本文整理自IDF實驗室黑客文化沙龍活動，同時參考了多方資料，目的在于普及黑客知識、文化，推廣業(yè)界相關(guān)領(lǐng)域信息。

名詞介紹：

CTF：全稱Capture The Flag，即奪旗比賽，衍生自古代軍事戰(zhàn)爭模式，兩隊人馬前往對方基地奪旗，每隊人馬須在保護好己方旗幟的情況下將對方旗幟帶回基地。

綿羊墻：Wall of sheep，參會黑客會將一些使用現(xiàn)場無線網(wǎng)絡(luò)的粗心用戶的用戶名和密碼寫在一面墻上。

Pwn2Own 與 Pwnium

可能有很多人分不清Pwn2Own與Pwnium，的確，它們之間的關(guān)系淵遠流長。Pwn2Own是世界頂級黑客大賽之一，由安全研究機構(gòu)TippingPoint DVLabs贊助，自2007年以來已有5年歷史。參賽黑客以四大瀏覽器（IE、Firefox、Chrome以及Safari）為挑戰(zhàn)目標，攻破一個主流瀏覽器即可獲得1萬美元獎金，共4萬，參賽者不允許使用Adobe Flash等第三方外掛。

Google Chrome于2009年突然加入該黑客大賽，但大多數(shù)黑客在參賽前早已鎖定攻破目標，因此并無黑客試圖挑戰(zhàn)Chrome。2010-2011年，Google在Pwn2Own大賽中額外提供2萬美元作為攻破Chrome的獎金，但一直無人成功。

[[59288]]

2012年，Pwn2Own主辦方不再要求獲勝者公布漏洞發(fā)掘及攻破過程，導(dǎo)致Google反對并撤出對Pwn2Own的資金贊助，并于同年3月主辦Pwnium大賽，并提供100萬獎金鼓勵黑客攻擊Chrome，同年10月，Google再擲出200萬用于獎勵計劃。（更詳細介紹請參見《Google 技術(shù)項目經(jīng)理Kevin Stadmeyer：Google漏洞獎勵計劃經(jīng)驗分享》）

Black Hat（黑帽子）與DEFCON黑客大會

Black Hat是信息安全領(lǐng)域的頂級盛會，是一個具有很強技術(shù)性的信息安全會議，會議甚至?xí)I(lǐng)安全思想和技術(shù)的走向，參會人員包括各個企業(yè)和政府的研究人員，也包括一些民間團隊。為了保證會議能夠著眼于實際，并且能夠最好地提出方案、解決方案以及操作技巧，會議始終保持中立和客觀。

2010年黑帽大會演示讓ATM機自動吐錢

DEFCON是世界上最大、最古老的地下黑客大會，和Black Hat的創(chuàng)始人相同，但相比于Black Hat要隨意得多。DEFCON以小規(guī)模討論及技術(shù)切磋為主，會上最流行的活動是若干人組成一個局域網(wǎng)，然后互打攻防戰(zhàn)（CTF），參賽者的目標是進攻對手的網(wǎng)絡(luò)，但同時保護好自己的地盤。由于想?yún)①惖年犖槎嫉媒?jīng)過會前淘汰賽，因此參賽者都有相當高的實力。

一個真正的黑客是不可能不知道DEFCON的，它對黑客的吸引力非同小可，曾有黑客冒著被FBI抓捕的危險，仍然參加了該會議（最終在回旅館時被抓捕）。

Black Hat與DEFCON比較

兩者同由美國人杰夫·莫斯（現(xiàn)任美國安全顧問委員會顧問）分別于1997年和1992年創(chuàng)辦，地點都在美國拉斯維加斯，兩場會議同期舉行。

Black Hat：比較正統(tǒng)和嚴謹，出席人員包括世界各地的企業(yè)、政府、學(xué)術(shù)界以及信息安全組織的思想領(lǐng)袖，議程上包含了各類專業(yè)人士的發(fā)言，內(nèi)容涵蓋保障全球信息安全等主題。此外還會展示大量已發(fā)現(xiàn)的數(shù)碼產(chǎn)品安全漏洞，并演示黑客會如何進行攻擊。

