比上清华更难的,是加入这支中国顶级黑客战队
“小时候我总是纠结要上清华还是北大,后来发现原来是我想多了。。。。”
长大后的我又发现,比这个段子更可怕的是——如何加入中国顶级黑客战队蓝莲花。
摸着良心说,这支黑客战队绝对不止“中国顶级”,用“世界知名”形容也不为过。
它的名字绝大多数安全从业者都听过,百度百科上对它的收录是“蓝莲花(Blue-Lotus)战队是一支源自清华大学的网络安全技术竞赛和研究团队,是中国参与 CTF(Capture The Flag)网络安全技术竞赛成绩最为突出的一支国际知名战队。2013 年成为华人世界历史上首支成功闯入 DEFCON 黑客大会 CTF 全球总决赛的队伍。。。”
因为这支战队太过厉害,百度想了想,又不能把战队买走,所以这几年以赞助冠名的方式在其前面冠上了“百度-蓝莲花”的名号。
蓝莲花不只被一家互联网巨头盯上。蓝莲花战队最早由清华大学网络与信息安全实验室老师和学生组成,从这支战队“毕业”的队员几乎被安全圈哄抢,有的以“阿里星”的身份被阿里招入麾下,有的进入腾讯安全联合实验室,或者干脆组队创业,几年内搞出了颇有名气的安全创业公司。
不过,人要是没有梦想,和咸鱼有什么区别。
最近,雷锋网宅客频道编辑遇到了蓝莲花战队的创建者之一、清华大学副研究员诸葛建伟,向他咨询了这个问题——如何才能加入蓝莲花这种中国顶级黑客战队?
难于上清华
2012 年之后,蓝莲花战队吸收过浙大、上交、复旦、成信等国内其他高校学生,及阿里巴巴、绿盟等公司成员加入。
也就是说,只要技术足够牛,加入蓝莲花不是梦。
比如,两年前在知乎上也有这么一个提问:怎么才能进入清华蓝莲花战队?感觉只要在知乎上联系队员朱文雷、杨坤等人,并用技术征服他们就好(就这么说一下,要征服他们估计不容易)。
但形势不一样了,想通过上知乎联系战队大牛加入蓝莲花应该是不可能了(仅为编辑猜测,欢迎已经毕业的朱文雷来打脸)。
现在由于 CTF 比赛很多,各大高校都组建了自己的 CTF 战队,蓝莲花战队也日渐趋向于由清华大学本校成员构成,而且诸葛建伟告诉编辑,一般是由“清华大学研究生”组成,正式队员不到 20 人,因为“清华大学网络安全学科申请了硕、博士点,本科专业属于清华大学整个信息类学科中,没有设立单独的网络安全本科专业”。
所以,要想加入蓝莲花,第一步是先考上清华的研究生???
不不不,在清华大学,有一个学生自发创办和管理的学生社团,在“百团大战”等活动中,会吸纳学生入会,通过清华大学举办的校园赛,除了加入这个协会,还可能入选清华大学的“紫荆花”战队,这支队伍主要参加国内信息安全类竞赛,在紫荆花战队中表现优异的学生可加入蓝莲花战队,主打国际赛和国际外卡赛。
小小科普一下,所谓外卡赛,是指 DEFCON 黑客大会每年会给其认定的国际强队派发进入 DEFCON 黑客大会 CTF 总决赛的资格,这些强队会举办比赛来遴选参赛队伍,尤其因为近年来 DEFCON CTF 不限制参赛队伍的人数,很多参加外卡赛获胜的队伍可能以联队名义参加总决赛。
不过,就算是紫荆花战队的优秀队员,基本上每年也只有两个人可进入蓝莲花战队。
加大基数
[诸葛建伟]
诸葛建伟的目标,不是把每个人送进蓝莲花。
2013 年,蓝莲花的创建者诸葛建伟与段海新等人创立了赛宁网安公司,赛宁网安的主要业务之一是承办各类 CTF 赛事。
他有一个“播撒火种”的心愿。
“把自己限制在清华,我只能培养这部分最顶尖的人才,但是如果能把培养的经验结合社会资源规模化地推广,那么,我不仅可以服务于清华顶级的网络安全战略人才培养,还能面向整个教育行业,甚至向国家相关机构、企事业单位的网络安全建设输送人才。”诸葛建伟说。
如果把网络安全人才结构比喻成一座金字塔,在塔尖的高水平人才是各方争抢的关注点,但承载整座金字塔,能够提升整体安全水平还靠基数大的“底座”。
甚至,像现在大家聚焦的智能化攻防人才,诸葛建伟认为,只有百分之一、千分之一的人有这种意识或者能力来指导、研究智能化攻防程序,包括诸葛建伟在清华的实验室在内,每年对外能输出的这种高技能攻防人才数量是极其有限的。
说白了,不是每个人都能成为杨坤、朱文雷。。。以及照片里的这些人。
[蓝莲花战队的最新一张照片,觉得有必要再放一次,毕竟画圈圈的小哥还被称为清华“霍建华”]
将网络安全学科打造成一个成熟学科,构建创新能力实践赛,吸引更多安全爱好者参与,培养其能力是这个“教育者”出于本能的选择。
“在美国,已经有初中生参加 CTF 比赛,中国也组织了面向全国中学生的网络安全的竞赛,是以 CTF 解题的模式进行的,而且已经与大学的自主招生紧密联系。”诸葛建伟希望,网络安全学科可以下沉到更低年龄段,比如,今年他五岁的孩子已经接触了硬件编程相关的课程。
最好的选择吗
对于 CTF 是否是选拔及培养网络安全人才最好的方式,业界也有争议。比如:
目前 CTF 太多了,普及价值大于真正的技术价值。
CTF 仅是技巧型的比赛,对网络安全实战意义不大。
他们为什么会这么认为呢?
