引言
CTF 一词相信现在的大家肯定不陌生,但放在十年前,知道的人恐怕还真不多,骨哥在朋友圈中算是接触 CTF 较晚的那个人了。我真正第一次接触 CTF 是在2012年,在2013年还曾有幸和小伙伴们一同参加了当年百度的第一届 BCTF,后来还整理过一篇文章,如今看来,当年的文笔有够稚嫩,不过在2013年参加完 BCTF 时,骨哥就曾预言过,国内的 CTF 比赛一定会像电子竞技一样蓬勃发展,甚至形成职业战队、战队教练等。
当年的‘预言’如今就这么‘成真’了,赛事如雨后春笋,同时也带火了各类比赛平台、CTF 培训班...然而这并没有给我带来多大的兴奋与喜悦,相反带给我更多的是不安,于是就写下了今天这篇文章。
乱象
很怀念当年参加 CTF 比赛时的那种‘纯净’,无论是参赛选手,还是比赛的组织方,无论是比赛的题目还是环境。比赛就是比赛,选手们享受着拿下每一道题目的喜悦,比赛方看到的是一颗颗冉冉升起的‘新秀’!
骨哥依稀记得大概在2016、17年左右,跟朋友的一次聊天中,说起XX比赛的黑幕,我才知道原来冠军是可以“内定”的。而随着近年来国内各类 CTF 比赛愈加火爆,行业赛、高校赛、企业赛、省赛、市赛......,各种黑幕消息也是花样百出、不断涌现,先抛开某些比赛方的不公正行为、暗箱操作不谈,赛前培训班似乎成了一条大家心中的一条默认公约,而随着线上比赛的流行,赛前/赛中上X宝,随手一搜“题目买卖”、“枪手代打”更加不是什么新鲜事。更有甚者,直接买卖Flag,据说某比赛还曾爆出题目刚放出,就有选手秒提Flag的事件。听到这些,骨哥也是真的醉了。
CTF 比赛的初衷是希望参赛者可以在比赛中实践攻击和防御技术,并且得到及时反馈与评估,从而促进参赛者的学习和技能提高。而如今的比赛似乎有点变味了,趋利性越来越明显,甚至充满了“铜臭味”。
这些乱象不仅影响了比赛的公正性,也会打击选手们的积极性和信心。其次,一些比赛奖励设置的不合理,可能也会让一些身为校学生的选手为了奖励而荒废了学习和提高自身,每天不断重复的就是“刷题!刷题!刷题!”,参赛的目标就是“奖金!奖金!奖金!”。这不仅对选手本身造成了损失,也会对整个国内赛事的发展造成负面影响。另外目前国内赛事由于缺乏统一的标准和规范,导致比赛质量参差不齐,从而影响了比赛的公正性和举办方的可信度。
感想
骨哥如今已是不惑之年,带过不少新人,也有过自己的团队,我和团队成员谈起 CTF 比赛时通常会说 “比赛仅仅只是比赛,比赛和实战是有区别的,我更希望的是通过比赛使你们拓宽视野,在未来的实战中能够有更好的发挥和表现。”
对于国内 CTF 的健康发展,在本文我也提点自己的拙见:
1、 加强 CTF 赛事的监管,确保比赛的公正性和竞争性
2、鼓励参赛选手的实战能力培养,比如近两年已经开始出现一些赛事趋向RealWorld 形式,比如国内外一些著名的比赛,围绕安全攻防的比赛有时往往长达数天,模拟不同的实战环境,如渗透测试、代码审计、挖掘0day等等,这些真实的实战经验不仅能够增强参赛者的自信心,还有助于今后在日常学习、工作和实操中更好地解决问题,这是一个好现象,这样才能真正的使 CTF 比赛在网络信息安全行业中形成有效的推进作用
3、加强 CTF 学科建设,逐渐摆脱‘刷题怪圈’,推进教育与实践紧密结合,培养更多的综合型人才,而非纯‘赛棍’
总之 CTF 竞赛在安全领域还是具有非常重要的意义,不但可以有效提高参赛者的实战经验和竞技水平,同时,也可以带来更多的新思路和新思考。然而我们也应该审视目前乱象的存在,解决一些‘脏、乱、差’问题,打造更为健康、公正的比赛环境。
洋洋洒洒的写了近1500字,可能年纪大了感触就多起来了。如果你觉得还不错的话,欢迎一键三连哈~
====正文结束====