1992年，我偶然進(jìn)入信息安全領(lǐng)域，隨著互聯(lián)網(wǎng)的興盛，我在IRC的聊天室里開(kāi)始接觸國(guó)外的黑客圈子。但第一次真正意義上和他們?cè)诤Ｍ庖?jiàn)面交流，是2012年去日本、韓國(guó)的時(shí)候。

國(guó)內(nèi)媒體在2001年中美黑客大戰(zhàn)之后，開(kāi)始關(guān)注這個(gè)特殊的群體。但最初基本是文藝調(diào)調(diào)的喧囂和口水，或是在網(wǎng)絡(luò)愛(ài)國(guó)憤青和網(wǎng)絡(luò)犯罪這兩極間搖擺。因此，大眾對(duì)這個(gè)群體要么是充滿好奇，要么是鄙夷排斥不以為然。

2006年，我曾想去參加臺(tái)灣的駭客年會(huì)hitcon，因此第一次注意到WarGame這樣的黑客競(jìng)賽方式，聯(lián)想到電玩比賽的酷范兒，當(dāng)時(shí)就想什么時(shí)候中國(guó)黑客也應(yīng)出現(xiàn)在這樣的競(jìng)技舞臺(tái)上，這才是黑客文化最酷最直接的對(duì)話方式。所以此后我一直很關(guān)注國(guó)外黑客競(jìng)賽的情況。

但實(shí)際上，黑客競(jìng)賽一直是一個(gè)很特別的存在，而且無(wú)論國(guó)內(nèi)外，競(jìng)賽題型的差異非常大。

國(guó)內(nèi)的競(jìng)賽主要興起于高校之中，畢竟我國(guó)現(xiàn)在約有58所大學(xué)開(kāi)設(shè)有信息安全本科專業(yè)（但實(shí)際我個(gè)人是反對(duì)在高校本科階段開(kāi)設(shè)信息安全專業(yè)的）。但國(guó)內(nèi)的題目通常出得比較偏向于基礎(chǔ)題和實(shí)踐題，出得相對(duì)好點(diǎn)的競(jìng)賽題會(huì)有模擬搭建出的滲透環(huán)境。

而國(guó)外的題目有兩大類題型，一類是Wargame，類似于通關(guān)挑戰(zhàn)，比較出名的有 SmashTheStack.org。一類是CTF，如美國(guó)著名的Defcon CTF（Capture The Flag 奪旗賽），有線上資格賽與線下決賽兩個(gè)環(huán)節(jié)。線上資格賽通過(guò)做題拿到不同的分值，積分前若干名進(jìn)入線下決賽。

決賽中，所有隊(duì)伍被關(guān)在小黑屋里，每個(gè)隊(duì)伍分配一臺(tái)虛擬機(jī)（VM），上面跑著各種各樣的 App 或者 Web，VM 里也隨機(jī)散布著各個(gè) flag 文件（得分文件）。比賽開(kāi)始后，所有隊(duì)伍相互進(jìn)攻以及防御，哪個(gè)隊(duì)拿到的 flag 文件多，哪個(gè)隊(duì)獲勝。

2010年在無(wú)錫與美國(guó)IDEFENSE合辦的石中劍峰會(huì)上，也曾嘗試全套引進(jìn)這樣的比賽環(huán)境。

慚愧的是，居然沒(méi)有國(guó)內(nèi)戰(zhàn)隊(duì)報(bào)名。最終，價(jià)值10萬(wàn)人民幣的比賽設(shè)備大獎(jiǎng)只能“完璧歸趙”。

在實(shí)用主義和專家威權(quán)主導(dǎo)下，國(guó)內(nèi)競(jìng)賽更喜歡偏現(xiàn)實(shí)/實(shí)際的題型（我記得北理工早期主辦的全國(guó)高校安全競(jìng)賽比的居然是論文），例如模擬真實(shí)的web環(huán)境，讓你滲透常見(jiàn)的網(wǎng)站平臺(tái)或辦公網(wǎng)絡(luò)環(huán)境等，這也造就了國(guó)內(nèi)黑客的興趣點(diǎn)和國(guó)外的不同。

