第一次见到姜开达老师,是在前不久上海零号湾刚刚结束的首届0CON信息安全创新创业峰会暨0CTF 2016国际信息安全挑战赛(XCTF联赛上海站)决赛现场,看到他忙碌的身影奔波穿梭在会场和赛场。51CTO的记者采访到他,已经是会议第二天晚八点,此时的他已经非常的疲惫。采访中,他不时摘下眼镜揉揉眼睛,缓解一下阵阵袭来的困意。原来为了这次会议和比赛,他连续多天处理着大大小小的事宜,睡眠严重不足。他笑称自己为消防员,哪里着火去哪里。
姜开达是谁?
上海交通大学网络信息中心信息安全主管 姜开达
姜开达老师是上海交通大学(以下简称:交大)97级本硕,高级工程师,现任交大网络信息中心信息安全主管,0ops安全战队领队,中国教育科研网上海节点NOC主任,中国高等教育学会教育信息化分会网络信息安全工作组常务秘书。曾先后获得交大“三育人”先进个人、优秀青年教师后备人才一等奖、学生工作特别贡献奖、上海交通大学“校长奖”。也是上海市第十四届“上海IT青年新锐”,上海市青年五四奖章获得者。
自毕业留校工作以来,姜老师和交大网络信息中心整个团队兢兢业业,见证了交大校园网络的飞跃式发展。大学期间,作为材料科学系的学生,他却喜欢上了互联网这个新生事物,沉浸在网络世界里,专注于计算机专业知识的学习。在即将毕业的那年,同学们都在忙着出国、考研,然而他将大部分时间投入到学校学生网络信息管理部的筹建中,协助学校管理学生网络事务,姜老师自己也实现了从学生到网络管理者的身份转变。
谈及工作和生活,姜老师表示,他的生活除日常起居之外,都是面对电脑,沉醉于技术。之所以这样,完全源于他对网络的“兴趣”。付出大量的业余时间和精力,也源于对自己事业的热爱。记者能感受到姜老师因为投身于自己喜欢的职业而散发出的那种幸福。但是看到他如此疲倦的样子,记者不得不提醒他注意身体,多休息,多加锻炼。
近年来,随着工作经验的积累和互联网知识的拓展,姜老师的研究重心转向了安全, 他将更多精力投入在网络信息安全技术的研究和安全服务体系的建设上,并于2013年参与创建了0ops安全技术战队。他带领团队在安全漏洞挖掘、大规模互联网安全威胁监测、安全应急响应等方面做出突出贡献,先后承担多项网络安全相关科研项目。0ops战队近年来频繁参与国内外信息安全竞赛并取得了一系列优异的成绩,也成为唯一获得CTF安全竞赛世界冠军的中国团队。
0ops安全技术战队
提到0ops战队,姜老师表示,队名之所以会叫0ops,是因为oops这个单词比较响亮有趣,在Linux内核中也有特殊的意义,意味着系统出现意外。将队名首字母“o”改成数字“0”则是黑客文化的一种体现,0在数字排序中总是名列第一。
现在,0ops战队成员主要来自上海交通大学计算机系密码学与计算机安全实验室、信息安全工程学院等各个院系,每名队员都有着扎实的计算机理论基础和对网络安全的浓厚兴趣。
自战队成立以来,一路披荆斩棘,在多项国内外CTF顶级赛事中取得优异成绩。特别是在2015年,0ops战队在韩国Codegate国际比赛上力挫群雄,夺得中国大陆首个CTF世界冠军,并在同年的DEF CON CTF全球总决赛获得第六名等多项战绩。0ops在2015年终的CTFtime权威安全团队排行榜中高居全球第三。
0ops战队除了参加比赛以外,还主办和支持了一系列高水平安全技术比赛来普及安全教育和推动人才培养及团队建设。目前已经举办的比赛有:0CTF 2014、ISG 2014(技术支持)、ISG 2015(技术支持)、0CTF 2015、0CTF 2016,并且即将为全国大学生信息安全竞赛首次信安技能赛提供技术支持。
CTF夺旗赛
Capture The Flag(简称CTF),直译为“夺旗赛”,起源于1996年举办的DEF CON全球黑客大会,最早是交流安全技术的重要途径。随着时间的推移,CTF竞赛逐渐演变成为信息安全技术竞赛的一种形式,发展成为全球范围网络安全圈的流行比赛。近年来,CTF竞赛活动蓬勃发展,国内外各类高质量的CTF竞赛层出不穷,CTF已经成为了学习锻炼信息安全技术,展现安全能力和水平的绝佳平台。
CTF参赛队伍的目标是获取尽可能多的flag(旗帜)。参赛队伍需要通过解决信息安全的技术问题来获取flag。flag可能来自于一台远端的服务器,一个复杂的软件,也可能隐藏在一段通过密码算法或协议加密的数据,或是一组网络流量及音频视频文件中。选手需要综合利用自己掌握的安全技术,并辅以快速学习新知识,通过获取服务器权限,分析并破解软件或是设计解密算法等不限定途径来获取flag。
