第一次見(jiàn)到姜開(kāi)達(dá)老師，是在前不久上海零號(hào)灣剛剛結(jié)束的首屆0CON信息安全創(chuàng)新創(chuàng)業(yè)峰會(huì)暨0CTF 2016國(guó)際信息安全挑戰(zhàn)賽(XCTF聯(lián)賽上海站)決賽現(xiàn)場(chǎng)，看到他忙碌的身影奔波穿梭在會(huì)場(chǎng)和賽場(chǎng)。51CTO的記者采訪(fǎng)到他，已經(jīng)是會(huì)議第二天晚八點(diǎn)，此時(shí)的他已經(jīng)非常的疲憊。采訪(fǎng)中，他不時(shí)摘下眼鏡揉揉眼睛，緩解一下陣陣襲來(lái)的困意。原來(lái)為了這次會(huì)議和比賽，他連續(xù)多天處理著大大小小的事宜，睡眠嚴(yán)重不足。他笑稱(chēng)自己為消防員，哪里著火去哪里。

姜開(kāi)達(dá)是誰(shuí)?

[[166236]]

上海交通大學(xué)網(wǎng)絡(luò)信息中心信息安全主管 姜開(kāi)達(dá)

姜開(kāi)達(dá)老師是上海交通大學(xué)(以下簡(jiǎn)稱(chēng)：交大)97級(jí)本碩，高級(jí)工程師，現(xiàn)任交大網(wǎng)絡(luò)信息中心信息安全主管，0ops安全戰(zhàn)隊(duì)領(lǐng)隊(duì)，中國(guó)教育科研網(wǎng)上海節(jié)點(diǎn)NOC主任，中國(guó)高等教育學(xué)會(huì)教育信息化分會(huì)網(wǎng)絡(luò)信息安全工作組常務(wù)秘書(shū)。曾先后獲得交大“三育人”先進(jìn)個(gè)人、優(yōu)秀青年教師后備人才一等獎(jiǎng)、學(xué)生工作特別貢獻(xiàn)獎(jiǎng)、上海交通大學(xué)“校長(zhǎng)獎(jiǎng)”。也是上海市第十四屆“上海IT青年新銳”，上海市青年五四獎(jiǎng)?wù)芦@得者。

自畢業(yè)留校工作以來(lái)，姜老師和交大網(wǎng)絡(luò)信息中心整個(gè)團(tuán)隊(duì)兢兢業(yè)業(yè)，見(jiàn)證了交大校園網(wǎng)絡(luò)的飛躍式發(fā)展。大學(xué)期間，作為材料科學(xué)系的學(xué)生，他卻喜歡上了互聯(lián)網(wǎng)這個(gè)新生事物，沉浸在網(wǎng)絡(luò)世界里，專(zhuān)注于計(jì)算機(jī)專(zhuān)業(yè)知識(shí)的學(xué)習(xí)。在即將畢業(yè)的那年，同學(xué)們都在忙著出國(guó)、考研，然而他將大部分時(shí)間投入到學(xué)校學(xué)生網(wǎng)絡(luò)信息管理部的籌建中，協(xié)助學(xué)校管理學(xué)生網(wǎng)絡(luò)事務(wù)，姜老師自己也實(shí)現(xiàn)了從學(xué)生到網(wǎng)絡(luò)管理者的身份轉(zhuǎn)變。

談及工作和生活，姜老師表示，他的生活除日常起居之外，都是面對(duì)電腦，沉醉于技術(shù)。之所以這樣，完全源于他對(duì)網(wǎng)絡(luò)的“興趣”。付出大量的業(yè)余時(shí)間和精力，也源于對(duì)自己事業(yè)的熱愛(ài)。記者能感受到姜老師因?yàn)橥渡碛谧约合矚g的職業(yè)而散發(fā)出的那種幸福。但是看到他如此疲倦的樣子，記者不得不提醒他注意身體，多休息，多加鍛煉。

