<ins id="617x2"></ins>
<noframes id="617x2"><small id="617x2"></small></noframes>
  • <tr id="617x2"><nobr id="617x2"><delect id="617x2"></delect></nobr></tr>
    <ins id="617x2"><video id="617x2"><var id="617x2"></var></video></ins>
    1. <tr id="617x2"><small id="617x2"><delect id="617x2"></delect></small></tr><tr id="617x2"></tr>
    2. 侵權投訴
      訂閱
      糾錯
      加入自媒體

      守護這個世界的安全,遠遠比我們想象的復雜

      在科幻作品當中,無論題材如何,有一種角色的出鏡率特別高:天才黑客。有時候他站在主角那邊,那他就是一個非常重要的技術流配角;有時候他站在對立面,那他就是一個很難對付的中等BOSS(或大BOSS的助手)。天才黑客的主要職能是守住自己的網絡安全、攻破對手的網絡安全防線;他能否妥善履行職能,則取決于劇情需要。

      我最喜歡的天才黑客包括:《命運石之門》里的橋田至(桶子),《女神異聞錄5》里的佐倉雙葉,以及《黑客帝國》里家喻戶曉的救世主尼莫。橋田至的形象最符合大眾對“天才黑客”的刻板印象:宅男,毒舌,愛吃披薩,喜歡二次元,有嚴重的拖延癥,卻唯獨在信息技術上執行力超強。

      遺憾的是,任何科幻作品都無法生動描述“網絡安全攻防戰”的過程;我們往往只能看到天才黑客坐在桌子前狂敲鍵盤,然后突然站起來大喊一聲“我成功了”!《黑客帝國》的表現手法更直觀一點,讓尼莫沉浸在綠色的數字海洋之中,視覺效果是有了,可惜真實性近乎于零……

      熱播網劇《親愛的熱愛的》,罕見地以CTF(網絡安全奪旗賽)為主題,讓數以萬計的觀眾第一次聽說了這個概念,發現網絡安全攻防也可以很刺激。遺憾的是,《親愛的熱愛的》原本選擇的是電競題材,只是由于各種原因臨時改成了CTF,基本是照著“電競賽事”的模板去描繪“CTF賽事”的,在專業細節方面也有不少欠缺。

      《命運石之門》男二號橋田至,一般人心目中的“天才黑客”

      在這個時代,消費互聯網和產業互聯網已經滲透到了我們生活的每一個角落,網絡安全也從一個“垂類專業話題”變成了“社會性話題”。典型的例子是2021年12月爆出的Log4Shell漏洞:這很可能是多年以來全球影響最大的網絡安全災難,在被發現的半個月內,全球已經有40%的企業網絡遭到了攻擊;所以有人稱這是“核彈級別的安全漏洞”。此時此刻,在Google和百度上,"Log4shell"分別有425萬個和292萬個搜索結果。

      網絡安全很重要,而且會越來越重要。然而,流行文化對網絡安全話題的討論又還遠遠不夠,由此導致大眾對網絡安全的認知停留在懵懵懂懂的狀態;這可能會進一步地導致非技術出身的企業管理者輕視網絡安全、對這一領域投入不足。生動活潑的網絡安全教育是很重要的——問題在于,究竟怎么做到這一點呢?

      其實,通過《親愛的熱愛的》而讓大眾熟知的CTF,就是一個現成的、兼具專業性和趣味性的選項:

      CTF (Capture the Flag),即“奪旗賽”,是指網絡安全人員分組進行,以攻破特定漏洞為目標的比賽。根據規則不同,參賽戰隊既可以互相攻擊,也可以攻擊主辦方提供的特定網站、程序或硬件設備。在比賽時間內“奪旗”(攻破漏洞)最多的隊伍即獲得勝利。隨著時間發展,CFT也派生出了更多的形式:例如通過編程解決主辦方提出的一系列難題、破譯一組密碼、對某一應用進行反向編譯,等等。成熟的CTF賽事可以持續好幾天,包括各種不同的形式,既可以線下進行也可以線上進行。全世界每年會舉行數以千計的CTF賽事,其中既有面向高端專業和學術人士的,也有面向初學者和網絡安全愛好者的。紐約大學理工學院一年一度主辦的CSAW大賽,參賽者可達上千人;北約旗下的卓越合作網絡防御中心(CCDCOE)每年舉辦的賽事,則有世界各國的國家隊以及北約代表隊出席(有趣的是,北約隊似乎只贏過一次)。

      在國內,長亭科技舉辦的Real World CTF是最著名的賽事之一。2018年的第一次Real World CTF,就吸引了全球700多個戰隊的近2000名選手參加,入圍總決賽的有來自15個國家的20支戰隊;2019年,參加比賽的增加到了1000多個戰隊,總決賽期間還與阿里云聯合舉辦了云安全挑戰賽;2020年,由于疫情原因,Real World改為全程線上舉辦,但并不妨礙參賽戰隊數量創下了1772支的新高。

      有趣的是,線上舉辦反而增加了Real World CTF的活躍度和參與感。前兩屆賽事分為線上賽和線下賽兩個階段,只有最優秀的少數戰隊能進入線下決賽;第三屆賽事則不分階段,全體戰隊在線上進行48小時的連續競技。1772支戰隊、超過1萬名選手的同場競技,很可能刷新了全球網絡安全賽事的紀錄;超過3萬人的全網觀看量,也是一個非常高的水平。

