省城黑客齐聚虚拟战场厮杀

这世界上很多东西都起源于游戏。公认的计算机病毒的始祖，其实是一个计算机实验室里面几个学生写程序，然后放到计算机里看看谁能把谁的程序吃掉。围绕这么一个简单的游戏，最终发展出了病毒和与之相关的安全产业。在中国，另一场盛大的“游戏”正拉开帷幕，被称为黑客灯谜的“CTF”赛正在网络安全行业风行。本月初，合肥几乎所有的网络安全人才在高新区参加了首届网络安全技能大赛。

25支战队攻占六大“星球”

9月9日，中新网安大厦20楼的大厅里挤满了人，大屏幕上显示了六大星球，代表六大网络安全难题的六面旗帜被埋藏在六座星球的深处。 25支战队集结在这里，几乎囊括了整个合肥的网络安全高手。六大星球不停运转，大屏幕陆续闪现攻击线，25支战队轮番进攻、单兵夺旗，看谁在有效的时间内攻下更多的星球。

开场不到15分钟，安徽电信SOC队就率先得分。这支队伍也被认为是本次比赛的最大热门。果然，比赛结束，SOC夺下四面旗，以预赛第一名的战绩挺进决赛。

像所有的网络安全战队一样，SOC有三个人。队长汪有杰和队友丁浩、邓道琳一直在安徽电信的网络监控维护中心工作。面对决赛，他驾轻就熟：“类似攻防，一直都在做，发挥出水平即可。”

第二天，决赛即将来临。决赛是攻防战，每个队都要守护自己服务器内的flag（旗标文件），与此同时，攻击并夺取其他战队服务器内的flag。在“攻防对抗”中，队员暂时变身“黑客”，千方百计寻找服务器漏洞，夺取目标服务器的旗标文件，单位时间夺旗数量多者胜出。“这跟打网游比较类似，但是比网游要真刀实枪。”三个人做了如下分工：汪有杰负责防，加固己方阵地；邓道琳负责攻，伺机杀入；丁浩则负责探测，虎视眈眈。这也是三个人长期磨合的习惯性分工，“遇到大的困难，三个人一起商量着来。”

时间突然像黄金一样宝贵

决赛的前一个半小时内，整个赛场都在一片沉寂中度过。

所有人都在做一件事：看！“因为大家都摸不清情况嘛。”汪有杰告诉安徽商报记者。既没有呼喊声，也听不到噼里啪啦的键盘声，大家常做的就是打开一个工具，运行一个脚本，查看漏洞。

一个半小时之后，SOC打破沉寂，发现漏洞。在那之后，对于一支战队来说，时间顿时变得像黄金一样宝贵。“因为你发现漏洞，你一攻击，其他队伍很快就会知道，他们也会用这个漏洞来攻击你，局面就会变成明牌。”

这个时间窗口非常短暂。汪有杰立刻根据漏洞对自己的服务器进行加固，与此同时，邓道琳展开了攻击。SOC的攻击不采用任何工具，而是自己编写脚本批量攻击所有的战队。“程序大概几十行，我们用平时惯用的程序修改，比用工具快。”

局面很快明朗。此后每轮攻击，SOC都会收获10面左右的flag，与此同时，SOC的服务器大门紧锁，没有一次被攻破。三个小时后，比赛结束，汪有杰的战队如期夺冠。

网络安全专家的虚拟战场

CTF，在国内被称为黑客们的“灯谜”。当年，一群热血的年轻黑客开创了CTF 的虚拟世界。从此，这个战场上一直集聚着热爱突破的黑客，边疆不断延展。

从业以来，汪有杰和他的战队一直参加类似比赛。2016年10月，第四届全国通信网络安全技能竞赛决赛中，邓道琳拿过一等奖，汪有杰得过三等奖；安徽电信代表队以全国第二的成绩获得团体一等奖。

这些灯谜包括二进制漏洞利用、逆向工程和逆向分析、web安全、密码学等。“其实，对于我们这样从事网络安全的人来说，查找漏洞、修补漏洞就是日常工作，比赛就是把这些‘谜题\’浓缩到一个很短的时间内进行。”汪有杰说。

汪有杰告诉记者：在网络安全领域，业内交流的CTF（夺旗赛）和AWD（攻防赛）正越来越多，“比赛考的是综合能力，设置多种技能类型与应用场景。总的来说，攻击能力最强的队伍，未必得分最高；但防守最好、失分最低的队伍往往能够取胜。”

世界最著名的CTF大赛，是在美国拉斯维加斯举办的DEFCON CTF，这个可以追溯到1996年的黑客对抗游戏，是全世界CTF的始祖。据悉，腾讯也在今年推出了“T”字号的CTF 大赛——TCTF。

“这一段工作比较忙，等忙完了也希望多参加高水平的交流。”汪有杰告诉记者。

“网络安全产业在省内发展很快。整个网络的安全情况比几年以前已经大大好转。”汪有杰建议，平时生活中密码设置强度要够高，并且妥善保管密码。“我们有很多APP，每个APP的重要程度不一样，因此，建议将APP进行一个分类，有一些用简单的密码，另外比较重要的类似支付宝这样的APP就用高级的密码。”

记者梁巍

CTF是啥？

在国内被称为黑客们的“灯谜”。这些灯谜包括二进制漏洞利用、逆向工程和逆向分析、web安全、密码学等。世界最著名的CTF大赛，是在美国拉斯维加斯举办的DEFCON CTF，这个可以追溯到1996年的黑客对抗游戏，是全世界CTF的始祖。

匠人说

我们有很多APP，每个APP的重要程度不一样，建议将APP进行分类，有一些用简单的密码，另外比较重要的类似支付宝等APP就用高级密码。

新闻推荐

安徽省池州市贵池区人民法院公告（2017）皖1702破7号

本院于2017年9月5日裁定受理安徽省池州市东池置业有限公司的破产重整申请，并于同日指定安徽九华律师事务所担任安徽省池州市东池置业有限公司管理人。安徽省池州市东池置业有限公司的债权人应在20...

安徽新闻，新鲜有料。可以走尽是天涯，难以品尽是故乡。距离安徽再远也不是问题。世界很大，期待在此相遇。