为“网瘾少年”李现上头吗?网络安全竞赛没你想的那么燃

不知道有多少人和我一样,因为近期热映的电视剧而爬墙,加入了“李现老婆”的大军。

吸引大家的除了甜到齁牙的狗粮,恐怕就是男主角及一群小可爱们在CTF竞赛上为国夺冠的热血青春了吧。

不过将原著中的电竞比赛硬生生改成网络安全比赛,自然也出现了许多为剧情服务的bug,让专业人士恨不得顺着网线爬过去给编剧一个物理攻击。

比如对于很多第一次接触“CTF竞赛”这个名词的人来说,电视剧里描绘的世界确实很美好:战斗、团队、高薪、荣誉、青春,一瞬间就能让人燃起来为之打call。然而现实中的黑客和CTF等网安竞赛,却远远没有这么多光环和滤镜。

从网瘾少年到荣耀加身:

黑客大赛是靠啥火起来的?

首先,有必要搞清楚网安竞赛到底是干嘛的?

就拿男主角参加的CTF(Capture The Flag)夺旗赛来说,指的是网络安全技术人员之间进行技术竞技的一种比赛形式。以前,黑客们总是通过发动真实攻击来比拼技术,CTF则是将安全攻防变成了游戏化的设定。

CTF的起源是1996年DEFCON全球黑客大会,而后者如今每年也会吸引全球最多的黑客前往。此外还比较知名的网安大赛还有黑黑帽大会,每年在拉斯维加斯聚集世界顶尖的黑客与安全专业,甚至包括FBI的特工。美国安全机构TippingPoint DVLabs赞助的pwn2own大赛也是高手云集。

近几年,网安竞赛也开始吸引政府或企业的目光,比如美国国防部从 2014 年开始举办名为“CyberStakes”的 CTF;中国的BAT3巨头也都有自己的网安竞赛,比如腾讯的TCTF影响力就不小,成为DEFCON CTF外卡赛授权;饱受隐私泄露困扰的Facebook也在2019年举办了第一届fbctf……

目前来看,网安竞赛的核心价值无非以下三种:

第一种是帮助互联网企业查漏补缺,提升安全能力。比如在pwn2own大赛上,黑客查理·米勒就凭借一己之力,在苹果Mac OS、微软Office以及Adobe Reade等软件中发现了20个技术漏洞。谷歌的Pwnium竞赛甚至将单日比赛改为了全年制,选手们不论什么时候找到Google的BUG,均可获得奖金,刺激黑客们来帮助自己发现问题。

第二种是和网络安全人才培养直接挂钩。参与比赛的职业黑客有机会夺得分数和奖金,还有企业递出的高薪橄榄枝,自然能够吸引和挖掘更多的人才投身网络安全行业。从国际到国内,从一线城市到三线小城,无处不可CTF,甚至还发展出了专门针对高中生的比赛。

第三种则是公关价值和广告效应。通过CTF赛事,主办发可以彰显对自身产品和技术的信心,有实力搭建竞赛环境;夺冠当然也值得宣传一波,比如腾讯安全团队在世界黑客大赛上用5秒攻破Safari拿下第一,360公司13人登上微软2018msrc top100白帽黑客榜单,都是在为企业安全技术实力代言。

正是这三个方面的助推,让网络安全竞赛迎来了爆发期。黑客们也从互联网的边缘角色,成为了赛场上荣耀加身、线下被追捧的主角。

黑客云集的网安竞赛,

都存在哪些隐患?

网安竞赛的火爆,其好处是显而易见的,比如让更多人了解和重视网络安全,推动上下游产业链的完善等等。可是在其背后,仍然有不少隐患和疑虑尚待解决。

首当其冲的就是黑客竞技与公众安全之间的界限比较模糊。对于很多观众来说,网络安全漏洞到底危害有多大,或者说黑客的技术能力有多强,还是一个相对陌生的事情,这需要很长一段时间的市场教育。而CTF的比赛形式与内容拥有浓厚的黑客精神和黑客文化,在节目中攻占摄像头、入侵手机、截流个人信息,甚至是到国家情报部门系统“一日游”,都是家常便饭,很容易引发大众的心理恐慌。像我本人看完一场比赛之后,就默默地把密码改成了30位。。。如今有赛事要求选手上传手持身份证照片,就是希望通过实名制等方式来打消公众的顾虑。

