腾讯TCTF决赛首日：赛场内争先恐后，赛场外如火如荼 | FreeBuf现场报道

2017-06-03 AngelaY FreeBuf
6月2日，深圳EPC艺术中心，多云。

一大清早，南方夏天特有的湿热天气就让人感受到扑面而来的热情，在这样的环境中，同样火热的首届腾讯信息安全争霸赛（Tencent Capture The Flag，简称TCTF）决赛拉开了帷幕。

TCTF赛场内：选手比赛争先恐后

首届TCTF决赛由中国网络空间安全协会竞评演练工作委员会指导，由腾讯安全发起、腾讯安全联合实验室主办，0ops安全团队协办。值得一提的是，这是中国大陆唯一拥有DEF CON外卡赛资格的赛事。也就是说，本次决赛的冠军能够直接晋级DEF CON CTF决赛。

而大名鼎鼎的DEF CON CTF大赛，其历史可以追溯到1996年，是信息网络安全领域的顶级赛事，被誉为黑客界的“世界杯”。可想而知，全世界有多少白帽黑客们梦想着在这个舞台大展身手。因此，初赛之时，TCTF便吸引了全球上千支国际战队和上百支高校战队参加。

比赛采用面向全球战队的国际赛（0CTF）和面向高校学生战队的新人邀请赛（Risingstar CTF）的平行赛制。入围决赛的共有24支队伍，其中，参加0CTF比赛的有12支队伍，包括俄罗斯LC↯BC战队、美国PPP战队、韩国CyKor战队、匈牙利的传统CTF强队!SpamAndHex战队和罗马尼亚新兴PwnThyBytes战队等CTFTIME排行榜上世界前5的顶尖国际战队。另外还有包括复旦大学**（六星）战队和来自台湾的217战队在内的4支中国战队。覆盖了亚洲、美洲、东欧、西欧等7个国家和地区，参赛阵容的确是相当庞大。

值得一提的是，与传统的纯技术比拼型CTF比赛不同，首届TCTF向前一步，也期望发挥了人才发掘和培养的作用。这体现在此次TCTF大赛的新人邀请赛方面。新人邀请赛决赛中也有12支队伍，但其实有三支队伍并不参与排名（来自深圳大学的Aurora战队、来自华南理工大学的kap0k战队以及来自上海交大的Ph0t1n1a战队），他们是实力不错，潜力较大的特邀队伍。所以比赛为网络安全领域的有志少年放宽了通道。

6月2日的比赛时段为10:00-19:00。赛题主要由科恩实验室等腾讯七大安全联合实验室以及上海交大0ops战队共同策划给出，共分为Pwnable，Reversing，Web ，Crypto，和Misc等五类题目。为了与DEF CON比赛接轨，决赛赛题经过多次验证，难度较大，且在比赛刚开始就放出了绝大部分题目。占比最多的是Web类和Pwnable类题目。

比赛采用动态计分的方式，每道题初始分数为1000分，解出题目的队伍越多，该题的分数就越低。这会迫使各支队伍在综合考量自己团队实力和擅长方向后，优先选择解答难度较大的题目，以获得更多的分数。 这场比赛，不仅仅考验参赛选手技术层面的能力，还对他们的团队合作、战略战术、心理素质等多项能力都有考核。而在各方面能力都很优秀的选手，是赛事和企业都很渴望看到的。

比赛开始的第50分钟左右，来自台湾的403Forbidden战队破解了Pwnable类别中World of Fastbin 的题目，拿到了一血。随后，来自俄罗斯的老牌战队LC↯BC先后解出 了Web类的Ugly Web v0.2题和唯一的一道Misc类Wanncry题，来自复旦大学的**（六星）战队和来自台湾大学的217战队也纷纷得分。

临近中午12点，新人赛组中来自杭州电子科技大学的Vidar战队拿下Pwnable一血之后，比赛陷入胶着状态。直到下午所有赛题放出之后，国际赛组各站队纷纷得分，又开始新一轮角逐。为了争分夺秒，各赛队几乎不怎么离开位置，午饭也靠主办方提供的快餐解决。而由于一些题目在离开赛场的情况下也可以离线解答，预计很多队伍会通宵不眠，全力解题。

截至6月2日19:00首日比赛结束之时，国际赛组的所有战队都获得了分数，且前三名（俄罗斯LC↯BC、日本Binja战队和美国Shellphish战队）比分咬得很紧（值得注意的是，上午比赛开始后，日本Binja战队其实迟到了半小时多，而到首日比赛结束，居然跑到了第二，只比LC↯BC少28分，可见实力很强啊！不知道LC↯BC的压力会不会增加）。新人赛组的前两名是来自福州大学与西安电子科技大学的联合战队G190X和来自北京航空航天大学的Lancet战队，两队分数持平。

