不知道有多少人和我一樣���,因?yàn)榻跓嵊车碾娨晞《缐Γ尤肓恕袄瞵F(xiàn)老婆”的大軍�。
吸引大家的除了甜到齁牙的狗糧,恐怕就是男主角及一群小可愛(ài)們?cè)贑TF競(jìng)賽上為國(guó)奪冠的熱血青春了吧。
不過(guò)將原著中的電競(jìng)比賽硬生生改成網(wǎng)絡(luò)安全比賽���,自然也出現(xiàn)了許多為劇情服務(wù)的bug���,讓專(zhuān)業(yè)人士恨不得順著網(wǎng)線爬過(guò)去給編劇一個(gè)物理攻擊�。
![]()
比如對(duì)于很多第一次接觸“CTF競(jìng)賽”這個(gè)名詞的人來(lái)說(shuō),電視劇里描繪的世界確實(shí)很美好:戰(zhàn)斗�、團(tuán)隊(duì)、高薪�、榮譽(yù)、青春�����,一瞬間就能讓人燃起來(lái)為之打call�����。然而現(xiàn)實(shí)中的黑客和CTF等網(wǎng)安競(jìng)賽���,卻遠(yuǎn)遠(yuǎn)沒(méi)有這么多光環(huán)和濾鏡��。
從網(wǎng)癮少年到榮耀加身:黑客大賽是靠啥火起來(lái)的?
首先��,有必要搞清楚網(wǎng)安競(jìng)賽到底是干嘛的?
就拿男主角參加的CTF(Capture The
Flag)奪旗賽來(lái)說(shuō)�,指的是網(wǎng)絡(luò)安全技術(shù)人員之間進(jìn)行技術(shù)競(jìng)技的一種比賽形式。以前���,黑客們總是通過(guò)發(fā)動(dòng)真實(shí)攻擊來(lái)比拼技術(shù)��,CTF則是將安全攻防變成了游戲化的設(shè)定��。
CTF的起源是1996年DEFCON全球黑客大會(huì)��,而后者如今每年也會(huì)吸引全球最多的黑客前往�����。此外還比較知名的網(wǎng)安大賽還有黑黑帽大會(huì)��,每年在拉斯維加斯聚集世界頂尖的黑客與安全專(zhuān)業(yè)����,甚至包括FBI的特工�。美國(guó)安全機(jī)構(gòu)TippingPoint?DVLabs贊助的pwn2own大賽也是高手云集。
![]()
近幾年��,網(wǎng)安競(jìng)賽也開(kāi)始吸引政府或企業(yè)的目光���,比如美國(guó)國(guó)防部從 2014 年開(kāi)始舉辦名為“CyberStakes”的
CTF;中國(guó)的BAT3巨頭也都有自己的網(wǎng)安競(jìng)賽���,比如騰訊的TCTF影響力就不小�,成為DEFCON
CTF外卡賽授權(quán);飽受隱私泄露困擾的Facebook也在2019年舉辦了第一屆fbctf……
目前來(lái)看��,網(wǎng)安競(jìng)賽的核心價(jià)值無(wú)非以下三種:
第一種是幫助互聯(lián)網(wǎng)企業(yè)查漏補(bǔ)缺����,提升安全能力���。比如在pwn2own大賽上���,黑客查理·米勒就憑借一己之力,在蘋(píng)果Mac?OS���、微軟Office以及Adobe?Reade等軟件中發(fā)現(xiàn)了20個(gè)技術(shù)漏洞���。谷歌的Pwnium競(jìng)賽甚至將單日比賽改為了全年制,選手們不論什么時(shí)候找到Google的BUG��,均可獲得獎(jiǎng)金�����,刺激黑客們來(lái)幫助自己發(fā)現(xiàn)問(wèn)題。
第二種是和網(wǎng)絡(luò)安全人才培養(yǎng)直接掛鉤���。參與比賽的職業(yè)黑客有機(jī)會(huì)奪得分?jǐn)?shù)和獎(jiǎng)金�,還有企業(yè)遞出的高薪橄欖枝���,自然能夠吸引和挖掘更多的人才投身網(wǎng)絡(luò)安全行業(yè)�。從國(guó)際到國(guó)內(nèi)���,從一線城市到三線小城��,無(wú)處不可CTF��,甚至還發(fā)展出了專(zhuān)門(mén)針對(duì)高中生的比賽�����。
第三種則是公關(guān)價(jià)值和廣告效應(yīng)��。通過(guò)CTF賽事��,主辦發(fā)可以彰顯對(duì)自身產(chǎn)品和技術(shù)的信心�,有實(shí)力搭建競(jìng)賽環(huán)境;奪冠當(dāng)然也值得宣傳一波,比如騰訊安全團(tuán)隊(duì)在世界黑客大賽上用5秒攻破Safari拿下第一����,360公司13人登上微軟2018msrc
top100白帽黑客榜單,都是在為企業(yè)安全技術(shù)實(shí)力代言��。
![]()
正是這三個(gè)方面的助推��,讓網(wǎng)絡(luò)安全競(jìng)賽迎來(lái)了爆發(fā)期��。黑客們也從互聯(lián)網(wǎng)的邊緣角色���,成為了賽場(chǎng)上榮耀加身���、線下被追捧的主角���。
黑客云集的網(wǎng)安競(jìng)賽����,都存在哪些隱患?
