在科幻作品當(dāng)中，無(wú)論題材如何，有一種角色的出鏡率特別高：天才黑客。有時(shí)候他站在主角那邊，那他就是一個(gè)非常重要的技術(shù)流配角；有時(shí)候他站在對(duì)立面，那他就是一個(gè)很難對(duì)付的中等BOSS（或大BOSS的助手）。天才黑客的主要職能是守住自己的網(wǎng)絡(luò)安全、攻破對(duì)手的網(wǎng)絡(luò)安全防線；他能否妥善履行職能，則取決于劇情需要。

我最喜歡的天才黑客包括：《命運(yùn)石之門》里的橋田至（桶子），《女神異聞錄5》里的佐倉(cāng)雙葉，以及《黑客帝國(guó)》里家喻戶曉的救世主尼莫。橋田至的形象最符合大眾對(duì)“天才黑客”的刻板印象：宅男，毒舌，愛吃披薩，喜歡二次元，有嚴(yán)重的拖延癥，卻唯獨(dú)在信息技術(shù)上執(zhí)行力超強(qiáng)。

遺憾的是，任何科幻作品都無(wú)法生動(dòng)描述“網(wǎng)絡(luò)安全攻防戰(zhàn)”的過程；我們往往只能看到天才黑客坐在桌子前狂敲鍵盤，然后突然站起來大喊一聲“我成功了”！《黑客帝國(guó)》的表現(xiàn)手法更直觀一點(diǎn)，讓尼莫沉浸在綠色的數(shù)字海洋之中，視覺效果是有了，可惜真實(shí)性近乎于零……

熱播網(wǎng)劇《親愛的熱愛的》，罕見地以CTF（網(wǎng)絡(luò)安全奪旗賽）為主題，讓數(shù)以萬(wàn)計(jì)的觀眾第一次聽說了這個(gè)概念，發(fā)現(xiàn)網(wǎng)絡(luò)安全攻防也可以很刺激。遺憾的是，《親愛的熱愛的》原本選擇的是電競(jìng)題材，只是由于各種原因臨時(shí)改成了CTF，基本是照著“電競(jìng)賽事”的模板去描繪“CTF賽事”的，在專業(yè)細(xì)節(jié)方面也有不少欠缺。

《命運(yùn)石之門》男二號(hào)橋田至，一般人心目中的“天才黑客”

在這個(gè)時(shí)代，消費(fèi)互聯(lián)網(wǎng)和產(chǎn)業(yè)互聯(lián)網(wǎng)已經(jīng)滲透到了我們生活的每一個(gè)角落，網(wǎng)絡(luò)安全也從一個(gè)“垂類專業(yè)話題”變成了“社會(huì)性話題”。典型的例子是2021年12月爆出的Log4Shell漏洞：這很可能是多年以來全球影響最大的網(wǎng)絡(luò)安全災(zāi)難，在被發(fā)現(xiàn)的半個(gè)月內(nèi)，全球已經(jīng)有40％的企業(yè)網(wǎng)絡(luò)遭到了攻擊；所以有人稱這是“核彈級(jí)別的安全漏洞”。此時(shí)此刻，在Google和百度上，＂Log4shell＂分別有425萬(wàn)個(gè)和292萬(wàn)個(gè)搜索結(jié)果。

網(wǎng)絡(luò)安全很重要，而且會(huì)越來越重要。然而，流行文化對(duì)網(wǎng)絡(luò)安全話題的討論又還遠(yuǎn)遠(yuǎn)不夠，由此導(dǎo)致大眾對(duì)網(wǎng)絡(luò)安全的認(rèn)知停留在懵懵懂懂的狀態(tài)；這可能會(huì)進(jìn)一步地導(dǎo)致非技術(shù)出身的企業(yè)管理者輕視網(wǎng)絡(luò)安全、對(duì)這一領(lǐng)域投入不足。生動(dòng)活潑的網(wǎng)絡(luò)安全教育是很重要的——問題在于，究竟怎么做到這一點(diǎn)呢？