雷锋网(公众号:雷锋网)曾经科普过(TK教主说的,详情请见《白帽黑客教主 TK 告诉你,黑客的游戏 CTF 究竟是什么 | 硬创公开课总结文+视频》),CTF 的比赛形式有以下几种:
1.出“题目”的解题模式,包含逆向、漏洞(也称攻防)、算法、审计、综合……,难度不一,分值不一,越难的题目分值越多。
2.攻防模式。
第一种,每一支队伍一同攻击同一个目标,考验攻击能力;
第二种,所有参赛队伍进行防守,遭受攻击,考验防守能力;
第三种,结合前两种,综合考验攻防能力。这种模式对技术、战术、策略要求更高。一般是回合制,一个回合五分钟。可以按照自己的策略选择优先攻击或防守,打谁不打谁,队伍自己决定,一个回合暂停一次。
第四种,大家同时攻击一个服务器,比谁占领服务器的时间长,保持自己的控制权,不被别人干掉。
看上去,尤其如果比赛用的是出题模式,就可能有各种各样的题库,既然有题库,题型也是固定的,大家只要把题目做熟了就好,不能考量真正的攻防能力。
诸葛建伟不这么认为,一味否定 CTF 这类比赛的价值是不可取的,一场 CTF 价值有多大,要看比赛设置方想要考察选手能力的维度。
说白了,种什么样的种子,结什么样的果子。
相较于传统的CTF比赛,他更推崇创新型的 CTF 赛程设置。
传统的攻防赛可能更注重选手攻击的能力,但攻防赛应该“攻防兼备”。
以最近举办的第十一届全国大学生信息安全竞赛为例,这场比赛以各个选手队伍命题的模式代替了组织方命题的模式,当然,这种模式借鉴了之前韩国 POC 大会以及世界黑客大师赛 WCTF 的命题方式,但不同的是,第一,结合业内实际业务安全需求构建靶标环境,培养参赛选手的创新开发能力。在半决赛的前两周内,除了安全开发外,选手还需要在设计的应用中植入企业精心设计的安全挑战,这种挑战可能是一个预设的安全漏洞。
这不是最难的点,最难的点在于精心植入了这个漏洞,还要保证业务逻辑的正常运行,能够对外正常提供服务。
“大家普遍认为,信息安全人才要有逆向思维,我给你一个程序,你要能逆向分析,找到漏洞,但这样可能会忽视开发能力的培养,其实信息安全人才需要知道什么样的开发过程是安全的,编码时使用什么样的函数、开发的规范等,才能确保不会有一些非预期的安全漏洞。”诸葛建伟说。
理解了安全开发的过程,安全人员和开发团队才有共同语言和良好的合作基础。
第二,为了解开别人的“谜底”,选手可能需要糅合密码学等 CTF 中要考察的技术点,并将这些技术应用到业务需求中,需要有安全检测能力和漏洞利用能力。
第三,选手需要有安全修复和加固的能力。
当然,上述比赛只是 CTF 的创新模式之一。诸葛建伟介绍,现在业内在推动各种真实场景的CTF,比如工业互联网安全、防御体系共测等,甚至植入真实业务场景里的软件让大家“找茬”。
我们也预设了一个前提,对于网络安全人才培养,尤其是高校学生,以 CTF 类竞赛的方式来激发人对技术的学习热情可能是目前应用得最广泛的理论结合实践的选择。
CTF 的参加者可能从菜鸟级初学者延伸到职业安全研究员,假如 CTF 是丈量能力的尺子,你是什么样的宽度,就会选择什么样的尺子。
编辑手记
蓝莲花的创建者曾提到了歌手许巍的《蓝莲花》中的一句歌词:“没有什么能够阻挡,你对自由的向往”,以此来阐述“突破技术边界的极客精神”,诸葛建伟等人不断尝试革新 CTF 的创新模式,从学界到业界,希冀将蓝莲花的火种播撒到更广阔的基数上也是遵循了创建蓝莲花的初衷。
回到最开头的那个问题,“如何加入中国顶级黑客战队蓝莲花”,当你发问并认真思考这个问题时,也许正是探索自由边界的开始。恭喜你,你虽尚不在蓝莲花,但已接收到了它的火种。
本文作者:雷锋网网络安全专栏作者,李勤
比上清华更难的,是加入这支中国顶级黑客战队相关推荐
- 非凸函数上,随机梯度下降能否收敛?能,但有条件,且比凸函数收敛更难
©作者 | 陈萍.杜伟 来源 | 机器之心 非凸优化问题被认为是非常难求解的,因为可行域集合可能存在无数个局部最优点,通常求解全局最优的算法复杂度是指数级的(NP 困难).那么随机梯度下降能否收敛于非 ...