網(wǎng)安競(jìng)賽的火爆���,其好處是顯而易見(jiàn)的���,比如讓更多人了解和重視網(wǎng)絡(luò)安全���,推動(dòng)上下游產(chǎn)業(yè)鏈的完善等等?�?墒窃谄浔澈?����,仍然有不少隱患和疑慮尚待解決��。
首當(dāng)其沖的就是黑客競(jìng)技與公眾安全之間的界限比較模糊���。對(duì)于很多觀眾來(lái)說(shuō)��,網(wǎng)絡(luò)安全漏洞到底危害有多大�,或者說(shuō)黑客的技術(shù)能力有多強(qiáng)�����,還是一個(gè)相對(duì)陌生的事情���,這需要很長(zhǎng)一段時(shí)間的市場(chǎng)教育���。而CTF的比賽形式與內(nèi)容擁有濃厚的黑客精神和黑客文化����,在節(jié)目中攻占攝像頭��、入侵手機(jī)��、截流個(gè)人信息�,甚至是到國(guó)家情報(bào)部門(mén)系統(tǒng)“一日游”,都是家常便飯�����,很容易引發(fā)大眾的心理恐慌�。像我本人看完一場(chǎng)比賽之后,就默默地把密碼改成了30位�。�。。如今有賽事要求選手上傳手持身份證照片���,就是希望通過(guò)實(shí)名制等方式來(lái)打消公眾的顧慮���。
![]()
再一點(diǎn)是��,僅僅提供賽事獎(jiǎng)金并不能解決網(wǎng)絡(luò)安全人才的空缺問(wèn)題���。大多數(shù)企業(yè)主辦方都是“賠本賺吆喝”,指望發(fā)掘一些新興人才加入自己的安全技術(shù)部門(mén)��,然而高昂的獎(jiǎng)金吸引來(lái)的可能不只是人才��,還有“賽棍”��,進(jìn)入決賽和得獎(jiǎng)的可能來(lái)來(lái)回回都是一批人����,也就失去了挖掘新人的初衷。
而且�����,競(jìng)賽所挖掘的人才未必是產(chǎn)業(yè)當(dāng)下最需要的�。奪旗競(jìng)賽并不是現(xiàn)實(shí)生活問(wèn)題的鏡像反映,很多比賽都朝著腦洞越來(lái)越大���、難度越來(lái)越高的趨勢(shì)發(fā)展����,比如在WCTF中就曾經(jīng)出現(xiàn)過(guò)讓選手破解火箭的題目。很多企業(yè)自己不會(huì)搭建比賽環(huán)境����,通過(guò)比賽招來(lái)的高薪人才,很可能出現(xiàn)在實(shí)際工作中水土不服的問(wèn)題���。最后要么是因?yàn)榧寄軣o(wú)處施展而離職���,要么就是被巨頭以更優(yōu)厚的條件挖走。所以說(shuō)并不是引來(lái)了“金鳳凰”���,就一定能留得住這些人才���,辦賽的投資也就打水漂了。
另一方面�,競(jìng)賽非常考驗(yàn)選手的手速和反應(yīng)能力��,需要在短時(shí)間內(nèi)完成追捕���、逃避、反撲、防守等一系列高強(qiáng)度操作�����,所以年齡稍大一點(diǎn)都有可能產(chǎn)生反映誤差�,劇中戰(zhàn)隊(duì)在挑人組隊(duì)時(shí)選擇的都是十幾歲的小伙也就不足為奇了。但在實(shí)際的產(chǎn)業(yè)需求中��,對(duì)于攻擊的判斷���、經(jīng)驗(yàn)���、新興技術(shù)的理解等等也非常重要。CTF選出來(lái)的人才是否真的能為產(chǎn)業(yè)所用��,還需要不少的磨合����。
![]()
更何況,許多頂級(jí)黑客也是很難被“招安”的�����,他們秉承的是“自由探索”理念���,與互聯(lián)網(wǎng)企業(yè)更多的是相互博弈���、相愛(ài)相殺的關(guān)系��。2012年�,Pwn2Own不再要求獲勝者公布漏洞發(fā)掘及攻破過(guò)程���,就直接遭到了Google的反對(duì)��,并撤出了對(duì)Pwn2Own的資金贊助��。中國(guó)互聯(lián)網(wǎng)上著名的偷了馬化騰QQ號(hào)碼��、黑進(jìn)騰訊的鄢奉天���,也被舉報(bào)并送進(jìn)了監(jiān)獄?�?傊?�,借力黑客提升安全能力�����、充實(shí)安全隊(duì)伍的想法,以及黑客的“洗白之路”����,中間都存在著很多的不確定性����,很可能只是企業(yè)和贊助方的一廂情愿。