DEFCON：與Black Hat風(fēng)格相反，以小規(guī)模討論為主，設(shè)計如何破解XBOX、解鎖Apple產(chǎn)品固件，甚至如何入侵衛(wèi)星系統(tǒng)，并討論、實驗各種極具危險的技術(shù)元素。參會者也很隨意，打扮舉止沒有任何限制。

iCTF國際黑客競賽

iCTF國際黑客競賽是一個面向全球信息安全專業(yè)研究學(xué)生團隊的大型在線黑客競賽。清華blue-lotus實驗室在上屆（2011）競賽中排名第23位（共87個參賽團隊）。

iCTF2011國際黑客競賽的場景設(shè)計模擬目前黑帽子地下社區(qū)中的“洗錢產(chǎn)業(yè)鏈”，參賽隊伍首先需要通過安全解密挑戰(zhàn)獲得“黑錢”，然后通過分析挖掘出Gamebox中是個定制服務(wù)的安全漏洞，并攻陷其他對手維護和防御的Gamebox獲得flag。取得flag之后還需要通過綜合考慮每個服務(wù)的“洗錢傭金率”、“洗錢轉(zhuǎn)換率”、“洗錢風(fēng)險率”等“黑市洗錢行情”來計算最優(yōu)洗錢策略，逃避FBI追查并取得最佳洗錢效率。同時，從“黑錢”到“白錢”的轉(zhuǎn)化率與每只隊伍的Gamebox防御級別也直接相關(guān)。此外，競賽還引入了隊伍可以向FBI高發(fā)的機制，用于破壞競爭對手的洗錢過程。

Facebook黑客杯

Facebook黑客杯是Facebook組織的一場國際編程競賽，目的在于幫助公司搶在Google等競爭對手之前找到最聰明的年輕軟件工程師。其中包括五輪挑戰(zhàn)賽：選拔賽、第一關(guān)、第二關(guān)、第三關(guān)以及決賽。決賽冠軍將獲得5000美元獎金及世界冠軍稱號，該榮譽刻在獎品上；第二名獎金2000美元，第三名1000美元，第4-25名獎勵100美元；第二關(guān)脫穎而出的前100名參賽者都將獲贈T恤。當然，比獎金更誘人的是，將可能獲得Facebook的offer。

[[59289]]

2012年度冠軍得主是Roman Andreev 樓天城獲季軍

POC安全大會與Code Gate防黑客大賽

POC安全大會全稱Power of Community，是由韓國黑客及安全專家發(fā)起的國際安全及黑客會議，以追求創(chuàng)新、交流和安全技術(shù)為名，崇尚知識分享，相信社區(qū)的力量可以使世界更安全。2012年P(guān)OC安全大會的亮點在于女子組成的CTF大賽。

左圖為POC女子團隊

Code Gate防黑客大賽則是由韓國知識經(jīng)濟部和韓國情報保護振興院贊助，因為黑客在韓國的形象并不好，因此大賽指定了以“防御”為主的比賽規(guī)則。

比賽時長24小時，參賽者須在比賽中解決密碼破解、系統(tǒng)防御、病毒清除等方面共20個問題。2008年Code Gate設(shè)置的總獎金為1億韓元（約10萬美元）；2009年Code Gate吸引了全世界41個國家1750支黑客小組參加，冠軍由韓國黑客團隊“Cpark”獲得，并贏取獎金2000萬韓元；此后冠軍之位一直由美國團隊占據(jù)。

PHDays CTF

全稱Positive Hack Days CTF，是一個國際性信息安全競賽，競賽規(guī)則基于CTF，但更貼近網(wǎng)絡(luò)實戰(zhàn)環(huán)境。競賽分10-12支參賽隊伍，參賽者需要在規(guī)定時間內(nèi)檢測和修復(fù)己方環(huán)境漏洞，同時攻破其他隊伍的網(wǎng)絡(luò)環(huán)境。參賽隊伍可以在競賽中檢測自己的實戰(zhàn)能力，并開發(fā)自己的網(wǎng)絡(luò)防護方案。