CTF比赛的形式通常分为解题模式(Jeopardy)和攻防模式(Attack-Defense)。
解题模式通常为在线比赛采用,是目前大多数国内外CTF比赛的主流形式 ,选手自由组队参赛。题目通常在比赛过程中陆续放出。解出一道题目后,提交题目对应的flag即可得分,比赛结束时分高者胜(同分时比较提交时间)。
攻防模式通常为现场比赛采用,是多数CTF决赛的比赛形式,选手自由组队参赛,但通常队伍人数会受到限制(3~8人不等)。相比于解题模式,时间更短,比赛中更注重临场反应和解题速度,考察团队多方面的综合安全能力。团队要在服务漏洞分析、漏洞修补、漏洞利用、流量分析、自动化脚本等方面都不能存在短板。
目前国外知名的CTF比赛包括DEF CON CTF,Ghost In The Shellcode,Hack.lu CTF,PlaidCTF,iCTF等,相关比赛内容和时间信息均可在https://ctftime.org/ 上获取。国内的知名CTF比赛有0CTF,BCTF等,相关信息可以在https://time.xctf.org.cn/上获取。其中0CTF 2016是由0ops 团队主办的一场国际顶级水平CTF 比赛,是2016年 DEF CON CTF 的七大外卡赛之一,也是XCTF(国际网络安全技术对抗联赛)上海分站赛。
说到CTF比赛,记者脑海中冒出了一个问题:即将于今年8月举行的2016年DEF CON CTF全球决赛中,入围中国队伍有哪些呢?对此,姜老师回答说,今年blue-lotus和0ops将组成联队(b1o0p),进军DEF CON CTF全球总决赛,去冲击更好的成绩。
以赛促学,以赛促教
现在,高校计算机专业人才培养现状如何呢?姜老师认为,目前,高校计算机专业人才的理论基础尚可,动手能力不足;高校的师资力量和实践教学条件需要提高;高校缺少知识体系结构全面的学生;另一方面,各层面毕业生不能满足社会需求。
基于以上背景,他建议通过参加和举办各级安全竞赛的形式来推进专业人才的培养,培养低年级本科生对信息安全的兴趣,给有潜力的学生提供良好的学习成长平台,鼓励学生积极参与国内外信息安全类竞赛,发掘合适学生参与校内外信息安全工作,吸纳合适学生参与信息安全领域科研。最终以学生兴趣为导向完成从书本知识到实际能力的转化。
近年来,国内信息安全技术竞赛如雨后春笋般纷纷涌现。采用CTF赛制的数量在逐渐增多,吸引了很多注重人才长期培养的民间企业参与,为选拔安全专业人才和培训安全技术人才提供了一个很好的平台,而且其丰厚的奖金也激励吸引了更多人才进入安全领域。
想要参与CTF,要具备哪些知识?
如果你是一个对安全技术感兴趣的人,想要踏入这个领域,需要具备哪些知识呢?高难度的CTF竞赛对选手的知识积累与技术熟练度要求非常高,因此如果想要参加CTF竞赛,或者想在CTF竞赛中取得好成绩,需要首先具备扎实的计算机理论和实践基础。其中涉及到的重要基础课程包括:计算机系统与结构、操作系统、编译原理、数据结构、计算机网络、密码学、离散数学、数论、近世代数、数字电路等。
0ops团队向对安全技术感兴趣的小伙伴们,推荐了一些高质量的书籍:《程序员的自我修养》、《深入理解计算机系统》、《算法导论》、《密码学应用》、《编译原理(龙书)》、《鸟哥的私房菜》、《白帽子讲Web安全》等。
此外,还有一些在互联网上具有代表性的关于CTF竞赛相关的练习资源:
逆向工程:bbs.pediy.com,www.52pojie.cn,crackmes.de,reversing.kr
漏洞挖掘与漏洞利用:smashthestack.org,pwnable.kr,overthewire.org/wargames/vortex/
网络渗透:www.wechall.net,pentesterlab.com
CTF竞赛题目汇编:github.com/ctfs,shell-storm.org/repo/CTF/
最后,姜老师建议,对竞赛感兴趣的小伙伴可以寻找一些志同道合的人参与到实际的CTF中来,通过队员之间的交流和总结,从而迅速熟悉当下CTF竞赛的题目风格和形式,通过实战和持续的多领域学习来获得能力上的最大提升,同时也能够促进团队的默契与凝聚力。比你聪明的人比你更努力,如果你想有所提升和进步,那么唯有不懈的努力和付出才能有所收获。