腾讯信息安全争霸赛(TCTF)的诞生,是一个“出道即巅峰”的故事。
2017 年,腾讯平安发动、腾讯平安联结实验室主办的第一届腾讯信息安全争霸赛,没有经验“冷启动”的开局之难,第一年就吸引了寰球近 1000 支 CTF 战队参赛,盛名在外的俄罗斯老牌强队 LC↯BC 战队、日本的 binja 战队和美国的 Shellphish、PPP 战队、匈牙利的传统 CTF 强队!SpamAndHex 都在参赛战队之列。
2019 年的 0CTF/TCTF 赛事在 CTFTime 上被打出了靠近满分 100 分的高分——CTFTime 是一个去中心化的赛事资讯和积分网站,以权威和公正著称,无论是对于战队还是赛事主办方来说,在 CTFtime 上的排名和得分都是掂量其程度的最有说服力的指标。
“咱们不是(像你问题里形容的那样)花了四年或者花了几年打造一个这个程度的赛事,咱们是从第一年开始就是最好的,起初几年程度也没有掉下来过。”腾讯平安科恩实验室的负责人吴石提及这一点,语气里是拆穿不住的自豪。
01
生逢其时
正如唯心主义史观强调的“时势造英雄”所说:一个人的命运除了自我奋斗,也和历史进程离不开关系。TCTF 的一骑绝尘,有很多天时地利的条件。
中国第一个公开的 CTF 赛事大概呈现在 2014 年,通过几年的倒退,到 2017 年的时候,尽管曾经陆续呈现一些新的 CTF 赛事,但品质参差不齐,没有一个在国内上有影响力。也是那个时候,中国开始器重网络安全的建设,而举办平安比赛是一个很好的推广网络安全的抓手。
“过后 CTF 在中国是一个将起未起的新鲜事,国内安全畛域对这个较量模式只有了一些浅显的理解,但不晓得一个好的 CTF 较量应该是什么样的。”腾讯平安科恩实验室高级研究员谢天忆回顾,“我那时候就在想,如果当前有机会,我要让国内的 CTF 选手晓得真正的 CTF 较量是什么样的。”
巧的是,谢天忆有一天接到了老板吴石的一个提议:我想办一个面向寰球的 CTF 较量,你有没有信念办好?谢天忆心想:我就是干这个的啊。事件就这么欢快地决定了。
那时候国内有实力去打国内较量、能打进决赛的 CTF 战队寥寥可数,叫得出名字的一个是清华的蓝莲花,另一个是上海交大的 0ops,而谢天忆就已经是 0ops 的队长。
和谢天忆出于趣味投身 CTF 赛事不同,腾讯平安科恩实验室负责人吴石想要办 TCTF,最早是出于培养人才的思考。有一天,0ops 战队的指导老师姜开达带了两个学生来找吴石,请吴石对他们进行“特训”,让他们在接下来要进行的一个 CTF 赛事中打出好问题。“我过后也察看了一下,国内安全钻研人员极度不足,咱们简直招不到人。如果整个行业都这么缺人,那么我是不是能够把这个事件搞大一点,让更多年轻人都能够参加进来?”
吴石的 Keen Team 曾经被腾讯平安导致麾下,估算、人力、资源都有保障,如果说他之前也已经产生过办一个国内赛事的想法的话,那这个时候这个想法的实现曾经触手可及。吴石向他的老板、腾讯副总裁丁珂表白了想要办 CTF 赛事的志愿,失去了后者的大力支持。
2017 年,TCTF 正式“出道”。第一届 TCTF 由腾讯平安联结实验室主办,腾讯平安联结实验室七大掌门人吴石、于旸、袁仁广等悉数出阵,和数十所高校的资深网络安全老师一起组成了全明星导师团。通过与 0ops 战队的单干,第一届 TCTF 顺利申请到了有“黑客世界杯”之称的 DEF CON CTF 外卡赛的资格,成为中国大陆过后惟一拿到 DEF CON CTF 外卡赛资格的赛事。这意味着在 TCTF 中取得国内赛冠军的团队会间接进入 DEF CON CTF 总决赛。
“从第一年开始确实就有很多海内出名强队加入 TCTF,我本人认为有两个起因,一个是 0ops 是中国首屈一指的战队,与 0ops 单干办这个赛事,品质有保障;另一个是咱们给决赛战队提供来中国的差旅,有机会来中国一趟,这些海内战队也很乐意。”吴石说。
和国内赛并列的是另一个面向高校学生的赛道“新星赛”,每年也吸引几百支中国高校战队出战。这些高校战队平时并没有太多机会去海内打较量,然而在 TCTF 的赛场上,他们能和来自全世界的顶尖高手们同台竞技。“咱们每年都保持做线下赛,其实就是要给国内的这些选手提供一个可能面对面跟国内最顶尖选手交换的机会。这几年国内的 CTF 程度整体有飞速的增长,这与跟国内战队的交换是密不可分的。”
