1
“小时候我总是纠结要上清华还是北大,后来发现原来是我想多了。。。。”
长大后的我又发现,比这个段子更可怕的是——如何加入中国顶级黑客战队蓝莲花。
摸着良心说,这支黑客战队绝对不止“中国顶级”,用“世界知名”形容也不为过。
它的名字绝大多数安全从业者都听过,百度百科上对它的收录是“蓝莲花(Blue-Lotus)战队是一支源自清华大学的网络安全技术竞赛和研究团队,是中国参与 CTF(Capture The Flag)网络安全技术竞赛成绩最为突出的一支国际知名战队。2013 年成为华人世界历史上首支成功闯入 DEFCON 黑客大会 CTF 全球总决赛的队伍。。。”
因为这支战队太过厉害,百度想了想,又不能把战队买走,所以这几年以赞助冠名的方式在其前面冠上了“百度-蓝莲花”的名号。
蓝莲花不只被一家互联网巨头盯上。蓝莲花战队最早由清华大学网络与信息安全实验室老师和学生组成,从这支战队“毕业”的队员几乎被安全圈哄抢,有的以“阿里星”的身份被阿里招入麾下,有的进入腾讯安全联合实验室,或者干脆组队创业,几年内搞出了颇有名气的安全创业公司。
不过,人要是没有梦想,和咸鱼有什么区别。
最近,雷锋网宅客频道编辑遇到了蓝莲花战队的创建者之一、清华大学副研究员诸葛建伟,向他咨询了这个问题——如何才能加入蓝莲花这种中国顶级黑客战队?
2012 年之后,蓝莲花战队吸收过浙大、上交、复旦、成信等国内其他高校学生,及阿里巴巴、绿盟等公司成员加入。
也就是说,只要技术足够牛,加入蓝莲花不是梦。
比如,两年前在知乎上也有这么一个提问:怎么才能进入清华蓝莲花战队?感觉只要在知乎上联系队员朱文雷、杨坤等人,并用技术征服他们就好(就这么说一下,要征服他们估计不容易)。
但形势不一样了,想通过上知乎联系战队大牛加入蓝莲花应该是不可能了(仅为编辑猜测,欢迎已经毕业的朱文雷来打脸)。
现在由于 CTF 比赛很多,各大高校都组建了自己的 CTF 战队,蓝莲花战队也日渐趋向于由清华大学本校成员构成,而且诸葛建伟告诉编辑,一般是由“清华大学研究生”组成,正式队员不到 20 人,因为“清华大学网络安全学科申请了硕、博士点,本科专业属于清华大学整个信息类学科中,没有设立单独的网络安全本科专业”。
所以,要想加入蓝莲花,第一步是先考上清华的研究生???
不不不,在清华大学,有一个学生自发创办和管理的学生社团,在“百团大战”等活动中,会吸纳学生入会,通过清华大学举办的校园赛,除了加入这个协会,还可能入选清华大学的“紫荆花”战队,这支队伍主要参加国内信息安全类竞赛,在紫荆花战队中表现优异的学生可加入蓝莲花战队,主打国际赛和国际外卡赛。
小小科普一下,所谓外卡赛,是指 DEFCON 黑客大会每年会给其认定的国际强队派发进入 DEFCON 黑客大会 CTF 总决赛的资格,这些强队会举办比赛来遴选参赛队伍,尤其因为近年来 DEFCON CTF 不限制参赛队伍的人数,很多参加外卡赛获胜的队伍可能以联队名义参加总决赛。
不过,就算是紫荆花战队的优秀队员,基本上每年也只有两个人可进入蓝莲花战队。
[诸葛建伟]
诸葛建伟的目标,不是把每个人送进蓝莲花。
2013 年,蓝莲花的创建者诸葛建伟与段海新等人创立了赛宁网安公司,赛宁网安的主要业务之一是承办各类 CTF 赛事。
他有一个“播撒火种”的心愿。
“把自己限制在清华,我只能培养这部分最顶尖的人才,但是如果能把培养的经验结合社会资源规模化地推广,那么,我不仅可以服务于清华顶级的网络安全战略人才培养,还能面向整个教育行业,甚至向国家相关机构、企事业单位的网络安全建设输送人才。”诸葛建伟说。
如果把网络安全人才结构比喻成一座金字塔,在塔尖的高水平人才是各方争抢的关注点,但承载整座金字塔,能够提升整体安全水平还靠基数大的“底座”。
甚至,像现在大家聚焦的智能化攻防人才,诸葛建伟认为,只有百分之一、千分之一的人有这种意识或者能力来指导、研究智能化攻防程序,包括诸葛建伟在清华的实验室在内,每年对外能输出的这种高技能攻防人才数量是极其有限的。
说白了,不是每个人都能成为杨坤、朱文雷。。。以及照片里的这些人。
[蓝莲花战队的最新一张照片,觉得有必要再放一次,毕竟画圈圈的小哥还被称为清华“霍建华”]
将网络安全学科打造成一个成熟学科,构建创新能力实践赛,吸引更多安全爱好者参与,培养其能力是这个“教育者”出于本能的选择。
“在美国,已经有初中生参加 CTF 比赛,中国也组织了面向全国中学生的网络安全的竞赛,是以 CTF 解题的模式进行的,而且已经与大学的自主招生紧密联系。”诸葛建伟希望,网络安全学科可以下沉到更低年龄段,比如,今年他五岁的孩子已经接触了硬件编程相关的课程。
对于 CTF 是否是选拔及培养网络安全人才最好的方式,业界也有争议。比如:
目前 CTF 太多了,普及价值大于真正的技术价值。
CTF 仅是技巧型的比赛,对网络安全实战意义不大。
他们为什么会这么认为呢?
