|
当被问及不断举办CTF大赛的“初心”时,杨坤博士笑了笑,“最早的初心是希望中国的CTF能够被全球认可。为了实现这一初心,必须推动国内CTF大赛向前发展,让CTF大赛成为一个全球性的交流平台,最终让世界了解中国白帽子群体、了解中国网络安全。”
杨坤博士表示,早期举办CTF比赛最大的动力其实是“情怀”。作为CTF大赛的重度爱好者,此前杨坤博士等人一直是通过CTF来提升自己的攻防技能,对于CTF有着深厚的情感。 创立长亭科技之后,杨坤博士虽然不能像以前一样全身心投入于CTF之中,但却从未停止通过CTF不断提升自己的技术。 “为何不让更多的人参与进来,让大家的技术越来越好呢”? 事实上,CTF圈是一个非常喜欢分享的群体。CTF爱好者常常会把自己平时发现的最新问题分享到圈内,并通过解决这些问题不断学习当下最新颖、最顶尖的攻防技术,对于网络安全的发展有着重要的作用。 正是这样的“初心”和“情怀”支撑着长亭科技和杨坤博士一直持续在举办CTF大赛;支撑着他们不断学习、研究国外CTF大赛的优秀经验,引进全球最新的攻防技术,并将这些经验、技术毫无保留地分享给所有人,让CTF分享成为一个良性循环。 为了吸引全世界的战队参与进来,长亭科技在赛题质量和赛题形式上绞尽了脑汁。 一方面,为了出更难、更接近实际的题目,长亭科技花费了大力气组建了“明星命题团队”。据杨坤博士透露,命题团队成员基本毕业于清华大学、浙江大学、美国麻省理工学院等国内外名校,是全球顶尖的安全研究员,曾经为微软、苹果、谷歌、华为等知名企业进行服务,有着丰富的真实世界实战经验。 另一方面,在赛题形式上,长亭科技也有不少创新。例如以前的CTF比赛观众很难看懂,也很难GET到相应的点,对此长亭科技首创上台演示的方式,给台下观众最直观的体验。 打个比方,选手攻破了车联网系统,并控制了车辆,那么选手可以演示远程操控汽车,此外还有像控制路由器、摄像头、虚拟机逃逸等,都可以直观进行展示。 2018年,长亭科技更是重磅推出Real World CTF大赛,受到业内一致好评。Real World CTF大赛结合了CTF赛和Pwn赛的优势,所有赛题全部基于真实世界软件的修改或二次开发来命题,是全球首创的基于真实世界软件的全新CTF赛制。
如果说高质量的赛题将会给选手带来挑战,那么赛后的交流、分享便是画龙点睛之笔,真正提升自身的实力。每年大赛后,大家会把热议的题目的解法在平台上分享、讨论,然后反复学习、吸收。 毫无疑问,赛后讨论这一环节将会大大提升CTF赛事的商业价值和行业价值,是真正能够提升整个行业技术实力,推动行业向前发展的大好事情。另外,由于参赛选手本身素养较高,在分享的过程中会给参与者带来“知音难求”的愉悦感和成就感。 如今,提及CTF大赛,人们第一时间就会联想到长亭科技;而提到长亭科技自然而然也会联想到CTF大赛,两者早已紧密联系在一起。 “未来,长亭科技还将继续为大家提供更高质量和更好玩的CTF大赛,也希望能有更多的顶尖安全研究人员加入进来,一起玩好CTF,一起推动CTF圈子,网络安全行业不断向前发展。” 鏖战 Real World CTF 再过几天(12月7-8日),长亭科技举办的第二届Real World CTF国际网络安全大赛就要在北京和大家见面了。 如此重磅的大赛自然引起了笔者的好奇心。当被问及第二届Real World CTF有哪些特色时,杨坤博士“提前”透露了不少内容。 在这两天的时间里,第二届Real World CTF大赛包括Real World CTF线下总决赛、安全训练营、技术论坛、阿里云安全挑战赛、Hack Valley等多个精彩活动,将会是CTF圈的一场饕餮盛宴。