再一点是,仅仅提供赛事奖金并不能解决网络安全人才的空缺问题。大多数企业主办方都是“赔本赚吆喝”,指望发掘一些新兴人才加入自己的安全技术部门,然而高昂的奖金吸引来的可能不只是人才,还有“赛棍”,进入决赛和得奖的可能来来回回都是一批人,也就失去了挖掘新人的初衷。

而且,竞赛所挖掘的人才未必是产业当下最需要的。夺旗竞赛并不是现实生活问题的镜像反映,很多比赛都朝着脑洞越来越大、难度越来越高的趋势发展,比如在WCTF中就曾经出现过让选手破解火箭的题目。很多企业自己不会搭建比赛环境,通过比赛招来的高薪人才,很可能出现在实际工作中水土不服的问题。最后要么是因为技能无处施展而离职,要么就是被巨头以更优厚的条件挖走。所以说并不是引来了“金凤凰”,就一定能留得住这些人才,办赛的投资也就打水漂了。

另一方面,竞赛非常考验选手的手速和反应能力,需要在短时间内完成追捕、逃避、反扑、防守等一系列高强度操作,所以年龄稍大一点都有可能产生反映误差,剧中战队在挑人组队时选择的都是十几岁的小伙也就不足为奇了。但在实际的产业需求中,对于攻击的判断、经验、新兴技术的理解等等也非常重要。CTF选出来的人才是否真的能为产业所用,还需要不少的磨合。

更何况,许多顶级黑客也是很难被“招安”的,他们秉承的是“自由探索”理念,与互联网企业更多的是相互博弈、相爱相杀的关系。2012年,Pwn2Own不再要求获胜者公布漏洞发掘及攻破过程,就直接遭到了Google的反对,并撤出了对Pwn2Own的资金赞助。中国互联网上著名的偷了马化腾QQ号码、黑进腾讯的鄢奉天,也被举报并送进了监狱。总之,借力黑客提升安全能力、充实安全队伍的想法,以及黑客的“洗白之路”,中间都存在着很多的不确定性,很可能只是企业和赞助方的一厢情愿。

所以我们能看到近年来不少组织机构花重金扶持网安竞赛,可是网络勒索、用户信息泄露等事故还是频繁出现,真正走进大众视野、解决切实需求的案例并不多。

有待“英雄们”解决的安全迷思

网络安全竞赛作为核心元素,出现在大众娱乐文化当中,无疑会吸引更多的人去关注它,从这个角度讲,所谓的“改编”和求生欲未尝不是一件好事。

不过,当下的网络环境也提出了许多新的问题,需要公众、企业与黑客们来共同探索。

举个例子,许多急切需要提升安全防护的领域,反而无力、无意举办类似比赛来招揽人才。研究显示,在过去 7 年时间里,美国大概发生了 1800 起重大医疗数据泄露事件,其中有 33 家医院遭遇过数次网络攻击。中国也发生过黑客倒卖医院数据、公立医院系统被黑客勒索价值2亿元以太币等新闻。

医疗数据事关人命,而与之形成鲜明对比的则是医院信息安全系统在技术和人才上的严重匮乏。但在几乎所有的网安竞赛中,人才都流向了巨头企业和高额奖金,医院等公共服务机构几乎集体失语了。如何将网络安全人才引导向这个领域,而不是总想着火箭、情报局之类的“干大事”,就需要主办方多动些脑筋了。

(攻陷医院的勒索病毒)

另一方面,各类数据和服务向云端迁移的关键时期,想要抵御多样的云攻击模式,也需要行业共同探索新的解决方案。比如说以前黑客发起攻击,防守团队就需要一晚上不断地跟进对抗,体力消耗很大,特征算法的引入,就可以让人工智能与黑客进行对抗。这时候考验的就是谁的算法能力更强、技术模型建构的更好、算力更加充沛。所以,未来的网络安全也许就是巨无霸之间的较量了,如何让新人的学习门槛变得更低,将是一场百川归海的生态竞争,巨头企业们也是时候交出新的答卷了。

