一個(gè)合格的黑客應(yīng)該擁有出眾的技術(shù)，并遵守善于獨(dú)立思考、熱愛(ài)自由探索的黑客精神。如何才能擁有尖端的黑客技術(shù)，如何才能實(shí)現(xiàn)自我突破，黑客競(jìng)賽不失為一個(gè)好的選擇。黑客競(jìng)賽可能是讓黑客技術(shù)成長(zhǎng)最快的方式，是黑客文化中黑客們奇技淫巧思維一個(gè)展示的平臺(tái)。

作為一名黑客，能夠獲得站上國(guó)際舞臺(tái)與全球頂尖的黑客分享交流的機(jī)會(huì)，是絕大多數(shù)的黑客的夢(mèng)想。在美國(guó)拉斯維加斯即將舉行的2015年DEFCON黑客大會(huì)上，就有這樣一群黑客為了夢(mèng)想，為了競(jìng)技，為了分享交流而來(lái)。他們準(zhǔn)備就緒，蓄勢(shì)待發(fā)。只為那全球最為高規(guī)格，古老的黑客競(jìng)賽平臺(tái)DEFCON CTF大賽而瘋狂。

在DEFCON 23 CTF大賽決賽上，來(lái)自多個(gè)國(guó)家的15支隊(duì)伍將一較高下，其中有3支隊(duì)伍來(lái)自中國(guó)，它們是：blue-lotus(百度藍(lán)蓮花戰(zhàn)隊(duì))、0ops(來(lái)自上海交大的隊(duì)伍)以及HITCON(來(lái)自中國(guó)臺(tái)灣的隊(duì)伍) 。CTF全稱Capture The Flag，即奪旗比賽，衍生自古代軍事戰(zhàn)爭(zhēng)模式，兩隊(duì)人馬前往對(duì)方基地奪旗，每隊(duì)人馬須在保護(hù)好己方旗幟的情況下將對(duì)方旗幟帶回基地。

[[144008]]

清華大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室的在讀博士生，長(zhǎng)亭科技創(chuàng)始人之一的楊坤博士

在CTF大賽來(lái)臨之際，51CTO記者采訪了即將赴美參戰(zhàn)的百度藍(lán)蓮花戰(zhàn)隊(duì)成員，清華大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室的在讀博士生，長(zhǎng)亭科技創(chuàng)始人之一的楊坤博士。作為戰(zhàn)隊(duì)的隊(duì)長(zhǎng)，他介紹說(shuō)：“這次我們將要到美國(guó)DEFCON全球總決賽現(xiàn)場(chǎng)的隊(duì)員包括來(lái)自清華大學(xué)，浙江大學(xué)、復(fù)旦大學(xué)、杭州電子科技大學(xué)等高校的學(xué)生，以及剛走上工作崗位或者創(chuàng)業(yè)的畢業(yè)生。我們最小的隊(duì)員是1995年出生的，如果只看臉，我們整個(gè)隊(duì)伍都是90后。”

據(jù)悉，該戰(zhàn)隊(duì)成員的選拔主要根據(jù)隊(duì)員平時(shí)的表現(xiàn)來(lái)決定，主要按照平時(shí)參賽活躍度、技能能力兩個(gè)標(biāo)準(zhǔn)來(lái)選拔。由于本屆決賽沒(méi)有限制人數(shù)，所以只要平時(shí)參賽活躍能夠拿到美國(guó)簽證的隊(duì)員都會(huì)去決賽現(xiàn)場(chǎng)。

熟悉這個(gè)戰(zhàn)隊(duì)的人都知道，這已經(jīng)是他們第三次入圍DEFCON CTF總決賽。再次入圍決賽，踏上這個(gè)國(guó)際賽場(chǎng)，楊坤用這樣幾句話表達(dá)了他此刻的心情：“雖沒(méi)有了第一次的新鮮感，卻依然充滿期待，更多的是把比賽當(dāng)做當(dāng)作黑客圈的盛宴去享受。”