近年來(lái)，隨著工作經(jīng)驗(yàn)的積累和互聯(lián)網(wǎng)知識(shí)的拓展，姜老師的研究重心轉(zhuǎn)向了安全， 他將更多精力投入在網(wǎng)絡(luò)信息安全技術(shù)的研究和安全服務(wù)體系的建設(shè)上，并于2013年參與創(chuàng)建了0ops安全技術(shù)戰(zhàn)隊(duì)。他帶領(lǐng)團(tuán)隊(duì)在安全漏洞挖掘、大規(guī)?；ヂ?lián)網(wǎng)安全威脅監(jiān)測(cè)、安全應(yīng)急響應(yīng)等方面做出突出貢獻(xiàn)，先后承擔(dān)多項(xiàng)網(wǎng)絡(luò)安全相關(guān)科研項(xiàng)目。0ops戰(zhàn)隊(duì)近年來(lái)頻繁參與國(guó)內(nèi)外信息安全競(jìng)賽并取得了一系列優(yōu)異的成績(jī)，也成為唯一獲得CTF安全競(jìng)賽世界冠軍的中國(guó)團(tuán)隊(duì)。

0ops安全技術(shù)戰(zhàn)隊(duì)

提到0ops戰(zhàn)隊(duì)，姜老師表示，隊(duì)名之所以會(huì)叫0ops，是因?yàn)閛ops這個(gè)單詞比較響亮有趣，在Linux內(nèi)核中也有特殊的意義，意味著系統(tǒng)出現(xiàn)意外。將隊(duì)名首字母“o”改成數(shù)字“0”則是黑客文化的一種體現(xiàn)，0在數(shù)字排序中總是名列第一。

現(xiàn)在，0ops戰(zhàn)隊(duì)成員主要來(lái)自上海交通大學(xué)計(jì)算機(jī)系密碼學(xué)與計(jì)算機(jī)安全實(shí)驗(yàn)室、信息安全工程學(xué)院等各個(gè)院系，每名隊(duì)員都有著扎實(shí)的計(jì)算機(jī)理論基礎(chǔ)和對(duì)網(wǎng)絡(luò)安全的濃厚興趣。

自戰(zhàn)隊(duì)成立以來(lái)，一路披荊斬棘，在多項(xiàng)國(guó)內(nèi)外CTF頂級(jí)賽事中取得優(yōu)異成績(jī)。特別是在2015年，0ops戰(zhàn)隊(duì)在韓國(guó)Codegate國(guó)際比賽上力挫群雄，奪得中國(guó)大陸首個(gè)CTF世界冠軍，并在同年的DEF CON CTF全球總決賽獲得第六名等多項(xiàng)戰(zhàn)績(jī)。0ops在2015年終的CTFtime權(quán)威安全團(tuán)隊(duì)排行榜中高居全球第三。

0ops戰(zhàn)隊(duì)除了參加比賽以外，還主辦和支持了一系列高水平安全技術(shù)比賽來(lái)普及安全教育和推動(dòng)人才培養(yǎng)及團(tuán)隊(duì)建設(shè)。目前已經(jīng)舉辦的比賽有：0CTF 2014、ISG 2014(技術(shù)支持)、ISG 2015(技術(shù)支持)、0CTF 2015、0CTF 2016，并且即將為全國(guó)大學(xué)生信息安全競(jìng)賽首次信安技能賽提供技術(shù)支持。

CTF奪旗賽

Capture The Flag(簡(jiǎn)稱(chēng)CTF)，直譯為“奪旗賽”，起源于1996年舉辦的DEF CON全球黑客大會(huì)，最早是交流安全技術(shù)的重要途徑。隨著時(shí)間的推移，CTF競(jìng)賽逐漸演變成為信息安全技術(shù)競(jìng)賽的一種形式，發(fā)展成為全球范圍網(wǎng)絡(luò)安全圈的流行比賽。近年來(lái)，CTF競(jìng)賽活動(dòng)蓬勃發(fā)展，國(guó)內(nèi)外各類(lèi)高質(zhì)量的CTF競(jìng)賽層出不窮，CTF已經(jīng)成為了學(xué)習(xí)鍛煉信息安全技術(shù)，展現(xiàn)安全能力和水平的絕佳平臺(tái)。