谢天忆介绍道,掂量一个 CTF 较量好不好最要害的因素看题目品质。TCTF 的出题人凭借丰盛的海内参赛教训,排汇了国内高水平 CTF 赛事的一些理念,交融出题人本人的思路之后再去设计了很多很好的题目,在过后的 CTF 畛域一下子就出类拔萃。“参赛选手会感觉较量题目设计得很好,能学到货色、很乏味,解进去很有成就感。”
尽管是轻描淡写的几句,但其实出题是一个苦差事,经常要消耗一个团队一个月的工夫。尽管在部门里承当了很多治理职责,但谢天忆每年还是很踊跃地加入各种国内外高规格的 CTF 赛事。一是本人确实很喜爱,二也是因为想要捕获最前沿的 CTF 赛题。“要么跟进前沿平安钻研,要么就常常去打较量,看看他人在出一些什么类型的、什么方向的题目,否则你出的题目很容易就会掉队。”
02
喝水人和挖井人
与 2017 年腾讯平安联结实验室刚刚开始办 TCTF 的时候相比,尽管只有短短几年,国内的网络安全圈子曾经产生了很大的变动。全国性的 CTF 赛事越来越多,组织程度相较四年前也有了质的晋升,很多高校都有了本人的 CTF 战队:复旦大学六星战队、浙江大学 AAA 战队、清华大学 Redbud、北航的 Lancet、中山大学 WaterDrop……去年由国家主管部门领导举办的“护网杯”平安比赛,参赛团队达到了惊人的 6479 支。
甚至,在“国赛”中打出问题的战队,在考研时甚至能够取得额定加分——这反映的是一种理念的变动:已经被认为不务正业、奇技淫巧的 CTF,现在曾经被正名了。
当初困扰吴石的无人可招的场面也有显著的改善,仅腾讯平安科恩实验室本人而言,TCTF 给它带来了占据实验室一半编制的新成员,往年代表腾讯平安在 DEF CON CTF 拿下冠军的 A 0 E 战队队长刘耕铭就是第一届 TCTF 的新星赛冠军战队成员。
TCTF 组委会针对前两年加入较量的选手做过一个回访,从后果上来看,加入过 TCTF 的选手绝大部分都从事了网络安全行业,他们流向了一线互联网公司的网安部门或者专门的网络安全公司,其中也有相当一部分退出了腾讯。
现在的网络安全比起四年前算是凋敝了很多,仅从人才培养的角度来看,以办赛的形式看起来稍显曲折,每年砸在 TCTF 赛事上的钱如果间接用来从高校定向挖人或者补贴,招人效率可能更高。但以目前网络安全人才缺口的情况,还远远不到不劳而获的阶段。教育部高等学校教指委的报告指出,中国每年通过高等教育向社会输送的平安人才有余 1.5 万,但每年平安畛域的人才缺口却高达几十万。
“培养人才应该是一个正和博弈而不是零和博弈,是须要大家一起参加、携手来做好的事件。如果都不挖井、都只想喝现成水的话,这个行业起不来,每个人都没有水喝。”吴石说道,“目前有一个很显著的趋势,国家很多主管部门也在办这种较量,这对于整个行业的凋敝都是有帮忙的。”
吴石说,如果没有产生什么大的变故,TCTF 他们会始终办上来,“和国内高校的学生放弃一个比拟好的互动”。
03
光彩与幻想
TCTF 往年的预赛曾经于 6 月底实现,决赛将在 9 月 26 号开展尾声。和大多数国内比赛一样,因为疫情,往年的形式改成了线上。尽管没有了“海内差旅”的加持,当初的 TCTF 也足够吸引寰球高手来切磋。
东京大学的 CTF 战队 TSG 往年打算操办 CTF 赛事,因为和 TCTF 预赛工夫抵触,他们调整了本人赛事的工夫。“道歉给大家带来困扰,但咱们想加入 0CTF(即 TCTF 的国内赛)!”
往年的决赛阵容判若两人地弱小,来自韩国的 Koreanbadass、来自战斗民族俄罗斯的 More Smoked Leet Chicken、美国的 00 后战队 perfect blue、中国高校联结战队 r3kapig、波兰劲旅 Dragon Sector、日本强队 TokyoWestern、浙江大学的 AAA 战队、华南理工 Kap0K、深圳大学的 Aurora、西安电子科大的 L 战队……15 支寰球顶尖战队和 15 支中国高校战队齐聚一堂,老牌战队要保卫光荣,新星战队要锋芒毕露,他们都将在 TCTF 2020 的决赛上绽开他们的光彩与幻想。