细心的读者想必已经发现,本届Real World CTF出现了阿里云的身影。据悉由双方联合举办的云安全挑战赛,将是全球首个将公有云真实售卖级产品进行赛题设计的比赛,对于参赛者而言是可遇不可求,其竞争激烈程度已经可以预见。 那么,第二届Real World CTF大赛究竟会有多火呢? 杨坤博士没有直接回答这一问题,而是跟笔者简单聊了聊2018年第一届Real World CTF大赛的情况。 2018年7月,第一届Real World CTF大赛线上赛一问世就吸引了来自5大洲的全球顶尖战队,CTF TIME 2017世界排名前15的国际战队中,90%参加了Real World CTF大赛。 最终入围线下赛的20支国际战队的100名选手,来自全球十余个国家和地区,在近5年内获得各类国际CTF大赛冠军总计150次,覆盖了近年来在全球范围内网络安全实力最强、成绩最好的技术顶尖选手。 然而,即便是汇聚了如此顶尖的力量,却依旧在长亭科技堪称“变态难度”的赛题前败下阵来。那次大赛一共有15道题目,而冠军仅仅完成了8道,一半多一点。 2019年第二届Real World CTF大赛将继续延续48小时不间断挑战的机制,但是题目的难度系数和第一届相比较将会有所调整,例如通过漏洞设置上的控制来降低难度,尽量让参赛选手在48小时内完成挑战。 其实,在笔者看来,Real World CTF之所以能够引起行业内的注意,最关键的地方就在于“真实的环境”。 一方面,网络攻防对抗其实就是虚拟世界的战争,只有在真实的环境中才能检验出军队的真正实力,否则就容易成为纸上谈兵的赵括,对于世界级顶尖高手来说更是如此。 另一方面,尽管Real World CTF是以解题赛的形式进行,但题目设计非常接近真实软件环境,每次比赛几乎都出现了选手发现了在用软件的潜在漏洞,赛后选手会把比赛中发现的漏洞移交给相应的厂商。厂商很乐意接收到漏洞报告,相当于集合了技术高手给产品做了测试,这也是Real World CTF不可忽视的社会价值和商业价值。 例如在2018年第一届Real World CTF大赛中,某位选手就曾发现了一个威胁性非常大的0day 漏洞,给厂商带来了意想不到的收获。 这也正是Real World CTF大赛魅力所在。这种不可控的因素和上台演示的表现形式再一次增加了比赛的趣味性,也让参赛选手和观众更加期待比赛那天的到来。 后记 在访谈中,笔者提了一个较为“尖锐”的问题,“作为学霸创业团队,在招人时是否会有心理落差?” 令人意想不到的是,杨坤博士对于这一问题没有回避,坦言道,他更看重基础和能力。 别看长亭科技的创始团队皆是名校毕业,但是杨坤博士在招人时最看重的是对计算机原理的理解和对基础知识的掌握程度。“如果这两块很好的话,说明这个人有一定的天赋,而且在网络安全上也投入了大量的时间”。 更有意思的是,杨坤博士的团队管理方式同样别具一格,靠的是逻辑思维能力。如果把团队管理看作是编程,那么人与人之间的交互就相当于区间的接口,所以只要逻辑顺序理清楚了,团队管理也就水到渠成了。 在笔者看来,杨坤博士作为没有任何工作经验的老板,能够管理好自己的团队,和他包容、理解的性格分不开的。作为一个管理者,能够站在他人的角度思考问题,清晰地理解对方的需求,这并不是一件容易的事情。 在团队管理上,有的人是敏于言而讷于行,有的人则是敏于行而讷于言,杨坤博士明显属于后者。言语不多,但却能够保证和团队每一个人沟通都毫无问题,保证团队齐心协力、团结一致。 这大概是一种非常舒服的状态,管理学上也一直强调,把正确的人放在正确的位置,才能最大化发挥出人才的价值。 笔者似乎明白长亭科技既快又好向前发展的原因了:顶尖的技术实力加上清晰的商业化逻辑再加上最优的团队配置。 不得不说,学霸团队的创业秘诀真的让人羡慕,却又羡慕不来。毕竟信安圈这么大,却只有一个蓝莲花战队,只有一个长亭科技。 |
