守护这个世界的安全,远远比我们想象的复杂
在科幻作品当中,无论题材如何,有一种角色的出镜率特别高:天才黑客。有时候他站在主角那边,那他就是一个非常重要的技术流配角;有时候他站在对立面,那他就是一个很难对付的中等BOSS(或大BOSS的助手)。天才黑客的主要职能是守住自己的网络安全、攻破对手的网络安全防线;他能否妥善履行职能,则取决于剧情需要。
我最喜欢的天才黑客包括:《命运石之门》里的桥田至(桶子),《女神异闻录5》里的佐仓双叶,以及《黑客帝国》里家喻户晓的救世主尼莫。桥田至的形象最符合大众对“天才黑客”的刻板印象:宅男,毒舌,爱吃披萨,喜欢二次元,有严重的拖延症,却唯独在信息技术上执行力超强。
遗憾的是,任何科幻作品都无法生动描述“网络安全攻防战”的过程;我们往往只能看到天才黑客坐在桌子前狂敲键盘,然后突然站起来大喊一声“我成功了”!《黑客帝国》的表现手法更直观一点,让尼莫沉浸在绿色的数字海洋之中,视觉效果是有了,可惜真实性近乎于零……
热播网剧《亲爱的热爱的》,罕见地以CTF(网络安全夺旗赛)为主题,让数以万计的观众第一次听说了这个概念,发现网络安全攻防也可以很刺激。遗憾的是,《亲爱的热爱的》原本选择的是电竞题材,只是由于各种原因临时改成了CTF,基本是照着“电竞赛事”的模板去描绘“CTF赛事”的,在专业细节方面也有不少欠缺。
《命运石之门》男二号桥田至,一般人心目中的“天才黑客”
在这个时代,消费互联网和产业互联网已经渗透到了我们生活的每一个角落,网络安全也从一个“垂类专业话题”变成了“社会性话题”。典型的例子是2021年12月爆出的Log4Shell漏洞:这很可能是多年以来全球影响最大的网络安全灾难,在被发现的半个月内,全球已经有40%的企业网络遭到了攻击;所以有人称这是“核弹级别的安全漏洞”。此时此刻,在Google和百度上,"Log4shell"分别有425万个和292万个搜索结果。
网络安全很重要,而且会越来越重要。然而,流行文化对网络安全话题的讨论又还远远不够,由此导致大众对网络安全的认知停留在懵懵懂懂的状态;这可能会进一步地导致非技术出身的企业管理者轻视网络安全、对这一领域投入不足。生动活泼的网络安全教育是很重要的——问题在于,究竟怎么做到这一点呢?
其实,通过《亲爱的热爱的》而让大众熟知的CTF,就是一个现成的、兼具专业性和趣味性的选项:
CTF (Capture the Flag),即“夺旗赛”,是指网络安全人员分组进行,以攻破特定漏洞为目标的比赛。根据规则不同,参赛战队既可以互相攻击,也可以攻击主办方提供的特定网站、程序或硬件设备。在比赛时间内“夺旗”(攻破漏洞)最多的队伍即获得胜利。随着时间发展,CFT也派生出了更多的形式:例如通过编程解决主办方提出的一系列难题、破译一组密码、对某一应用进行反向编译,等等。成熟的CTF赛事可以持续好几天,包括各种不同的形式,既可以线下进行也可以线上进行。全世界每年会举行数以千计的CTF赛事,其中既有面向高端专业和学术人士的,也有面向初学者和网络安全爱好者的。纽约大学理工学院一年一度主办的CSAW大赛,参赛者可达上千人;北约旗下的卓越合作网络防御中心(CCDCOE)每年举办的赛事,则有世界各国的国家队以及北约代表队出席(有趣的是,北约队似乎只赢过一次)。
在国内,长亭科技举办的Real World CTF是最著名的赛事之一。2018年的第一次Real World CTF,就吸引了全球700多个战队的近2000名选手参加,入围总决赛的有来自15个国家的20支战队;2019年,参加比赛的增加到了1000多个战队,总决赛期间还与阿里云联合举办了云安全挑战赛;2020年,由于疫情原因,Real World改为全程线上举办,但并不妨碍参赛战队数量创下了1772支的新高。
