「小時候我總是糾結要上清華還是北大,後來發現原來是我想多了。。。。」
不過,人要是沒有夢想,和鹹魚有什麼區別。
最近,雷鋒網宅客頻道編輯遇到了藍蓮花戰隊的建立者之
一、清華大學副研究員諸葛建偉,向他諮詢了這個問題——如何才能加入藍蓮花這種中國頂級黑客戰隊?
難於上清華
2012 年之後,藍蓮花戰隊吸收過浙大、上交、復旦、成信等國內其他高校學生,及阿里巴巴、綠盟等公司成員加入。
也就是說,只要技術足夠牛,加入藍蓮花不是夢。
比如,兩年前在知乎上也有這麼乙個提問:怎麼才能進入清華藍蓮花戰隊?感覺只要在知乎上聯絡隊員朱文雷、楊坤等人,並用技術征服他們就好(就這麼說一下,要征服他們估計不容易)。
現在由於 ctf 比賽很多,各大高校都組建了自己的 ctf 戰隊,藍蓮花戰隊也日漸趨向於由清華大學本校成員構成,而且諸葛建偉告訴編輯,一般是由「清華大學研究生」組成,正式隊員不到 20 人,因為「清華大學網路安全學科申請了碩、博士點,本科專業屬於清華大學整個資訊類學科中,沒有設立單獨的網路安全本科專業」。
所以,要想加入藍蓮花,第一步是先考上清華的研究生???
小小科普一下,所謂外卡賽,是指 defcon 黑客大會每年會給其認定的國際強隊派發進入 defcon 黑客大會 ctf 總決賽的資格,這些強隊會舉辦比賽來遴選參賽隊伍,尤其因為近年來 defcon ctf 不限制參賽隊伍的人數,很多參加外卡賽獲勝的隊伍可能以聯隊名義參加總決賽。
不過,就算是紫荊花戰隊的優秀隊員,基本上每年也只有兩個人可進入藍蓮花戰隊。
加大基數
諸葛建偉的目標,不是把每個人送進藍蓮花。
2013 年,藍蓮花的建立者諸葛建偉與段海新等人創立了賽寧網安公司,賽寧網安的主要業務之一是承辦各類 ctf 賽事。
他有乙個「播撒火種」的心願。
「把自己限制在清華,我只能培養這部分最頂尖的人才,但是如果能把培養的經驗結合社會資源規模化地推廣,那麼,我不僅可以服務於清華頂級的網路安全戰略人才培養,還能面向整個教育行業,甚至向國家相關機構、企事業單位的網路安全建設輸送人才。」諸葛建偉說。
如果把網路安全人才結構比喻成一座金字塔,在塔尖的高水平人才是各方爭搶的關注點,但承載整座金字塔,能夠提公升整體安全水平還靠基數大的「底座」。
甚至,像現在大家聚焦的智慧型化攻防人才,諸葛建偉認為,只有百分之
一、千分之一的人有這種意識或者能力來指導、研究智慧型化攻防程式,包括諸葛建偉在清華的實驗室在內,每年對外能輸出的這種高技能攻防人才數量是極其有限的。
說白了,不是每個人都能成為楊坤、朱文雷。。。以及**裡的這些人。
將網路安全學科打造成乙個成熟學科,構建創新能力實踐賽,吸引更多安全愛好者參與,培養其能力是這個「教育者」出於本能的選擇。
「在美國,已經有初中生參加 ctf 比賽,中國也組織了面向全國中學生的網路安全的競賽,是以 ctf 解題的模式進行的,而且已經與大學的自主招生緊密聯絡。」諸葛建偉希望,網路安全學科可以下沉到更低年齡段,比如,今年他五歲的孩子已經接觸了硬體程式設計相關的課程。
對於 ctf 是否是選拔及培養網路安全人才最好的方式,業界也有爭議。比如:
目前 ctf 太多了,普及價值大於真正的技術價值。
ctf 僅是技巧型的比賽,對網路安全實戰意義不大。
1.出「題目」的解題模式,包含逆向、漏洞(也稱攻防)、演算法、審計、綜合……,難度不一,分值不一,越難的題目分值越多。
2.攻防模式。
第一種,每一支隊伍一同攻擊同乙個目標,考驗攻擊能力;
第二種,所有參賽隊伍進行防守,遭受攻擊,考驗防守能力;
第三種,結合前兩種,綜合考驗攻防能力。這種模式對技術、戰術、策略要求更高。一般是回合制,乙個回合五分鐘。可以按照自己的策略選擇優先攻擊或防守,打誰不打誰,隊伍自己決定,乙個回合暫停一次。
第四種,大家同時攻擊乙個伺服器,比誰占領伺服器的時間長,保持自己的控制權,不被別人乾掉。