- 中国各地高考难度地图:上大学最难的省份是哪里!?
点击上方"视学算法",选择加"星标"或"置顶" 重磅干货,第一时间送达 文章来源:公众号草叔消费升级研究,国金证券研报.师玥03及翻译教学与 ...
- 双胞胎一个上北大一个上清华,秘诀6个字!还有女生收到清华通知书说“考砸了”……...
今天, "双胞胎一个清华一个北大"的消息, 冲上热搜, 让不少网友惊呼: "学霸的世界!" >>>> 01 在2020年高考中 来自湖南 ...
- 计算机考研400分能上清华吗,考研考了400分是什么水平 能上清华吗
考研400分意味着,考研各个科目中英语得80分,政治80分,数学和专业课加起来得240分,再或者考研英语70分,考研政治70分,考研数学和专业课加起来总分得260分,这种难度对于全国考研学生而言都是十 ...
- OpenAI当红新星宋飏:最新研究获评「终结扩散模型」,16岁上清华
一个OpenAI华人大牛,最近引发众人关注. 他刚以一作身份发表的最新生成模型,引爆整个学术圈,让不少人惊呼: 有望「终结扩散模型」,「图像生成领域,要变天了」. 他提出的一致性模型,效果比扩散模型更 ...
- 如何在小型pcb的移动设备上获得更好的无线性能
如何在小型pcb的移动设备上获得更好的无线性能 How to get better wireless performance for mobile devices with small PCBs 小型 ...
- 世界上公认最难的十大学科
我们每天都在说自己的专业辛苦难学,但是你的专业应该不是世界公认的最难学科之一吧.世界上公认最难的十大学科:1.神经科学 2.数学 3.世界史专业 4.航天器制造技术专业 5.飞机结构修理专业 6.茶树 ...
- AdvFlow:一种基于标准化流的黑盒攻击新方法,产生更难被发觉的对抗样本 | NeurIPS‘20
本文提出一种新的黑盒对抗攻击方法AdvFlow,通过利用标准化流来建模对抗样本的数据分布,使得生成的对抗样本的分布和正常样本接近,从而让对抗样本更难被检测出来,打破了对抗样本和正常样本的分布大不相同的 ...
- C语言笔试不好应该转专业吗,你认为大学里什么学科“难学”?过来人说出几门,考试难补考更难...
原标题:你认为大学里什么学科"难学"?过来人说出几门,考试难补考更难 文/晓宁说教育 2020届的大一新生们的第一个学期已经结束了,经过了一个学期的学习和生活,相信很多学生都对自己 ...
最新文章
- 杭电 1181 变形课
- 基于数组实现队列(基于Java实现)
- Google也开始弄开源平台,好事啊
- 对kubernetes的认识
- r语言没有forecast这个函数_R语言学习日记——时间序列分析之ARIMA模型预测
- Docker下载与安装(win7,8,10,mac)
- SQL Server 2019中SQL表变量延迟编译
- 准备成立公司开发 app 外卖应用,怎么起步?
- android 飞行模式 配置 wifi可用,飞行模式下使用WiFi教程
- 互联网十大网络流行语
- oracle 停掉job,oracle 如何停job
- (1)桌面客制化之单屏幕修改以及wight修改
- Unity AR小游戏(玩具小车)踩坑记
- 计算机辅助教学原理感悟,计算机辅助教学课程学习心得.docx
- vmware虚拟机安装win7_vmware虚拟机中安装mac Catalina10.15
- java 单链表一元多项式_java单链表实现一元多项式加法和乘法运算
- 一周技术思考(第36期)-缓存踩踏与惊群效应
- 淘宝商品销量接口/淘宝商品销量监控接口/商品累计销量接口代码对接分享
- mysql按条件查询left_mysql-查询条件下的LEFT JOIN
- 中文字型设计新思路--人工智能与中文字型设计
热门文章
- JAVA incept_关于Inception默认配置的一个坑
- mysql hint是什么_mysql hint是什么意思
- 路由器有外派信号但无服务器,路由器有信号没网络?4个检查你做到了吗?后悔才知道!...
- c3600路由器查看和修改ip地址
- 对 kubenetes 扩容后端 rbd 磁盘容量
- 两个实打实干活的同事离职了,老板连谈都没谈,一句挽留都没有,你怎么看?
- 灵机一栋团队alpha冲刺 Ⅰ
- python视觉识别字_Python通过Tesseract库实现文字识别
- 第7组 团队展示(组长)
- ncm格式转mp3格式