到首日比赛结束，局势变得十分紧张。这场没有硝烟的战争，注定愈演愈烈！

截至6月2日19:00 国际赛组排名情况

截至6月2日19:00 新人赛组排名情况

TCTF赛场外：人才培养如火如荼

6月2日下午14:30，在比赛紧张进行的同时，由主办方腾讯安全、腾讯安全联合实验室发起的“中国高校网络安全人才培养沙龙”也在离赛场仅100米远的酒店会议厅如火如荼地展开。参会人员主要是腾讯安全联合实验室的七大掌门人以及陪同参赛队伍或受邀前来观战的各高计算机信息相关专业的老师。

借助此次TCTF的契机，业内资深网络安全从业人员与高校计算机信息专业教师汇聚一堂，就目前高校对网络安全的看法以及在网络安全人才培养方面面临的挑战展开讨论，并进一步探讨安全企业与高校之间合作的可能性以及合作方式。上海交大、中国科学院、南开大学、西安电子科技大学、复旦大学 、北京大学等多所高校的老师都参与了交流。

腾讯云安全负责人吴宇表示，目前我国网络安全人才缺口高达70万，并且每年都在增长，而高校每年输出的网络安全人才仅有3万左右，远远跟不上需求。因此企业与高校之间迫切需要深入交流，就网络安全人才的培养群策群力，献计献策。

网络安全人才培养所面临的主要挑战

人才缺口太大，供需极度不平衡

网络安全或信息安全类专业的课程设计与普通计算机专业几乎没有差别，造成学生自我定位模糊

专业课程内容与社会需求脱节，学生缺乏实战机会与经验

大多学生及民众网络安全意识淡薄，CTF类型的比赛及网络安全基础知识亟待普及

专业与行业都处于起步探索阶段，尚未形成良好规范，百废待兴

校企合作：以比赛为突破口，寻求更多可能

在沙龙伊始，此次TCTF大赛和沙龙活动的主办单位腾讯安全联合实验室就旗下的七大实验室负责人都相继开讲。他们都认为CTF类比赛，尤其是面向高校学生的CTF类比赛，是连接高校、学生和企业的良好平台。一方面，对网络安全领域感兴趣的同学，可以借助这类比赛合理地释放自己的热忱，另一方面也可以在实战中锻炼实践能力。

云鼎实验室的Killer掌门表示：

从专业安全人员角度来看 ，CTF类的比赛很有必要，真正对网络安全感兴趣的孩子可以通过比赛得到合理、正面的引导；

从企业招聘的角度看 ，这类比赛可以为企业提供发现基础好、潜力大的人才的机会，而且业内人士也可以在比赛中看到新生代的一些创新点 。

玄武实验室的于旸教主表示：

技术的不断发展会引起学生乃至一代人的焦虑， 信息安全专业的学生没必要迷茫。虽然现在网络安全或信息安全的专业课程与计算机专业的课程区分不大，但事实上它们的基础上是相关的。可以把网络或信息安全专业看作是计算机基础在安全领域的应用。而校企合作的方式可以有更多探索：

1. 企业可以为学生提供更多的行业信息、帮助激发学生的天分；

2. 很多研究项目可以展开校企合作；

3. CTF类比赛后续如果再发展，甚至可以将反病毒的内容、反欺诈的数据等都纳入进来，让参赛者通过比赛来应用并巩固学校里学到的基础知识。

当然，还有很多其他可行的合作方式。企业与高校可以以CTF类比赛为突破口，进一步加深合作。

企业求贤若渴，高校寻求变革，合作共赢是趋势

事实上，近几年有越来越多的业内人士通过黑客比赛来发掘人才。且为了顺应社会发展，高校有关网络安全和信息化技术的课程也需要进行变革，以培养既有理论知识又有应用能力、能够发挥所长所爱、在社会中发光发热的人才。而培养过程主遇到的实战挑战，也需要企业的协助。

诚如复旦大学六星战队指导老师陈辰所言：社会对信息安全和CTF 赛事仍然存在不解或误解，相关领域的常识需要更多的宣传。高校与企业都希望能培养出符合社会要求的人才，但大家都在摸索。大家目标一致，而面临的困难很多，需要携手共同努力，才能促进整个行业更好发展。

沙龙的最后，七大掌门为参与沙龙的各位老师颁发腾讯安全“百人计划”的导师证书，一起推动从高校理论教育到企业技能培养再到国际赛事锻炼这种人才培养模式的发展。

也许腾讯安全迈出的这一小步，可以引发网络安全行业其他企业的思考与创新。期待网络安全行业更好的明天。

本文作者：AngelaY，转载请注明来自FreeBuf.com

6.3日直播图

浙江的AAA战队

转载自freebuf直播间