CTF參賽隊(duì)伍的目標(biāo)是獲取盡可能多的flag(旗幟)。參賽隊(duì)伍需要通過(guò)解決信息安全的技術(shù)問(wèn)題來(lái)獲取flag。flag可能來(lái)自于一臺(tái)遠(yuǎn)端的服務(wù)器，一個(gè)復(fù)雜的軟件，也可能隱藏在一段通過(guò)密碼算法或協(xié)議加密的數(shù)據(jù)，或是一組網(wǎng)絡(luò)流量及音頻視頻文件中。選手需要綜合利用自己掌握的安全技術(shù)，并輔以快速學(xué)習(xí)新知識(shí)，通過(guò)獲取服務(wù)器權(quán)限，分析并破解軟件或是設(shè)計(jì)解密算法等不限定途徑來(lái)獲取flag。

CTF比賽的形式通常分為解題模式(Jeopardy)和攻防模式(Attack-Defense)。

解題模式通常為在線(xiàn)比賽采用，是目前大多數(shù)國(guó)內(nèi)外CTF比賽的主流形式 ，選手自由組隊(duì)參賽。題目通常在比賽過(guò)程中陸續(xù)放出。解出一道題目后，提交題目對(duì)應(yīng)的flag即可得分，比賽結(jié)束時(shí)分高者勝(同分時(shí)比較提交時(shí)間)。

攻防模式通常為現(xiàn)場(chǎng)比賽采用，是多數(shù)CTF決賽的比賽形式，選手自由組隊(duì)參賽，但通常隊(duì)伍人數(shù)會(huì)受到限制(3~8人不等)。相比于解題模式，時(shí)間更短，比賽中更注重臨場(chǎng)反應(yīng)和解題速度，考察團(tuán)隊(duì)多方面的綜合安全能力。團(tuán)隊(duì)要在服務(wù)漏洞分析、漏洞修補(bǔ)、漏洞利用、流量分析、自動(dòng)化腳本等方面都不能存在短板。

目前國(guó)外知名的CTF比賽包括DEF CON CTF，Ghost In The Shellcode，Hack.lu CTF，PlaidCTF，iCTF等，相關(guān)比賽內(nèi)容和時(shí)間信息均可在https://ctftime.org/ 上獲取。國(guó)內(nèi)的知名CTF比賽有0CTF，BCTF等，相關(guān)信息可以在https://time.xctf.org.cn/上獲取。其中0CTF 2016是由0ops 團(tuán)隊(duì)主辦的一場(chǎng)國(guó)際頂級(jí)水平CTF 比賽，是2016年 DEF CON CTF 的七大外卡賽之一，也是XCTF(國(guó)際網(wǎng)絡(luò)安全技術(shù)對(duì)抗聯(lián)賽)上海分站賽。

說(shuō)到CTF比賽，記者腦海中冒出了一個(gè)問(wèn)題：即將于今年8月舉行的2016年DEF CON CTF全球決賽中，入圍中國(guó)隊(duì)伍有哪些呢？對(duì)此，姜老師回答說(shuō)，今年blue-lotus和0ops將組成聯(lián)隊(duì)(b1o0p)，進(jìn)軍DEF CON CTF全球總決賽，去沖擊更好的成績(jī)。

以賽促學(xué)，以賽促教

現(xiàn)在，高校計(jì)算機(jī)專(zhuān)業(yè)人才培養(yǎng)現(xiàn)狀如何呢?姜老師認(rèn)為，目前，高校計(jì)算機(jī)專(zhuān)業(yè)人才的理論基礎(chǔ)尚可，動(dòng)手能力不足;高校的師資力量和實(shí)踐教學(xué)條件需要提高;高校缺少知識(shí)體系結(jié)構(gòu)全面的學(xué)生;另一方面，各層面畢業(yè)生不能滿(mǎn)足社會(huì)需求。