談到戰(zhàn)隊(duì)的優(yōu)勢(shì)，隊(duì)長(zhǎng)楊坤這樣自信又風(fēng)趣的說(shuō)：“相比于第一次參加DEFCON CTF的隊(duì)伍來(lái)說(shuō)，我們?cè)诠シ肋@種賽制上面的豐富經(jīng)驗(yàn)是優(yōu)勢(shì); 相比于國(guó)外一些中年組選手組成的站隊(duì)來(lái)說(shuō)，年輕力壯能熬夜是優(yōu)勢(shì);相比于那些說(shuō)英文的戰(zhàn)隊(duì)，比賽現(xiàn)場(chǎng)說(shuō)中文不怕被偷聽(tīng)是優(yōu)勢(shì);相比于那些有女隊(duì)員的戰(zhàn)隊(duì)，可以心無(wú)旁騖地去逆向、找漏洞是優(yōu)勢(shì)。”

不過(guò)，回憶上屆比賽，他還是反思道：“雖然充足的工具準(zhǔn)備與參賽經(jīng)驗(yàn)相結(jié)合后，讓隊(duì)伍能夠在被攻擊之后迅速做出回應(yīng)，但是在0day挖掘和拿First Blood方面還有所欠缺，而這個(gè)正是比賽所考察的關(guān)鍵技術(shù)能力所在，像兩屆冠軍PPP就是只憑借漏洞的挖掘和利用又快又好，吊打全場(chǎng)，并沒(méi)有準(zhǔn)備什么工具、后門(mén)。”

時(shí)隔一年，百度藍(lán)蓮花戰(zhàn)隊(duì)經(jīng)過(guò)這一年的努力學(xué)習(xí)，隊(duì)員的能力都提升了幾成?能不能在比賽的各個(gè)服務(wù)中第一個(gè)打出攻擊?此次大賽是否將會(huì)刷新戰(zhàn)績(jī)?這所有的疑問(wèn)將在幾天后揭曉，希望最終不會(huì)辜負(fù)這幫“90后”隊(duì)員們的努力。預(yù)祝他們能夠在本次大賽取得佳績(jī)!讓我們一起拭目以待!也讓我們一起為參賽的三支中國(guó)隊(duì)伍加油助威!

后記

在采訪時(shí)，筆者了解到，原來(lái)百度藍(lán)蓮花戰(zhàn)隊(duì)和長(zhǎng)亭科技有著很深的淵源。長(zhǎng)亭科技的創(chuàng)始團(tuán)隊(duì)都來(lái)自百度藍(lán)蓮花戰(zhàn)隊(duì)，他們因CTF走到一起，因興趣結(jié)緣，因夢(mèng)想而有了長(zhǎng)亭科技。并且，據(jù)楊坤介紹，雖然在創(chuàng)業(yè)初期由于大家沒(méi)有任何商業(yè)經(jīng)歷遭受了挫折，但在廠商和前輩們的幫助下，目前公司已經(jīng)理清思路正常運(yùn)作。并且，在目前正在舉行的BlackhHat黑帽大會(huì)上，他們將展示長(zhǎng)亭科技自主研發(fā)的無(wú)規(guī)則SQL注入攻擊檢測(cè)與防御引擎——SQLChop，它可以通過(guò)詞法分析和語(yǔ)法分析結(jié)合的方法來(lái)檢測(cè)最常見(jiàn)的SQL注入攻擊，經(jīng)過(guò)大量測(cè)試，檢測(cè)率和誤報(bào)率都明顯優(yōu)于傳統(tǒng)的WAF解決方案的。

我們相信，SQLChop的推出只是長(zhǎng)亭科技走出的第一步。未來(lái)，長(zhǎng)亭科技將會(huì)通過(guò)創(chuàng)新，通過(guò)在技術(shù)上的精益求精，為互聯(lián)網(wǎng)提供更多專業(yè)的安全服務(wù)與解決方案。