有趣的是,线上举办反而增加了Real World CTF的活跃度和参与感。前两届赛事分为线上赛和线下赛两个阶段,只有最优秀的少数战队能进入线下决赛;第三届赛事则不分阶段,全体战队在线上进行48小时的连续竞技。1772支战队、超过1万名选手的同场竞技,很可能刷新了全球网络安全赛事的纪录;超过3万人的全网观看量,也是一个非常高的水平。
2022年度Real World CTF海报
CTF赛事对网络安全的意义毋庸赘述。对于网络安全专业人士而言,它是绝佳的、合法的练手方式;对于企业和政府机关而言,它是发现漏洞、弥补漏洞的重要场所。但这并不是CTF的全部意义,甚至不是它最重要的意义。
还是上面提过的老话:大众对于网络安全的认知还很不够,导致了对网络安全需求的轻视。就像一个健康的资本市场需要无所不包的“投资者教育”一样,互联网行业也需要无所不包的“网络安全教育”。如果CTF只是圈地自萌,那就只能影响专业人士和学生,不能唤起大众的真真切切的重视——也就是说,治标不治本。
那么问题来了:怎么让网络安全赛事变得“好看”呢?就算搞一个大型线下赛场,让大家看到程序员敲键盘,在大屏幕上显示代码,大家就爱看吗?看看《亲爱的热爱的》的观众评论就知道了,大部分观众还是不知道这群人在做什么,只是觉得战队成员振臂高呼的样子很有喜感而已。呃……
要让CTF赛事“好看”,显然要从技术层面想办法,从组织和命题步骤就注意如何让观众“看懂”。第三届Real World CTF就是一个绝佳的范例:
16道赛题,对应于旋转着的3D场景中的不同的常规物品。解谜会导致这些物品的状态发生变化,从而让观众直观地体会到“啊,这个谜题解开了”!第一道“签到题”,要求参赛者把Real World logo小龙的口罩脱掉。究竟怎么做到呢?有常规解法,也有不走寻常路的奇异解法。有一道赛题基于《浮士德》剧情,心脏变成了石头,不仅需要高超的算法和密码学功底,还考验了参赛者的艺术水平。
早在2019年底的第二届Real World CTF,就采用了这样的真实化展示环境——赛场上的大屏幕循环展示着一个缓慢旋转的3D房间,16道赛题均对应房间内的一件物品,例如智能门锁、打印机、路由器等。例如,签到题<Drinks>需要参赛战队从事先摆放在桌上的多罐饮品中,找出印有rwctf{pwned_coke}的那一罐。
这种高度真实化、可视化的展示机制,能够让不懂技术的吃瓜群众也感受到网络安全攻防的紧张刺激,从中获得享受。就像我,虽然只会玩《王者荣耀》,根本没玩过《英雄联盟》和《DoTA2》,但是仍能从后者的赛事直播当中获得乐趣。原因很简单:我看不懂具体的操作,难道还体会不到大局和气氛吗?
2020年度Real World CTF的考题
由此进一步思考,真实化的CTF赛事,算不算一种“元宇宙”呢?天才Geek在键盘上疯狂敲打,引发了3D虚拟世界的微妙变化,而且这种变化能够让普通用户直观地感知——这不就是《雪崩》《头号玩家》所描述的元宇宙吗?而且,这还是一种具备很高的技术含量和实用价值的元宇宙呢。
我个人认为,对网络安全的真实化展现才只开了个头。如果有一天,我们能够将黑客攻击某个特定漏洞的全过程,细致入微地以3D影像方式呈现出来,使得哪怕像我这样的技术小白也能看到其精妙之处和危险之处,那么大众对于网络安全的重视一定能够登上新的台阶。我们重视现实中的防盗,因为我们都或多或少地目睹过小偷行窃;而我们不够重视赛博空间的安全,则是因为我们没有直观的经历。
第四届Real World CTF即将于2022年1月21-23日在线上举行。这次我应该会加入数以万计的在线观众(虽然我肯定无法完全坚持48小时)。我相信这次的题目设计肯定与往年一样精妙,但我最感兴趣的是,在真实化展现方面,能不能拿出什么新东西?会不会有那么一天,我们能够像观看体育或电竞赛事一样,一边喝着啤酒,一边热火朝天地观看CTF赛事呢?
一切皆有可能。