CTF竞赛浪潮来袭!

1992年，我偶然进入信息安全领域，随着互联网的兴盛，我在IRC的聊天室里开始接触国外的黑客圈子。但第一次真正意义上和他们在海外见面交流，是2012年去日本、韩国的时候。

国内媒体在2001年中美黑客大战之后，开始关注这个特殊的群体。但最初基本是文艺调调的喧嚣和口水，或是在网络爱国愤青和网络犯罪这两极间摇摆。因此，大众对这个群体要么是充满好奇，要么是鄙夷排斥不以为然。

2006年，我曾想去参加台湾的骇客年会hitcon，因此第一次注意到WarGame这样的黑客竞赛方式，联想到电玩比赛的酷范儿，当时就想什么时候中国黑客也应出现在这样的竞技舞台上，这才是黑客文化最酷最直接的对话方式。所以此后我一直很关注国外黑客竞赛的情况。

但实际上，黑客竞赛一直是一个很特别的存在，而且无论国内外，竞赛题型的差异非常大。

国内的竞赛主要兴起于高校之中，毕竟我国现在约有58所大学开设有信息安全本科专业（但实际我个人是反对在高校本科阶段开设信息安全专业的）。但国内的题目通常出得比较偏向于基础题和实践题，出得相对好点的竞赛题会有模拟搭建出的渗透环境。

而国外的题目有两大类题型，一类是Wargame，类似于通关挑战，比较出名的有 。一类是CTF，如美国著名的Defcon CTF（Capture The Flag 夺旗赛），有线上资格赛与线下决赛两个环节。线上资格赛通过做题拿到不同的分值，积分前若干名进入线下决赛。

决赛中，所有队伍被关在小黑屋里，每个队伍分配一台虚拟机（VM），上面跑着各种各样的 App 或者 Web，VM 里也随机散布着各个 flag 文件（得分文件）。比赛开始后，所有队伍相互进攻以及防御，哪个队拿到的 flag 文件多，哪个队获胜。

2010年在无锡与美国IDEFENSE合办的石中剑峰会上，也曾尝试全套引进这样的比赛环境。

惭愧的是，居然没有国内战队报名。最终，价值10万人民币的比赛设备大奖只能“完璧归赵”。

在实用主义和专家威权主导下，国内竞赛更喜欢偏现实/实际的题型（我记得北理工早期主办的全国高校安全竞赛比的居然是论文），例如模拟真实的web环境，让你渗透常见的网站平台或办公网络环境等，这也造就了国内黑客的兴趣点和国外的不同。

Defcon CTF Qual的题目里面有很多小技巧，并蕴含着黑客文化。也许在老外眼里，技术竞赛是一种乐趣，就像我们喜欢看足球世界杯，一次的输赢不重要，更多是一种对竞技的享受。

当然，这也许是因为前些年国际竞赛中中国人面孔较少的原因，其实我猜测也和有些早期的大牛们出身草根，英语不好加上已经成名不屑参与有点关系。但要改变这种大环境的功利主义，似乎是个性感却没有骨肉支撑的怪异事情。

安全技术大牛，早年都靠白手起家基本形成了自己的游戏方式，而国内看着热闹却始终不温不火的安全行业，使享受黑客文化的就局限在小小的闷骚圈子里，更别提“苟富贵、莫相忘”的吐槽依然是大家日常的调侃口头禅了。

纯粹地享受技术、黑客文化的自由，这种氛围也许还是个漫长的话题。何况我自己在2000年就也曾说过，当时，我们还缺乏黑客文化的土壤。

2011年之后，我和圈子里的朋友也聊过如何举办一场国内的CTF竞赛，后来发现要在国内举办一场这样的比赛是何其艰难。CTF这种类别的竞赛对竞赛者的综合水平要求非常高，这可不是平时玩点脚本、注入、跨站就能迅速适应的。

就拿2011年江西高校安全竞赛，最后的挂名也是：信息安全软件设计大赛（主办单位认为用攻防两字太敏感）。

的确， 通过之前实际操办和调研的结果看，目前国内安全专业的大学生很少能达到CTF的水平，所以我目前趋向先鼓励和支持国内的安全爱好者积极参与国际黑客竞赛，拥有相当一批有实力的玩家战队后，再考虑在国内举办这样的竞赛以进一步吸引国外战队参与。

值得高兴的是，今年8月，在全球最顶级的黑客竞赛DEFCON CTF上，来自中国的安全宝-蓝莲花战队，延续了他们今年异军突起的神勇，顺利通过资格赛进入总决赛，并取得第11名的不俗战绩。9月，IDF实验室在车库咖啡举办的第八期黑客文化沙龙，还特意邀请他们来做了分享。

期待未来全世界各国的CTF，会涌入更多的中国年轻有朝气的面孔。

也许不久的将来，比DEFCON 48小时的连续竞赛更酷的72小时CTF竞赛会在天朝出现。