整体来看, CTF网络安全竞赛的概念火了,或许根本原因在于,公共数据安全已经在危机中等待救赎很久了。

作为距离大众隐私最近的一环,能够救民众于水火的竞赛,是整个行业都在强烈期待和推动的,同样也是一场山高路远的艰难攀爬。或许,有越来越多的“老婆们”理解并认可了这个神秘的职业,它才真正彻底地走到了阳光下。

(0)

相关推荐

  • 网鼎杯风云:真·大侠不搞偷袭,真·黑客不靠作弊

    朋友,你考试作过弊么? 你也许知道,考场是个"小江湖"--那乱飞的纸条.写满答案的橡皮擦.总是掉在地上的笔.斜视的眼神.监考老师的缓慢转身--分秒间都是一部动作戏. 而动作戏的背后 ...

  • 我是阿里巴巴第2689**号员工

    浅友们好~我是史中,我的日常生活是开撩五湖四海的科技大牛,我会尝试各种姿势,把他们的无边脑洞和温情故事讲给你听.如果你想和我做朋友,不妨加微信(shizhongmax). 我是阿里巴巴第2689**号 ...

  • 网络安全竞赛参与者必读!主流竞赛形式、常见题型分析……

    世界技能大赛新增网络安全项目 随着全社会对网络空间安全的重视程度日益增加,高校的网络安全人才培养和各行业在职安全人员专业能力提升教育日益重要,网络安全人才供不应求的局面还将长期持续. 各类网络安全竞赛 ...

  • 真实的CTF被韩商言玩坏了,CTF高手们有话说

    耳机?电竞座椅?炫酷的队服?精心打理的发型?坚毅的眼神?这都不属于CTF! 谁说一个CTF选手最好的黄金年龄就只有六年,难道是因为六年后就秃了? 这部剧最不合理的地方在于,CTF选手居然有头发,还搞过 ...

  • 网络安全首现世界技能大赛,上交学霸组合勇夺亚军!

    当地时间8月27日晚,第45届世界技能大赛在俄罗斯喀山落下帷幕. 来自上海交大的两名研究生肖子彤.冯柱天参加了新增的网络安全项目比赛,最终获得银牌的好成绩. 肖子彤(左).冯柱天(右) 新增项目,全新 ...

  • 国际最著名的黑客赛事PWN2OWN东京 2020第一天赛况回顾

    最近由于个人原因追踪国内外安全资讯稍微有点滞后,昨天和大家简单谈了一下我国的黑客顶级赛事"天府杯",今天就简单谈一下前两天举行的Pwn2Own Tokyo 2020的概况. Pwn ...

  • 一次持续 15 年的网络安全“攻防之战”

    2003 年 7-8 月,冲击波病毒爆发,对网络安全造成严重影响,尤其是校园网.冲击波病毒不仅使得校园网变得卡顿,还会在学生电脑上强制弹出一个倒计时窗口,60 秒后自动关机,给学生正常使用电脑和网络造 ...

  • 国际最著名的黑客赛事PWN2OWN东京 2020第三天赛况回顾

    Pwn2Own Tokyo已经结束,比赛充满了戏剧性和刺激性.在比赛的第三天也是最后一天,大赛共发放了37,500美元奖励,用于奖励4个设备上的6个错误. 第三填以DEVCORE团队在Western ...

  • 这些CTF,不仅学技术,还有巨额奖金!

    不会吧,不会吧,不会还有安全er不知道CTF是什么吧? 哈哈,跟大家开个玩笑. 金庸武侠小说中,武林高手要么举办华山论剑,要么召开武林大会,通过这些盛会和比赛来切磋武力值. 在程序员的世界里,也有AC ...

  • 如何培养一支能打“硬战”的学生网络安全团队

    网络空间的竞争,归根结底是人才竞争,人才是网络安全第一资源.建设网络强国,没有一支优秀的人才队伍,没有人才创造力迸发.活力涌流,是难以成功的. 近年来,为响应号召,为实施网络强国战略.维护国家网络安全 ...

  • 【XCTF2016】发掘藏于民间的顶尖网络安全人才

    编者按 7月16日,北京国际会议中心,XCTF国际联赛总决赛在此火热上演.大赛由中国互联网发展基金会.教育部高等学校信息安全专业教学指导委员会指导,国家创新与发展战略研究会.网络空间安全人才发展基金( ...