CodeMeter大賽

CodeMeter大賽是少有的由公司舉辦、目的在于破解自家產(chǎn)品的比賽，主辦方是德國威步公司。參賽者不僅免費得到保護應(yīng)用程序，還可以獲得具有許可的CmStick硬件加密狗。1000多名來自世界各地的參賽者參與競爭32768歐元（合約40000美元）的獎金。要贏得比賽須修改受CodeMeter保護的程序，使它能脫離CmDongle運行。2007年比賽中包含兩個模塊的破解，程序只有在檢測到CmDongle之后才能運行起來。

Chaos Communication Camp與Hacking at Random

Chaos Communication Camp也被稱為“歐洲黑客大會”，是由Chaos Computer Club（CCC）主辦的為期5天的露天黑客交流活動，每5年舉辦一次。會議以技術(shù)及社會話題為主，包括隱私、信息自由、數(shù)據(jù)安全等方面。每位參賽者可自帶一頂帳篷加入營地活動中來，營地準備有電源、網(wǎng)絡(luò)及食物等等。

Chaos Communication Camp

Hacking at Random是在荷蘭博客斯特爾舉辦的室外黑客夏令營，也是歐洲最大的黑客夏令營。該聚會始于1989年的銀河黑客聚會，每次主題均不同：2005年為“What the Hack”；2009年是“Hacking at Random”；2013年為“Observe. Hack. Make.”。

警察與黑客：貓鼠游戲

會議主題不一而定，例如討論互聯(lián)網(wǎng)警察的最新技術(shù)、歐洲軟件專利法可能帶來的后果、如何保護自己的個人數(shù)據(jù)、發(fā)展中國家的無線上網(wǎng)機會等等。

日本信息安全知識技術(shù)競賽

和韓國一樣，黑客在日本的名聲同樣不佳，因此競賽通常也被限制為“防御”競賽。日本信息安全知識技術(shù)競賽以模擬網(wǎng)絡(luò)戰(zhàn)的形式，讓參賽者通過黑客技術(shù)入侵對方網(wǎng)絡(luò)，或者抵御對方的攻擊。

各地選拔競賽采用提問形式，要求選手以網(wǎng)絡(luò)攻防所必需的知識作答。選手們須在10個小時內(nèi)挑戰(zhàn)并完成有關(guān)密碼、程序和網(wǎng)絡(luò)等方面的50個問題。最后各地優(yōu)勝者以對戰(zhàn)形式參加全國總決賽。

臺灣駭客年會

HIT即Hack In Taiwan，是臺灣最大的駭客（Hacker在臺灣地區(qū)譯作駭客，這里同黑客）與安全技術(shù)研討會。除了面對面技術(shù)交流之外，會議期間還有網(wǎng)絡(luò)攻防賽（Wargame），提供真實的網(wǎng)絡(luò)環(huán)境和挑戰(zhàn)，以及IRC聊天室和綿羊墻。

除了國際黑客大賽，IDF實驗室還介紹了部分國內(nèi)知名的信息安全比賽，但在成熟性和國際話程度和國外黑客大賽尚仍有不小的差距，這里就沒有一一介紹，下面是IDF總結(jié)的中外黑客比賽對比：

國內(nèi)較有名氣的信息安全比賽有：

2011年上海市信息安全技能競賽

全國大學(xué)生信息安全競賽

四川省大學(xué)生信息安全技術(shù)大賽

全國大學(xué)生網(wǎng)絡(luò)安全實戰(zhàn)競賽

江西高校信息安全知識及軟件設(shè)計大賽

綠盟科技杯-信息安全對抗技術(shù)競賽

XCon安全焦點信息安全技術(shù)峰會