時間能改變什么呢？

比如，2017 年，世界著名黑客 MJ 0011（鄭文彬）還帶領(lǐng)著 360 安全站隊捧回了 Pwn2Own 2017 世界黑客大賽的冠軍獎杯以及一件酷炫的冠軍皮衣。

2019 年 7 月 5 日，MJ在 WCTF 世界黑客大師賽上激情開講。

今年的 WCTF 借鑒了 Pwn2Own 的不少賽題設(shè)置。

從打比賽的人到“舉辦比賽的人”，中間發(fā)生了什么呢？很多事情。首先，出國打Pwn2Own這類比賽已經(jīng)不被“上級”鼓勵，再者，360 的老周這兩年也一直在說——出國打什么比賽，為什么要把漏洞“武器”貢獻給外國人？我們要搞自己的比賽，讓別人過來打。

話說得“政治正確”，雷鋒網(wǎng)編輯看到這兩年傳出來的 Pwn2Own 的戰(zhàn)果——比如，誰誰誰因為破解特斯拉而被特斯拉獎勵了一輛車車這種熱血燃情的新聞時，總是有點意難平——要是國內(nèi)的頂尖強隊也按照以往的情形參加，還有國外選手什么事呢？！

還有一個現(xiàn)象挺有意思，雖然往外“出漏洞”的比賽不被鼓勵，但是DEF CON CTF 這種世界級技巧型比賽大家還是打得不亦樂乎的，今年也有不少DEF CON 的外卡賽由中國的參賽者舉辦，比如騰訊的 TCTF、百度的 BCTF。

這樣一看，360 舉辦的 WCTF 有什么特色？360 會有壓力嗎？WCTF 也要努力變成 DEF CON CTF 的外卡賽嗎？

這是雷鋒網(wǎng)編輯拋給 MJ 和 360 著名安全專家李康的問題。

出乎意料的是，他們不打算按照這個路子走。MJ 傲嬌地說，為什么要變成 DEF CON CTF 的外卡賽呢？我希望以后別的地方還有 WCTF 的外卡賽。

【左：李康 右：MJ】

一個有實力的比賽

WCTF 可能有這個潛力。

首先，是參賽選手水平很高。

WCTF 分為大師賽和新人賽。大師賽，從字面上都可以看出，是邀請水平比較高的“神仙戰(zhàn)隊”一決高下：在2019 WCTF上，主辦方邀請到了波蘭 Google 安全團隊 Dragon Sector、法國瑞士聯(lián)合戰(zhàn)隊 0daysober、日本戰(zhàn)隊 TokyoWesterns、美國戰(zhàn)隊 Shellphish、德國戰(zhàn)隊 Eat,Sleep,Pwn,Repeat、俄羅斯戰(zhàn)隊 LC?BC、韓國戰(zhàn)隊 Cykor，以及 NU1L、r3kapig和 217三支來自中國網(wǎng)安領(lǐng)域的戰(zhàn)隊。

新人賽今年則邀請了清華、復旦、北航、西安電子、成信大、中國科學院等十所頂尖高校的青年網(wǎng)安戰(zhàn)隊。

這些戰(zhàn)隊有什么神奇之處？如果你熟悉 CTF 賽事，會發(fā)現(xiàn)這些戰(zhàn)隊都是 CTF 戰(zhàn)隊排行榜上赫赫有名的高手（你可以把這個排行榜理解為世界武林高手榜）：

第二，參賽賽題偏實戰(zhàn)。

如果說常規(guī) CTF 被一些人稱為“僅僅做題，沒有實戰(zhàn)”的比賽，那么 WCTF 可能更加“商業(yè)化”，今年的 WCTF 賽題頗為硬核，有涵蓋硬件安全、移動安全、操作系統(tǒng)安全、瀏覽器安全、密碼破譯、沙箱逃逸、虛擬機逃逸、內(nèi)核提權(quán)等多領(lǐng)域的賽題。

今年的 WCTF 還主打兩個領(lǐng)域：硬件安全與瀏覽器漏洞。

虛擬的網(wǎng)絡世界，背后是數(shù)以百億計的 IoT 智能產(chǎn)品、基站、寬帶、工控設(shè)備、大型硬件系統(tǒng)等常用網(wǎng)絡設(shè)備，談及網(wǎng)絡世界的攻防戰(zhàn)爭，自然繞不開硬件安全，而近年來國際上多個 APT 高級威脅組織利用瀏覽器漏洞滲透攻擊，直接造成大批用戶遭遇勒索病毒攻擊，導致信息泄露威脅個人及財產(chǎn)安全。