看上去,尤其如果比賽用的是出題模式,就可能有各種各樣的題庫,既然有題庫,題型也是固定的,大家只要把題目做熟了就好,不能考量真正的攻防能力。
諸葛建偉不這麼認為,一味否定 ctf 這模擬賽的價值是不可取的,一場 ctf 價值有多大,要看比賽設定方想要考察選手能力的維度。
說白了,種什麼樣的種子,結什麼樣的果子。
相較於傳統的ctf比賽,他更推崇創新型的 ctf 賽程設定。
傳統的攻防賽可能更注重選手攻擊的能力,但攻防賽應該「攻防兼備」。
以最近舉辦的第十一屆全國大學生資訊保安競賽為例,這場比賽以各個選手隊伍命題的模式代替了組織方命題的模式,當然,這種模式借鑑了之前南韓 poc 大會以及世界黑客大師賽 wctf 的命題方式,但不同的是,第一,結合業內實際業務安全需求構建靶標環境,培養參賽選手的創新開發能力。在半決賽的前兩周內,除了安全開發外,選手還需要在設計的應用中植入企業精心設計的安全挑戰,這種挑戰可能是乙個預設的安全漏洞。
這不是最難的點,最難的點在於精心植入了這個漏洞,還要保證業務邏輯的正常執行,能夠對外正常提供服務。
「大家普遍認為,資訊保安人才要有逆向思維,我給你乙個程式,你要能逆向分析,找到漏洞,但這樣可能會忽視開發能力的培養,其實資訊保安人才需要知道什麼樣的開發過程是安全的,編碼時使用什麼樣的函式、開發的規範等,才能確保不會有一些非預期的安全漏洞。」諸葛建偉說。
理解了安全開發的過程,安全人員和開發團隊才有共同語言和良好的合作基礎。
第二,為了解開別人的「謎底」,選手可能需要糅合密碼學等 ctf 中要考察的技術點,並將這些技術應用到業務需求中,需要有安全檢測能力和漏洞利用能力。
第三,選手需要有安全修復和加固的能力。
我們也預設了乙個前提,對於網路安全人才培養,尤其是高校學生,以 ctf 類競賽的方式來激發人對技術的學習熱情可能是目前應用得最廣泛的理論結合實踐的選擇。
ctf 的參加者可能從菜鳥級初學者延伸到職業安全研究員,假如 ctf 是丈量能力的尺子,你是什麼樣的寬度,就會選擇什麼樣的尺子。
編輯手記
藍蓮花的建立者曾提到了歌手許巍的《藍蓮花》中的一句歌詞:「沒有什麼能夠阻擋,你對自由的嚮往」,以此來闡述「突破技術邊界的極客精神」,諸葛建偉等人不斷嘗試革新 ctf 的創新模式,從學界到業界,希冀將藍蓮花的火種播撒到更廣闊的基數上也是遵循了建立藍蓮花的初衷。
回到最開頭的那個問題,「如何加入中國頂級黑客戰隊藍蓮花」,當你發問並認真思考這個問題時,也許正是探索自由邊界的開始。恭喜你,你雖尚不在藍蓮花,但已接收到了它的火種。
假如我是清華的學生!
這只是我在複習過程中和研友的一次交談所產生的一些想法,這只是個人的一次隨筆,不是針對中國的教育制度說事,也不是抨擊當今社會的種種不公平現象,那不是我等所能考慮的問題,我也沒有能力去改變什麼,想那些自己無能為力的事情等於什麼也沒想,其作用還不如你拿一馬扎在馬路邊看看大姑娘來得實在,最起碼養眼了,研究表...
什麼是App加殼,以及App加殼的利與弊
一 什麼是加殼?加殼是在二進位制的程式中植入一段 在執行的時候優先取得程式的控制權,做一些額外的工作。大多數病毒就是基於此原理。是應用加固的一種手法對原始二進位制原文進行加密 隱藏 混淆。加殼的程式可以有效阻止對程式的反彙編分析,以達到它不可告人的目的。這種技術也常用來保護軟體版權,防止被軟體破解。...
什麼是App加殼,以及App加殼的利與弊
一 什麼是加殼?加殼是在二進位制的程式中植入一段 在執行的時候優先取得程式的控制權,做一些額外的工作。大多數病毒就是基於此原理。是應用加固的一種手法對原始二進位制原文進行加密 隱藏 混淆。二 加殼作用 加殼的程式可以有效阻止對程式的反彙編分析,以達到它不可告人的目的。這種技術也常用來保護軟體版權,防...