何入CTF的“門”?——所謂入門就是入門

清圖發表於2020-11-04

同事好友,囑我作序;反覆斟酌,乘興弄鍵。

欲藉此書,論些理略,說些短長,故取“入門”為題。

所謂入門,就是要入門,當有幾個條件和步驟:

 

  • 有門,確有那一門在;
  • 識門,看到這一門之所在及所特別之處;
  • 知門,知曉如何開啟此門及邁過此門的方法和關竅;
  • 進門,真的去推門,邁步而進;
  • 回門,進得門後,確認自己真的進來了,而且感悟到門裡門外之區別與進益。

上述五點,第一點是客觀存在,也可說是作者角度的先知先覺後的傳授;第二點到第五點 是期望讀者當為之的步驟。

 

說說這些門。

網路安全以前被稱為電腦保安、資訊保安、資訊保安保障等,現在都統一為網路空間安 全(簡稱網路安全)這個詞。在近幾十年的發展歷程中,這個領域跨過了幾道門——密碼門、病 毒門、黑客攻防門、保障體系門、漏洞門和APT門。跨過這些門的人有先有後,軍方常常是跨 過這些門的先覺者和先行者;而本書所指的人群則主要是民間的企業界、學術界和教育界人士。

2000年的春節,曾經發生過一起轟動全球的網路安全攻擊事件,就是雅虎等著名網際網路網 站遭到第一次真正的分散式拒絕服務(DDoS)攻擊。這一事件讓“黑客”和“黑客攻擊”成為全 球普通人都不感到陌生的詞,也讓各界人士開始看到黑客攻防這道門。國內很多教父級的攻防技術人都是在這個事件發生前後出頭的(或者說入門的),很多現在有名的網路安全企業也是在那時創立的。這道門彰顯了對抗的存在和攻防的必要。

作為以防禦姿態存在的大多數人,很自然地就開始秉持建構主義的思想,力圖構建一個保 障體系。各種風險管理標準和框架紛紛被專家們描繪出來,並在各個大小機構以及許多關鍵或不關鍵的地方進行構建。這個保障體系門有很多,只不過進了這類門,會發現門旁邊的牆都有殘缺、有漏洞。總有一些“逆向者”讓體系發明者甚為尷尬。大家也就開始形成一種猜測(也許還未到常識的程度),即體系的完備性是得不到保證的,漏洞總是存在的。也許將來的某個時刻, 會有專家能夠嚴謹地證明“沒有反擊的防禦體系是不可能完備的”。   

漏洞門並不否定體系門的價值,有缺口的牆並不是沒有價值;不過體系必須要放下高大上 的身段,認識到自身的侷限性,不能把話說滿。以業界現在的集體認知,真正的安全應當是基本體系格局下攻防對抗的進進退退。只有經得住對抗的才是“真安全”。專家們的各路體系和計算也都逐漸擺到攻防挑戰的檯面上,這是件好事情。

在網路安全領域和對抗領域,我們不講專家,而講贏家;道理聽過了,我們就來真的。

 

說說CTF。

以前學習網路安全中攻防的真功夫要靠自己的機緣。學習過程中甚至還要擦擦邊、冒冒險; 但學習對抗總歸要真動手才行。攻防高手切磋功夫還需要一個環境或場面。CTF改變了這個局面。至於CTF是什麼,本序就不解釋了,請看正文吧。

早年在國際上就有DEFCON這類的CTF,並且逐年變得穩定成熟。我國真正意義上的CTF 大致是從2014年BCTF等比賽的紛紛舉辦開始的,此後賽事此起彼伏,越來越熱鬧。

CTF對於網路安全攻防技術的學習者來說真的是一個大門。網路安全教育可以分為前CTF 時期和後CTF時期。在前CTF時期,體系化和科班學習資訊保安的人們只有體系化的授課教學, 難有真動手的;而在後CTF時期,學習者完全可以在體系化的授課之外再加上系列化的動手訓練。

現在典型的CTF能力體系已經可以帶領學習者直奔最真的那些門,即對抗的門,如Web網 站攻防、密碼破解與反破解、資訊隱藏、二進位制逆向、偵查取證、系統滲透與反制等。對於這一系列門,一門一門地入門其實是一條成長道路——被很多學成者驗證過的道路。

不管是來自教的角度的教育反饋,還是來自學的角度的學習反饋,它們都是極為重要的。 每入一門,都應當檢驗自己的進益。最好的檢驗就是參加各種CTF。沒有“養”兵千日,只有 “練”兵千日。以考帶學,以賽促練。

 

說說入CTF門後的境界。

CTF在得到蓬勃發展後,也遭到一些“專家”的質疑,他們認為CTF怎麼能夠替代整個網 絡安全教學呢?可是,CTF從來就沒有替代網路安全教學的企圖,就像奧運會、足球世界盃從 來沒有想替代體育教學和全民健身。CTF只是網路安全求真者們成長的一個臺階而已。

作為狹義的CTF,它是一個有較清晰範圍的知識體系、教學方式和競賽模式。入了CTF的 門,就不再是網路安全的初學者。把“初”字去掉的學者們不應當停留在CTF這一層級,而應 繼續向更復雜、更有趣的方向邁進。他們之中有些與CTF現有範圍有關,如研究逆向、密碼學、 Web安全等;而有些則與CTF現有範圍的關聯度很低,如研究區塊鏈、APT高階分析、欺騙式 防禦等。繼續,別停。

說說這本《CTF安全競賽入門》。

這本有關CTF的書就是幫助不同的人“入門的”。

如果你是傳統課程教學體系的網路安全學習者,通過學習本書可以讓你兼備實際動手的能 力和底氣。

如果你完全是一個新手,那麼可以把它作為你學習網路安全的第一本書,這也許可讓你繞 道超越科班人群。

如果你覺得自己有逆向的天賦,那麼可以通過學習本書做一個自我檢驗。

如果你想從一名傳統的網路安全教師變成文武雙師,通過學習本書可以更好地融合你自己的知識結構,以此訓練你的弟子們。

如果你是CTF的組織者,想必經驗更豐富,那麼我拜託你聯絡本書的編著者,他們定當登 門求教,以求更新、更強。

我衷心希望有一兩句話打動到你,能讓你有興趣讀完和練完本書。哪怕你能修煉一半的內 容,也都是本序的榮幸。

大潘在此替編著者拜謝啦[拱手為敬]!

 

 

 

潘柱廷

啟明星辰原首席戰略官

資訊保安鐵人三項賽共同創辦者

中國計算機學會教育工委原副主任

 

內容選自《CTF安全競賽入門》一書

—————————————圖書基本資訊——————————————————

書名:《CTF安全競賽入門》

ISBN: 9787302556275

定價:99.80元

出版時間:2020-10-1

京東連結:https://item.jd.com/13005602.html

 

內容簡介:

 《CTF安全競賽入門》主要介紹目前主流CTF(奪旗賽)的比賽內容和常見的題目型別,從Web安全、密碼學、資訊隱寫、逆向工程、PWN等方面分析題目要求並給出解題技巧。

《CTF安全競賽入門》題量豐富,實操性強,可供準備參加CTF和想要了解安全實戰技能的高校學生、IT安全人員及運維人員閱讀。

編輯推薦:

《CTF安全競賽入門》是啟明星辰網路空間安全學院多位專業講師經過多年CTF實踐積累,精心打磨而成的入門指引類書籍,知識點全面,實驗講解通俗易懂,可以幫助讀者朋友快速掌握Web安全、資訊隱寫、密碼學、逆向、PWN與攻防對抗等各個方面的基礎知識,以更從容地應對網路安全賽事。