基于以上背景，他建議通過(guò)參加和舉辦各級(jí)安全競(jìng)賽的形式來(lái)推進(jìn)專(zhuān)業(yè)人才的培養(yǎng)，培養(yǎng)低年級(jí)本科生對(duì)信息安全的興趣，給有潛力的學(xué)生提供良好的學(xué)習(xí)成長(zhǎng)平臺(tái)，鼓勵(lì)學(xué)生積極參與國(guó)內(nèi)外信息安全類(lèi)競(jìng)賽，發(fā)掘合適學(xué)生參與校內(nèi)外信息安全工作，吸納合適學(xué)生參與信息安全領(lǐng)域科研。最終以學(xué)生興趣為導(dǎo)向完成從書(shū)本知識(shí)到實(shí)際能力的轉(zhuǎn)化。

近年來(lái)，國(guó)內(nèi)信息安全技術(shù)競(jìng)賽如雨后春筍般紛紛涌現(xiàn)。采用CTF賽制的數(shù)量在逐漸增多，吸引了很多注重人才長(zhǎng)期培養(yǎng)的民間企業(yè)參與，為選拔安全專(zhuān)業(yè)人才和培訓(xùn)安全技術(shù)人才提供了一個(gè)很好的平臺(tái)，而且其豐厚的獎(jiǎng)金也激勵(lì)吸引了更多人才進(jìn)入安全領(lǐng)域。

想要參與CTF，要具備哪些知識(shí)?

如果你是一個(gè)對(duì)安全技術(shù)感興趣的人，想要踏入這個(gè)領(lǐng)域，需要具備哪些知識(shí)呢?高難度的CTF競(jìng)賽對(duì)選手的知識(shí)積累與技術(shù)熟練度要求非常高，因此如果想要參加CTF競(jìng)賽，或者想在CTF競(jìng)賽中取得好成績(jī)，需要首先具備扎實(shí)的計(jì)算機(jī)理論和實(shí)踐基礎(chǔ)。其中涉及到的重要基礎(chǔ)課程包括：計(jì)算機(jī)系統(tǒng)與結(jié)構(gòu)、操作系統(tǒng)、編譯原理、數(shù)據(jù)結(jié)構(gòu)、計(jì)算機(jī)網(wǎng)絡(luò)、密碼學(xué)、離散數(shù)學(xué)、數(shù)論、近世代數(shù)、數(shù)字電路等。

0ops團(tuán)隊(duì)向?qū)Π踩夹g(shù)感興趣的小伙伴們，推薦了一些高質(zhì)量的書(shū)籍：《程序員的自我修養(yǎng)》、《深入理解計(jì)算機(jī)系統(tǒng)》、《算法導(dǎo)論》、《密碼學(xué)應(yīng)用》、《編譯原理(龍書(shū))》、《鳥(niǎo)哥的私房菜》、《白帽子講Web安全》等。

此外，還有一些在互聯(lián)網(wǎng)上具有代表性的關(guān)于CTF競(jìng)賽相關(guān)的練習(xí)資源：

逆向工程：bbs.pediy.com，www.52pojie.cn，crackmes.de，reversing.kr

漏洞挖掘與漏洞利用：smashthestack.org，pwnable.kr，overthewire.org/wargames/vortex/

網(wǎng)絡(luò)滲透：www.wechall.net，pentesterlab.com

CTF競(jìng)賽題目匯編：github.com/ctfs，shell-storm.org/repo/CTF/

最后，姜老師建議，對(duì)競(jìng)賽感興趣的小伙伴可以尋找一些志同道合的人參與到實(shí)際的CTF中來(lái)，通過(guò)隊(duì)員之間的交流和總結(jié)，從而迅速熟悉當(dāng)下CTF競(jìng)賽的題目風(fēng)格和形式，通過(guò)實(shí)戰(zhàn)和持續(xù)的多領(lǐng)域?qū)W習(xí)來(lái)獲得能力上的最大提升，同時(shí)也能夠促進(jìn)團(tuán)隊(duì)的默契與凝聚力。比你聰明的人比你更努力，如果你想有所提升和進(jìn)步，那么唯有不懈的努力和付出才能有所收獲。