雷锋网曾经科普过(TK教主说的,详情请见《白帽黑客教主 TK 告诉你,黑客的游戏 CTF 究竟是什么 | 硬创公开课总结文+视频》),CTF 的比赛形式有以下几种:
1.出“题目”的解题模式,包含逆向、漏洞(也称攻防)、算法、审计、综合……,难度不一,分值不一,越难的题目分值越多。
2.攻防模式。
第一种,每一支队伍一同攻击同一个目标,考验攻击能力;
第二种,所有参赛队伍进行防守,遭受攻击,考验防守能力;
第三种,结合前两种,综合考验攻防能力。这种模式对技术、战术、策略要求更高。一般是回合制,一个回合五分钟。可以按照自己的策略选择优先攻击或防守,打谁不打谁,队伍自己决定,一个回合暂停一次。
第四种,大家同时攻击一个服务器,比谁占领服务器的时间长,保持自己的控制权,不被别人干掉。
看上去,尤其如果比赛用的是出题模式,就可能有各种各样的题库,既然有题库,题型也是固定的,大家只要把题目做熟了就好,不能考量真正的攻防能力。
诸葛建伟不这么认为,一味否定 CTF 这类比赛的价值是不可取的,一场 CTF 价值有多大,要看比赛设置方想要考察选手能力的维度。
说白了,种什么样的种子,结什么样的果子。
相较于传统的CTF比赛,他更推崇创新型的 CTF 赛程设置。
传统的攻防赛可能更注重选手攻击的能力,但攻防赛应该“攻防兼备”。
以最近举办的第十一届全国大学生信息安全竞赛为例,这场比赛以各个选手队伍命题的模式代替了组织方命题的模式,当然,这种模式借鉴了之前韩国 POC 大会以及世界黑客大师赛 WCTF 的命题方式,但不同的是,第一,结合业内实际业务安全需求构建靶标环境,培养参赛选手的创新开发能力。在半决赛的前两周内,除了安全开发外,选手还需要在设计的应用中植入企业精心设计的安全挑战,这种挑战可能是一个预设的安全漏洞。
这不是最难的点,最难的点在于精心植入了这个漏洞,还要保证业务逻辑的正常运行,能够对外正常提供服务。
“大家普遍认为,信息安全人才要有逆向思维,我给你一个程序,你要能逆向分析,找到漏洞,但这样可能会忽视开发能力的培养,其实信息安全人才需要知道什么样的开发过程是安全的,编码时使用什么样的函数、开发的规范等,才能确保不会有一些非预期的安全漏洞。”诸葛建伟说。
理解了安全开发的过程,安全人员和开发团队才有共同语言和良好的合作基础。
第二,为了解开别人的“谜底”,选手可能需要糅合密码学等 CTF 中要考察的技术点,并将这些技术应用到业务需求中,需要有安全检测能力和漏洞利用能力。
第三,选手需要有安全修复和加固的能力。
当然,上述比赛只是 CTF 的创新模式之一。诸葛建伟介绍,现在业内在推动各种真实场景的CTF,比如工业互联网安全、防御体系共测等,甚至植入真实业务场景里的软件让大家“找茬”。
我们也预设了一个前提,对于网络安全人才培养,尤其是高校学生,以 CTF 类竞赛的方式来激发人对技术的学习热情可能是目前应用得最广泛的理论结合实践的选择。
CTF 的参加者可能从菜鸟级初学者延伸到职业安全研究员,假如 CTF 是丈量能力的尺子,你是什么样的宽度,就会选择什么样的尺子。
蓝莲花的创建者曾提到了歌手许巍的《蓝莲花》中的一句歌词:“没有什么能够阻挡,你对自由的向往”,以此来阐述“突破技术边界的极客精神”,诸葛建伟等人不断尝试革新 CTF 的创新模式,从学界到业界,希冀将蓝莲花的火种播撒到更广阔的基数上也是遵循了创建蓝莲花的初衷。
回到最开头的那个问题,“如何加入中国顶级黑客战队蓝莲花”,当你发问并认真思考这个问题时,也许正是探索自由边界的开始。恭喜你,你虽尚不在蓝莲花,但已接收到了它的火种。
本文作者:雷锋网网络安全专栏作者,李勤
雷峰网原创文章,未经授权禁止转载。详情见转载须知。