      2022年度Real World CTF海報

      CTF賽事對網絡安全的意義毋庸贅述。對于網絡安全專業人士而言,它是絕佳的、合法的練手方式;對于企業和政府機關而言,它是發現漏洞、彌補漏洞的重要場所。但這并不是CTF的全部意義,甚至不是它最重要的意義。

      還是上面提過的老話:大眾對于網絡安全的認知還很不夠,導致了對網絡安全需求的輕視。就像一個健康的資本市場需要無所不包的“投資者教育”一樣,互聯網行業也需要無所不包的“網絡安全教育”。如果CTF只是圈地自萌,那就只能影響專業人士和學生,不能喚起大眾的真真切切的重視——也就是說,治標不治本。

      那么問題來了:怎么讓網絡安全賽事變得“好看”呢?就算搞一個大型線下賽場,讓大家看到程序員敲鍵盤,在大屏幕上顯示代碼,大家就愛看嗎?看看《親愛的熱愛的》的觀眾評論就知道了,大部分觀眾還是不知道這群人在做什么,只是覺得戰隊成員振臂高呼的樣子很有喜感而已。呃……

      要讓CTF賽事“好看”,顯然要從技術層面想辦法,從組織和命題步驟就注意如何讓觀眾“看懂”。第三屆Real World CTF就是一個絕佳的范例:

      16道賽題,對應于旋轉著的3D場景中的不同的常規物品。解謎會導致這些物品的狀態發生變化,從而讓觀眾直觀地體會到“啊,這個謎題解開了”!第一道“簽到題”,要求參賽者把Real World logo小龍的口罩脫掉。究竟怎么做到呢?有常規解法,也有不走尋常路的奇異解法。有一道賽題基于《浮士德》劇情,心臟變成了石頭,不僅需要高超的算法和密碼學功底,還考驗了參賽者的藝術水平。

      早在2019年底的第二屆Real World CTF,就采用了這樣的真實化展示環境——賽場上的大屏幕循環展示著一個緩慢旋轉的3D房間,16道賽題均對應房間內的一件物品,例如智能門鎖、打印機、路由器等。例如,簽到題<Drinks>需要參賽戰隊從事先擺放在桌上的多罐飲品中,找出印有rwctf{pwned_coke}的那一罐。

      這種高度真實化、可視化的展示機制,能夠讓不懂技術的吃瓜群眾也感受到網絡安全攻防的緊張刺激,從中獲得享受。就像我,雖然只會玩《王者榮耀》,根本沒玩過《英雄聯盟》和《DoTA2》,但是仍能從后者的賽事直播當中獲得樂趣。原因很簡單:我看不懂具體的操作,難道還體會不到大局和氣氛嗎?

      2020年度Real World CTF的考題

      由此進一步思考,真實化的CTF賽事,算不算一種“元宇宙”呢?天才Geek在鍵盤上瘋狂敲打,引發了3D虛擬世界的微妙變化,而且這種變化能夠讓普通用戶直觀地感知——這不就是《雪崩》《頭號玩家》所描述的元宇宙嗎?而且,這還是一種具備很高的技術含量和實用價值的元宇宙呢。

      我個人認為,對網絡安全的真實化展現才只開了個頭。如果有一天,我們能夠將黑客攻擊某個特定漏洞的全過程,細致入微地以3D影像方式呈現出來,使得哪怕像我這樣的技術小白也能看到其精妙之處和危險之處,那么大眾對于網絡安全的重視一定能夠登上新的臺階。我們重視現實中的防盜,因為我們都或多或少地目睹過小偷行竊;而我們不夠重視賽博空間的安全,則是因為我們沒有直觀的經歷。

      第四屆Real World CTF即將于2022年1月21-23日在線上舉行。這次我應該會加入數以萬計的在線觀眾(雖然我肯定無法完全堅持48小時)。我相信這次的題目設計肯定與往年一樣精妙,但我最感興趣的是,在真實化展現方面,能不能拿出什么新東西?會不會有那么一天,我們能夠像觀看體育或電競賽事一樣,一邊喝著啤酒,一邊熱火朝天地觀看CTF賽事呢?

      一切皆有可能。

      聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權或其他問題,請聯系舉報。

      發表評論

      0條評論,0人參與

      請輸入評論內容...

      請輸入評論/評論長度6~500個字

      您提交的評論過于頻繁,請輸入驗證碼繼續

      暫無評論

      暫無評論

      安防 獵頭職位 更多
      文章糾錯
      x
      *文字標題:
      *糾錯內容:
      聯系郵箱:
      *驗 證 碼:

      粵公網安備 44030502002758號

      无码人妻精品一区二区三区99

      <ins id="617x2"></ins>
      <noframes id="617x2"><small id="617x2"></small></noframes>
    3. <tr id="617x2"><nobr id="617x2"><delect id="617x2"></delect></nobr></tr>
      <ins id="617x2"><video id="617x2"><var id="617x2"></var></video></ins>
      1. <tr id="617x2"><small id="617x2"><delect id="617x2"></delect></small></tr><tr id="617x2"></tr>