其實(shí)，通過《親愛的熱愛的》而讓大眾熟知的CTF，就是一個(gè)現(xiàn)成的、兼具專業(yè)性和趣味性的選項(xiàng)：

CTF （Capture the Flag），即“奪旗賽”，是指網(wǎng)絡(luò)安全人員分組進(jìn)行，以攻破特定漏洞為目標(biāo)的比賽。根據(jù)規(guī)則不同，參賽戰(zhàn)隊(duì)既可以互相攻擊，也可以攻擊主辦方提供的特定網(wǎng)站、程序或硬件設(shè)備。在比賽時(shí)間內(nèi)“奪旗”（攻破漏洞）最多的隊(duì)伍即獲得勝利。隨著時(shí)間發(fā)展，CFT也派生出了更多的形式：例如通過編程解決主辦方提出的一系列難題、破譯一組密碼、對(duì)某一應(yīng)用進(jìn)行反向編譯，等等。成熟的CTF賽事可以持續(xù)好幾天，包括各種不同的形式，既可以線下進(jìn)行也可以線上進(jìn)行。全世界每年會(huì)舉行數(shù)以千計(jì)的CTF賽事，其中既有面向高端專業(yè)和學(xué)術(shù)人士的，也有面向初學(xué)者和網(wǎng)絡(luò)安全愛好者的。紐約大學(xué)理工學(xué)院一年一度主辦的CSAW大賽，參賽者可達(dá)上千人；北約旗下的卓越合作網(wǎng)絡(luò)防御中心（CCDCOE）每年舉辦的賽事，則有世界各國(guó)的國(guó)家隊(duì)以及北約代表隊(duì)出席（有趣的是，北約隊(duì)似乎只贏過一次）。

在國(guó)內(nèi)，長(zhǎng)亭科技舉辦的Real World CTF是最著名的賽事之一。2018年的第一次Real World CTF，就吸引了全球700多個(gè)戰(zhàn)隊(duì)的近2000名選手參加，入圍總決賽的有來自15個(gè)國(guó)家的20支戰(zhàn)隊(duì)；2019年，參加比賽的增加到了1000多個(gè)戰(zhàn)隊(duì)，總決賽期間還與阿里云聯(lián)合舉辦了云安全挑戰(zhàn)賽；2020年，由于疫情原因，Real World改為全程線上舉辦，但并不妨礙參賽戰(zhàn)隊(duì)數(shù)量創(chuàng)下了1772支的新高。

有趣的是，線上舉辦反而增加了Real World CTF的活躍度和參與感。前兩屆賽事分為線上賽和線下賽兩個(gè)階段，只有最優(yōu)秀的少數(shù)戰(zhàn)隊(duì)能進(jìn)入線下決賽；第三屆賽事則不分階段，全體戰(zhàn)隊(duì)在線上進(jìn)行48小時(shí)的連續(xù)競(jìng)技。1772支戰(zhàn)隊(duì)、超過1萬(wàn)名選手的同場(chǎng)競(jìng)技，很可能刷新了全球網(wǎng)絡(luò)安全賽事的紀(jì)錄；超過3萬(wàn)人的全網(wǎng)觀看量，也是一個(gè)非常高的水平。

2022年度Real World CTF海報(bào)

CTF賽事對(duì)網(wǎng)絡(luò)安全的意義毋庸贅述。對(duì)于網(wǎng)絡(luò)安全專業(yè)人士而言，它是絕佳的、合法的練手方式；對(duì)于企業(yè)和政府機(jī)關(guān)而言，它是發(fā)現(xiàn)漏洞、彌補(bǔ)漏洞的重要場(chǎng)所。但這并不是CTF的全部意義，甚至不是它最重要的意義。

還是上面提過的老話：大眾對(duì)于網(wǎng)絡(luò)安全的認(rèn)知還很不夠，導(dǎo)致了對(duì)網(wǎng)絡(luò)安全需求的輕視。就像一個(gè)健康的資本市場(chǎng)需要無(wú)所不包的“投資者教育”一樣，互聯(lián)網(wǎng)行業(yè)也需要無(wú)所不包的“網(wǎng)絡(luò)安全教育”。如果CTF只是圈地自萌，那就只能影響專業(yè)人士和學(xué)生，不能喚起大眾的真真切切的重視——也就是說，治標(biāo)不治本。