如果你熟悉 Pwn2Own ，會發(fā)現(xiàn) WCTF 擁有其熟悉的調(diào)調(diào)，但 WCTF 與 Pwn2Own 還是有本質(zhì)區(qū)別，如果你要打 Pwn2Own ，可能要準備很久，尋找那些巧妙的“零日漏洞”，并要布局參賽策略，以防撞洞（雷鋒網(wǎng)注：和競爭對手使用同樣的漏洞），打下一個特定目標后，選手必須把漏洞信息與利用詳情與涉及廠商共享，這也是老周這兩年極力強調(diào)“漏洞是戰(zhàn)略資源，不要往國外送洞”論調(diào)的背景原因之一。WCTF 是現(xiàn)場實戰(zhàn)型比賽，只有 18 個小時，賽題中涉及的攻擊目標與商業(yè)目標不完全一致，但是“很像”，而且參賽選手可以不顧賽題設(shè)置方的邏輯，直接用商業(yè)工具或者自己寫的工具攻擊。

最有意思的是，今年的 WCTF 和往年一樣，依然是“高手”給“高手”出題：參賽選手互相出題，非常有看點。

第三，WCTF 有“正兒八經(jīng)”的賽后分享會議。

它的重點不在于“大師隊伍”解密如何“吊打”對手，而是分享出題、攻擊、防守思路，機智如你，可能能想到這對參賽選手，尤其是“新人團隊”的意義，高手過招，觀看都是“吸收精華”。

這個比賽的意義到底是什么

雷鋒網(wǎng)編輯一直在觀察 360 的“打法”，你也可以發(fā)現(xiàn)，360 這兩年以“守衛(wèi)國家安全”來定義自己。從中國安全市場看，這是一個“頗有前途”的思路，不然為什么那么多企業(yè)爭破腦袋想進“國家隊”?

既然是“守衛(wèi)國家安全”，那么老周說“不要往外送戰(zhàn)略資源”的觀點你應該能夠理解了。“不往外送”，那就“朝里引”，自己打造一個類似的比賽，但這個比賽要吸引國外選手來參賽，也不能顯得“太  Pwn2Own ”，那就搞一個改良版的“Pwn2Own”吧——非實際商業(yè)產(chǎn)品，但能用商業(yè)工具，打的又是有實戰(zhàn)意義的領(lǐng)域熱門項目。

還有一個大家都心知肚明的目標：培養(yǎng)人才。當然，新人選手到底有哪些最終被 360 吸納，編輯還沒找到“標準答案”，但以賽“練兵”，以“大師”操練“新手”，這個思路是可行的，不管最終這些人才是否落到 360 的“口袋”里，對中國的網(wǎng)安人才培養(yǎng)來說，終歸是一件好事。

360 網(wǎng)絡安全北美研究院院長李康曾是 CGC 機器人競賽項目 UGA Disekt 的華人領(lǐng)隊，在自動化攻防上很有研究。在回答“WCTF 是否會專門設(shè)置自動化攻防環(huán)節(jié)”這一問題時，李康的回答頗有意思：

“CTF 里一直在用自動化攻防的工具，只不過說有一些比賽，我只用工具，等真正我們想在實戰(zhàn)過程中對抗時，比如兩個國家較量，沒有人說不能上人，我覺得今后所有的對抗最終我們都說是人的對抗，對抗一直是人加上機器。所以在今天賽場里，我相信所有的戰(zhàn)隊，至少大師戰(zhàn)隊他們肯定都是有備而來，每個人手里都是有一堆各種自動化工具，我相信學生戰(zhàn)隊也是類似，只不過工具接口可能不統(tǒng)一，但是大家都是帶著工具來的?！?/p>

不拘泥形式，所有的對抗都是人的對抗。在各種賽制背后，最后錘煉的還是對抗思路和安全技巧。從這個角度看，WCTF 應該已經(jīng)是在吸引選手參賽、錘煉選手能力以及打消上述種種顧慮而言，相對比較平衡的比賽。

WCTF 是最好的安全人才賽嗎？

不一定，但是從 Pwn2Own 轉(zhuǎn)戰(zhàn) WCTF，我們看到了 360 以及 MJ 的新思路。

回到最開始的問題，時間改變了什么？時間不僅改變了 MJ 的發(fā)型，改變了形勢，改變了思路，最妙的是，它還有無限可能等待中國網(wǎng)安人才探索。

敬請期待。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。