Defcon CTF Qual的題目里面有很多小技巧，并蘊(yùn)含著黑客文化。也許在老外眼里，技術(shù)競(jìng)賽是一種樂(lè)趣，就像我們喜歡看足球世界杯，一次的輸贏不重要，更多是一種對(duì)競(jìng)技的享受。

當(dāng)然，這也許是因?yàn)榍靶┠陣?guó)際競(jìng)賽中中國(guó)人面孔較少的原因，其實(shí)我猜測(cè)也和有些早期的大牛們出身草根，英語(yǔ)不好加上已經(jīng)成名不屑參與有點(diǎn)關(guān)系。但要改變這種大環(huán)境的功利主義，似乎是個(gè)性感卻沒(méi)有骨肉支撐的怪異事情。

安全技術(shù)大牛，早年都靠白手起家基本形成了自己的游戲方式，而國(guó)內(nèi)看著熱鬧卻始終不溫不火的安全行業(yè)，使享受黑客文化的快感就局限在小小的悶騷圈子里，更別提“茍富貴、莫相忘”的吐槽依然是大家日常的調(diào)侃口頭禪了。

純粹地享受技術(shù)、黑客文化的自由，這種氛圍也許還是個(gè)漫長(zhǎng)的話題。何況我自己在2000年就也曾說(shuō)過(guò)，當(dāng)時(shí)，我們還缺乏黑客文化的土壤。

2011年之后，我和圈子里的朋友也聊過(guò)如何舉辦一場(chǎng)國(guó)內(nèi)的CTF競(jìng)賽，后來(lái)發(fā)現(xiàn)要在國(guó)內(nèi)舉辦一場(chǎng)這樣的比賽是何其艱難。CTF這種類別的競(jìng)賽對(duì)競(jìng)賽者的綜合水平要求非常高，這可不是平時(shí)玩點(diǎn)腳本、注入、跨站就能迅速適應(yīng)的。

就拿2011年江西高校安全競(jìng)賽，最后的掛名也是：信息安全軟件設(shè)計(jì)大賽（主辦單位認(rèn)為用攻防兩字太敏感）。

的確， 通過(guò)之前實(shí)際操辦和調(diào)研的結(jié)果看，目前國(guó)內(nèi)安全專業(yè)的大學(xué)生很少能達(dá)到CTF的水平，所以我目前趨向先鼓勵(lì)和支持國(guó)內(nèi)的安全愛(ài)好者積極參與國(guó)際黑客競(jìng)賽，擁有相當(dāng)一批有實(shí)力的玩家戰(zhàn)隊(duì)后，再考慮在國(guó)內(nèi)舉辦這樣的競(jìng)賽以進(jìn)一步吸引國(guó)外戰(zhàn)隊(duì)參與。

值得高興的是，今年8月，在全球最頂級(jí)的黑客競(jìng)賽DEFCON CTF上，來(lái)自中國(guó)的安全寶-藍(lán)蓮花戰(zhàn)隊(duì)，延續(xù)了他們今年異軍突起的神勇，順利通過(guò)資格賽進(jìn)入總決賽，并取得第11名的不俗戰(zhàn)績(jī)。9月，IDF實(shí)驗(yàn)室在車庫(kù)咖啡舉辦的第八期黑客文化沙龍，還特意邀請(qǐng)他們來(lái)做了分享。

期待未來(lái)全世界各國(guó)的CTF，會(huì)涌入更多的中國(guó)年輕有朝氣的面孔。

也許不久的將來(lái)，比DEFCON 48小時(shí)的連續(xù)競(jìng)賽更酷的72小時(shí)CTF競(jìng)賽會(huì)在天朝出現(xiàn)。