那么問題來了：怎么讓網(wǎng)絡(luò)安全賽事變得“好看”呢？就算搞一個(gè)大型線下賽場(chǎng)，讓大家看到程序員敲鍵盤，在大屏幕上顯示代碼，大家就愛看嗎？看看《親愛的熱愛的》的觀眾評(píng)論就知道了，大部分觀眾還是不知道這群人在做什么，只是覺得戰(zhàn)隊(duì)成員振臂高呼的樣子很有喜感而已。呃……

要讓CTF賽事“好看”，顯然要從技術(shù)層面想辦法，從組織和命題步驟就注意如何讓觀眾“看懂”。第三屆Real World CTF就是一個(gè)絕佳的范例：

16道賽題，對(duì)應(yīng)于旋轉(zhuǎn)著的3D場(chǎng)景中的不同的常規(guī)物品。解謎會(huì)導(dǎo)致這些物品的狀態(tài)發(fā)生變化，從而讓觀眾直觀地體會(huì)到“啊，這個(gè)謎題解開了”！第一道“簽到題”，要求參賽者把Real World logo小龍的口罩脫掉。究竟怎么做到呢？有常規(guī)解法，也有不走尋常路的奇異解法。有一道賽題基于《浮士德》劇情，心臟變成了石頭，不僅需要高超的算法和密碼學(xué)功底，還考驗(yàn)了參賽者的藝術(shù)水平。

早在2019年底的第二屆Real World CTF，就采用了這樣的真實(shí)化展示環(huán)境——賽場(chǎng)上的大屏幕循環(huán)展示著一個(gè)緩慢旋轉(zhuǎn)的3D房間，16道賽題均對(duì)應(yīng)房間內(nèi)的一件物品，例如智能門鎖、打印機(jī)、路由器等。例如，簽到題＜Drinks＞需要參賽戰(zhàn)隊(duì)從事先擺放在桌上的多罐飲品中，找出印有rwctf｛pwned＿coke｝的那一罐。

這種高度真實(shí)化、可視化的展示機(jī)制，能夠讓不懂技術(shù)的吃瓜群眾也感受到網(wǎng)絡(luò)安全攻防的緊張刺激，從中獲得享受。就像我，雖然只會(huì)玩《王者榮耀》，根本沒玩過《英雄聯(lián)盟》和《DoTA2》，但是仍能從后者的賽事直播當(dāng)中獲得樂趣。原因很簡(jiǎn)單：我看不懂具體的操作，難道還體會(huì)不到大局和氣氛嗎？

2020年度Real World CTF的考題

由此進(jìn)一步思考，真實(shí)化的CTF賽事，算不算一種“元宇宙”呢？天才Geek在鍵盤上瘋狂敲打，引發(fā)了3D虛擬世界的微妙變化，而且這種變化能夠讓普通用戶直觀地感知——這不就是《雪崩》《頭號(hào)玩家》所描述的元宇宙嗎？而且，這還是一種具備很高的技術(shù)含量和實(shí)用價(jià)值的元宇宙呢。

我個(gè)人認(rèn)為，對(duì)網(wǎng)絡(luò)安全的真實(shí)化展現(xiàn)才只開了個(gè)頭。如果有一天，我們能夠?qū)⒑诳凸�擊某個(gè)特定漏洞的全過程，細(xì)致入微地以3D影像方式呈現(xiàn)出來，使得哪怕像我這樣的技術(shù)小白也能看到其精妙之處和危險(xiǎn)之處，那么大眾對(duì)于網(wǎng)絡(luò)安全的重視一定能夠登上新的臺(tái)階。我們重視現(xiàn)實(shí)中的防盜，因?yàn)槲覀兌蓟蚨嗷蛏俚啬慷眠^小偷行竊；而我們不夠重視賽博空間的安全，則是因?yàn)槲覀儧]有直觀的經(jīng)歷。

第四屆Real World CTF即將于2022年1月21－23日在線上舉行。這次我應(yīng)該會(huì)加入數(shù)以萬(wàn)計(jì)的在線觀眾（雖然我肯定無(wú)法完全堅(jiān)持48小時(shí)）。我相信這次的題目設(shè)計(jì)肯定與往年一樣精妙，但我最感興趣的是，在真實(shí)化展現(xiàn)方面，能不能拿出什么新東西？會(huì)不會(huì)有那么一天，我們能夠像觀看體育或電競(jìng)賽事一樣，一邊喝著啤酒，一邊熱火朝天地觀看CTF賽事呢？

一切皆有可能。