所以我們能看到近年來(lái)不少組織機(jī)構(gòu)花重金扶持網(wǎng)安競(jìng)賽�����,可是網(wǎng)絡(luò)勒索���、用戶信息泄露等事故還是頻繁出現(xiàn)����,真正走進(jìn)大眾視野�、解決切實(shí)需求的案例并不多。
有待“英雄們”解決的安全迷思
網(wǎng)絡(luò)安全競(jìng)賽作為核心元素���,出現(xiàn)在大眾娛樂(lè)文化當(dāng)中�����,無(wú)疑會(huì)吸引更多的人去關(guān)注它�,從這個(gè)角度講,所謂的“改編”和求生欲未嘗不是一件好事����。
不過(guò),當(dāng)下的網(wǎng)絡(luò)環(huán)境也提出了許多新的問(wèn)題�,需要公眾、企業(yè)與黑客們來(lái)共同探索��。
舉個(gè)例子���,許多急切需要提升安全防護(hù)的領(lǐng)域,反而無(wú)力�����、無(wú)意舉辦類(lèi)似比賽來(lái)招攬人才���。研究顯示����,在過(guò)去 7 年時(shí)間里��,美國(guó)大概發(fā)生了 1800
起重大醫(yī)療數(shù)據(jù)泄露事件,其中有 33 家醫(yī)院遭遇過(guò)數(shù)次網(wǎng)絡(luò)攻擊��。中國(guó)也發(fā)生過(guò)黑客倒賣(mài)醫(yī)院數(shù)據(jù)���、公立醫(yī)院系統(tǒng)被黑客勒索價(jià)值2億元以太幣等新聞�����。
醫(yī)療數(shù)據(jù)事關(guān)人命,而與之形成鮮明對(duì)比的則是醫(yī)院信息安全系統(tǒng)在技術(shù)和人才上的嚴(yán)重匱乏�����。但在幾乎所有的網(wǎng)安競(jìng)賽中��,人才都流向了巨頭企業(yè)和高額獎(jiǎng)金��,醫(yī)院等公共服務(wù)機(jī)構(gòu)幾乎集體失語(yǔ)了���。如何將網(wǎng)絡(luò)安全人才引導(dǎo)向這個(gè)領(lǐng)域����,而不是總想著火箭���、情報(bào)局之類(lèi)的“干大事”���,就需要主辦方多動(dòng)些腦筋了�����。
![]()
(攻陷醫(yī)院的勒索病毒)
另一方面���,各類(lèi)數(shù)據(jù)和服務(wù)向云端遷移的關(guān)鍵時(shí)期,想要抵御多樣的云攻擊模式���,也需要行業(yè)共同探索新的解決方案�。比如說(shuō)以前黑客發(fā)起攻擊��,防守團(tuán)隊(duì)就需要一晚上不斷地跟進(jìn)對(duì)抗����,體力消耗很大,特征算法的引入�,就可以讓人工智能與黑客進(jìn)行對(duì)抗。這時(shí)候考驗(yàn)的就是誰(shuí)的算法能力更強(qiáng)�、技術(shù)模型建構(gòu)的更好、算力更加充沛。所以�����,未來(lái)的網(wǎng)絡(luò)安全也許就是巨無(wú)霸之間的較量了��,如何讓新人的學(xué)習(xí)門(mén)檻變得更低�,將是一場(chǎng)百川歸海的生態(tài)競(jìng)爭(zhēng),巨頭企業(yè)們也是時(shí)候交出新的答卷了���。
![]()
整體來(lái)看��, CTF網(wǎng)絡(luò)安全競(jìng)賽的概念火了,或許根本原因在于����,公共數(shù)據(jù)安全已經(jīng)在危機(jī)中等待救贖很久了。
作為距離大眾隱私最近的一環(huán)���,能夠救民眾于水火的競(jìng)賽�����,是整個(gè)行業(yè)都在強(qiáng)烈期待和推動(dòng)的���,同樣也是一場(chǎng)山高路遠(yuǎn)的艱難攀爬��?��;蛟S,有越來(lái)越多的“老婆們”理解并認(rèn)可了這個(gè)神秘的職業(yè)���,它才真正徹底地走到了陽(yáng)光下��。
