隊、華南理工Kap0K、深圳大學的Aurora、西安電子科大的L戰隊……15支全球頂尖戰隊和15支中國高校戰隊齊聚一堂,老牌戰隊要捍衛榮耀,新星戰隊要嶄露頭角,他們都將在TCTF 2020的決賽上綻放他們的光榮與夢想。

雷鋒網雷鋒網


想在手機閱讀更多中國內地資訊資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems