那是计算机安全方面,全球最高水平对决。即便与对手相隔万里,但在无声的战场里,厮杀依旧激烈。
那是真正天才之间的对决。他们每一个都出身名校、成绩斐然,即便未满三十岁,仍旧有着让人信服的实力。
那是智慧、勇气、反应能力、判断能力,甚至是体力的对决。持续3天的战斗里,任何一丝失误都可能造成无法挽回的后果。
那也是一次扬眉吐气的对决,一场振奋人心的对决。
2019年7月,电视剧《亲爱的,热爱的》在腾讯视频热播。
电视剧讲述了一个极为小众的故事。作为战队教练的韩商言,率领队伍在国际互联网安全赛事中拿下最终胜利。
真实的故事,远比电视剧更为精彩。
CTF,全称为Capture the Flag(夺旗赛),是网络安全领域最流行的一种竞技比赛。而起源于1996年的DEF CON CTF,是当今世界网络安全领域规格最高的赛事、全球黑客眼中的技术圣殿。
很多人将他称为“黑客世界杯”。
这是一个距离公众很远,却又很近的领域。比赛中每项技术落地,都为国家网络安全和保护用户数据隐私,作出贡献。
想要在这样一项全球顶级赛事中拿下冠军,并不是一件容易的事。
2020年DEF CON CTF,7年内拿下5次冠军的美国PPP战队志在卫冕;俄罗斯国内最强的战队组成一支联队参赛;日本战队召集了国内几乎所有高手……
在DEF CON CTF的历史上,来自中国的战队从未夺冠。一次次饮恨,一次次出发。2020年8月,腾讯A*0*E联合战队再次踏上战场。
那时他们还不知道,等待他们的是一段怎样惊心动魄的旅程。
2017年,美国拉斯维加斯,DEF CON CTF比赛开始前2天,刘耕铭走下飞机。
这是腾讯A*0*E战队成军的第一年。腾讯A*0*E战队是一支联合战队,它的主干是腾讯eee战队,联合了来自上海交通大学的0ops战队、复旦大学的******战队、浙江大学的AAA战队。
从每一个战队名字中抽取一个字母拼到一起,就形成现在联队的名字:A*0*E。国内黑客圈将他们称为“复仇者联盟”。
成军的那一刻起,他们的使命就是在DEF CON CTF中夺冠。
加入A*0*E战队时,刘耕铭刚刚从浙江大学毕业,他是这一领域的天才。大学一年级,他便拿下浙大信息安全大赛第二名。
4年的时间持续进步,2017年,他已经成为浙江大学AAA战队队长,并在毕业后进入腾讯安全科恩实验室工作。
刘耕铭
第一次以A*0*E联队的方式参加DEF CON CTF,刘耕铭有很多期待,他的目标是冠军。但这种期待,却在开赛第一天,就被美国强队PPP击碎。
“我们发现 PPP 的分数涨得特别特别快。”
随后两天的比赛中,刘耕铭和团队小伙伴拼到最后一小时,才写出攻击脚本,惊险地“干掉”韩国队,拿到第三名。
尽管成绩不尽如人意,但这已经是中国大陆战队在2017年DEF CON CTF中的最好成绩了。
那一天的遗憾和不甘,又延续了两年。从2017年开始,A*0*E从未品尝过冠军的滋味,总是在遗憾中,丢掉比赛。
2020年,刘耕铭已经成为腾讯A*0*E 战队队长,这一次他再也不想放过机会。
腾讯A*0*E 战队部分队员
腾讯A*0*E 战队的教练谢天忆,对前三年的失败同样记忆犹新。2020年卷土重来,他的决心更加坚定。
新年刚过没多久,新冠疫情趋缓,他便从苏州老家赶回上海,开始了新赛季的筹备工作。
前6个月,他们通过比赛,提高战队的凝聚力,磨合队伍。在国际上的诸多重量级比赛中拿下冠军之后,他们全力投入到DEF CON CTF的备战中。
那时,留给他们的时间还有一个月。
相较以往,这一次谢天忆调整了训练方式。他按照队员擅长的技术方向和做题方式,将所有队员分为三个属性。
写攻击脚本熟练、快速的队员被指定为主攻。这一位置对手速、创造力、想象力有极高的要求,担任主攻的大多是常年打CTF比赛,实力较强且经验丰富的队员。
逆向分析速度快且思维活跃的队员,适合担任副攻(粗逆)。他们负责快速逆向程序,了解整个题目的大概框架,以尽量追求速度的方式去找到题目的漏洞。在漏洞被发现之后,他们也需要辅助主攻完成攻击脚本。
第三类是精逆,这一位置需要逆向功底优秀并且细心的队员。他们的主要职责是耐心仔细地逆向分析程序,追求准确度和细节,把题目每一个角落的底层逻辑搞清楚,找出那些隐藏很深的漏洞。
每一个位置,都决定着比赛结果。每一位队员,都需要拼尽全力。
谢天忆在指导队员
同时,因为新冠疫情影响,原本线下的比赛转移到线上,腾讯内部很多对CTF感兴趣的同学,也都参与到比赛中。
公司内部更是高度重视,在上海腾云大厦里腾出整整一层的会议室,支持他们比赛。因为队员需要长时间熬夜战斗,后勤支撑小组就在会议室里放了很多气垫床,“累了就直接躺着睡,醒了就做题”。零食、饮料更是管够。
为了支持比赛,腾讯云甚至专门启用一条专线,方便队员连接比赛服务器。
万事俱备,所有人对这次比赛抱有极大的信心,却没想到刚刚开赛,A*0*E战队就迎来当头一棒。
2020年8月7日晚上8点,线上比赛正式开始。
比赛分为4节,每一节比赛时间8小时,两节之间休息时间9小时,比赛进行4节共59小时,一共10道题目。依靠每道题目上各个战队的得分,最终决定出冠军的归属。
开赛放出第一轮的两道题目后,教练谢天忆迅速安排两个小组展开攻势。
负责其中一道题目casinooo-life的同学解题过程很顺利,问题出现在另一道题parallel-af上。这是一道难度极高的题目,大多数队员都扑在这道题的解答上,却始终没有进展。
很快第三道题又被放出,这是一道AI方向的题目,是副队长马会心的负责方向。
马会心毕业于上海复旦大学,从2014年开始一直进行CTF比赛,是一位经验丰富的老将。
他集合战队队员,很快写出攻击脚本,几乎没有被PPP拉开分差。
马会心 (中间)
因为第一节结束时余下的题目不多,教练谢天忆在第一二节比赛之间去休息了。他要保存体力,为接下来的比赛奋战。
但当他再回来时却发现,那道难度很高,比赛一开始就放出的题,A*0*E仍然没有进展。而此时,他们的主要对手美国PPP战队,却率先开始攻击,占据巨大领先优势。
比赛的不利,很快让队员的心态产生变化。耗费巨大精力的题目成果寥寥,很多人认为这一次比赛又要再次遗憾败北。
教练谢天忆心里也着急,这是他倾注6年的梦想,他不想失去。
腾讯A*0*E 战队队员在答题
2014年,上海交通大学研究生二年级的谢天忆,阴错阳差地加入学校的0ops战队。在当时他是一个不折不扣的新手。
中学时代,他拿下“全国青少年信息学奥林匹克联赛”的全国一等奖,并借此保送上海交通大学。
整个大学期间,学习计算机专业的他,并未深入研究过与安全相关的知识,直到研二加入0ops战队,并在一周后参加全国第一场正式CTF比赛。
大学时,谢天忆参加比赛
当时作为新人,谢天忆与0ops战队一同过关斩将,拿下全国第二名的好成绩。他由此也产生了一种奇妙的归属感:
“我并不喜欢失败,但我也没有多渴望成功,我更看重过程。CTF的比赛对我来说,是一件很有趣的事情。”
6年时间过去,他从上海交通大学走入腾讯安全科恩实验室,并逐渐晋升为队长、教练。在国内CTF圈,他是不折不扣的老炮儿,率队拿下过多次全国比赛的冠军。
甚至上演过,比赛最后45分钟,狂追近2000分的翻盘好戏。
2018 年,作为腾讯 eee 战队队长的谢天忆,率队拿下 “ 强网杯 ” 全国网络安全挑战赛冠军
因此,当A*0*E战队陷入迷茫时,他很快参与到战斗中,并调整战队状态。
恰逢比赛又放出一道新题rhg,美国PPP战队仍旧在前一道题上疯狂刷分,而谢天忆则将队员迅速转移到新题的攻防上。
这是一道类似于“吃鸡游戏”的题,16个战队控制各自的人物在一张地图上打对战,需要更加灵活和有想象力的方式才能找到题目漏洞,拿到分数。
在这道题目上,A*0*E 战队率先开始攻击,并迅速打满600分满分,速度快到迫使对手美国PPP战队没有拿到任何分数。
第二三节比赛之间,谢天忆没有休息,他仍在全力主攻另一道题目pinbooll,希望率领全队拿下比赛。但谁都没有想到,更戏剧性的一幕还在后面。
第三节比赛后半段,主办方放出一道gameboooy题目。这道题目难度颇高,恰好刚从第一道难题里走出的团队,接手了这道题目,导致解题过程极度煎熬。
来到第四节比赛,谢天忆心急如焚。第三节结束时留下的两道题目没有任何进展,追分的可能性几乎不存在。而此时如果对手美国PPP战队拿下其中任何一道题目,将直接宣告A*0*E 战队的失败。
戏剧性的是,投入大量人员做的gameboooy题目,直到比赛快结束前才被主办方发现出题失误,这道题目根本无解。这是极其罕见的情况,赛后主办方也为出题失误致歉。
当正确的题目上线时,时间所剩无几,所以这道题目没有一个战队解答出来。
A*0*E战队队员在答题
所有的重点都放在了另一道题目bdooos上。第四节比赛开始前,没有队伍解答出这道题目,这让比赛进入白热化阶段——无论哪一方,率先拿下这道题目,都可能改写比赛。
最后4小时,主办方为了设置悬念,将积分榜的变化情况隐藏。封榜期内,谁都看不到积分榜的变化。
而封榜前,谢天忆看到积分榜上的分数仍旧落后,“我们封榜时的趋势是每轮落后PPP战队一到两分,总分已经落后三四十分”。
尽管这是一个比较微小的差距,但谢天忆也没有想到太好的手段去逆转。乌云笼罩在每一个队员的头上,大家都做好了最后一搏的准备。
谢天忆在指导队员答题
封榜前,主办方放出了最后一道题nooode。这道题相对比较简单,许多队伍都能写出攻击脚本,看起来不像是能够追分的题目。
就在快要绝望的时候,A*0*E 战队却奇迹般将那道难度系数极大的bdooos题,做出来了。
许多队员都参与到了这道题目的进攻中,拼尽最后的力气,一直到比赛结束。
比赛正式结束的那一刻,谢天忆伫立良久。他没有太高兴。潜意识里,他感觉解答出的难题,并没有获得比PPP多太多分数。
很多队员颇为遗憾地走出会议室,他们想着可能实力不够,可能运气不好,他们还需要再战一年。
成绩公布时,很多连续通宵两晚的同学,都已经回去休息,剩下20个人在会议室里,等待比赛结果。
低落的情绪,在会议室蔓延,极少人说话,投影仪上画面就在那里静静播放。
为了制造悬念,这次比赛的一项别出心裁的设计,是在最后通过动态图展现战队得分。这让每一支战队都心惊胆战。没有人知道最后4个小时,会不会有奇迹发生。
动态图变化的一分多钟里,所有队员屏住呼吸,随着排名的变化心跳逐渐加速。此前谢天忆预测,这次仍然会遗憾落北,成绩可能是第二。
但没想到的是,随着比分不断变化,A*0*E就是在封榜之后的4个小时里,逆转了比赛,以2分的微弱优势拿下冠军。
那一瞬间,上海腾云大厦里欢呼声顶破了天。
那群经过几天鏖战,严重睡眠不足的年轻人,在会议室里、过道里,兴奋地大声呼喊、嚎叫,声音感染了每一个在场的人。
很多在比赛中杀伐果断的男子汉,默默擦了擦眼角的泪水: “终于赢了! 终于赢了! ”
A*0*E战队在庆祝胜利
从2014年开始从事相关领域的研究,到如今拿下冠军,足足6年,谢天忆从没有见过如此激动的时刻。 他的内心翻江倒海。
朋友圈里,夺冠的消息很快刷屏,腾讯创始人马化腾也点了赞。 谢天忆这样总结拿下比赛的原因:
1.团队经过这些年的磨合,配合越来越默契,流畅度越来越高。
2.在技术能力和水平上,最近几年一直在进步。
最后,他谦虚地将胜利原因归结于“运气”。
“我们运气比较好,在所有题目上的发挥都很出色,尽管一道题没有答好,但另外一道题发挥远超预期。”
人生哪有运气,都是坚持的勇气。
这是一个高度注重个人隐私的时代,又是一个高度开放的时代。
当移动互联网渗透到生活的方方面面,有光明就一定带来黑暗。病毒侵袭、黑客入侵、网络攻击、隐私泄漏…… 每一次损失,都让互联网安全的重要性越加凸显。
有人选择加入恶龙,就一定有人选择挑战恶龙。腾讯A*0*E战队从事互联网安全工作的“白帽黑客”,就是这样一群挑战恶龙的人。
围绕互联网安全,腾讯网罗各方人才,组建“七大安全实验室”,同时筹备相关赛事,用来挖掘人才,提高网络安全性。
腾讯安全科恩实验室,就是腾讯安全的王牌之一。他的负责人吴石,是目前公认的全球计算机漏洞发现和报告最多的人。
吴石
从2016年成立至今,实验室向国内、国际顶级互联网公司提交多份漏洞研究报告,维护互联网安全、平稳运行。
比赛的胜利固然重要,但在真正的赛场上,少年们的人生,才刚刚扬帆起航。
这群不到30岁的年轻人,要在真正的互联网世界里,挑战技术极限,为未来5G、AI、车联网、物联网、移动应用安全方面的探索,提供更多解决方案。
这是他们的挑战,又是他们的热爱。
如今,距离比赛已经过去近一个月,队员们早已回到曾经辛苦奋战的阶段。他们要为接下来的比赛准备,同时为网络安全贡献更多力量。
谢天忆在比赛后,得到了难得的休息。回想起来,一个细节他仍然印象深刻。
比赛过程中,“吃鸡游戏”题的所有程序漏洞都被PPP战队补掉了,A*0*E拿他们毫无办法。
但经过鏖战,他们还是找到机会。像是电子竞技一样,他们选择亲手控制其他战队的人物,用游戏中的手段攻击PPP,这让PPP措手不及。
紧急编写程序之后,A*0*E的队员们,控制了七八支战队的人物。一旦发现PPP的身影,他们便互相喊话:
“你离PPP最近,你快去干他!”
那一刻的紧张和兴奋,永远忘不了。
相关:
赵丽颖罕见晒18宫格美照,少女感快要溢出屏9月11日晚,赵丽颖罕见在个人社交平台分享了一组18宫格美照,简直像极了过年“福利”呀有木有,看来颖宝的心情相当不错哦。她还俏皮写道:“十八宫格,攒够了”,真是可可爱爱的俏皮辣妈没错了!照片中,赵丽颖戴..
揭秘全球首创鼻喷新冠疫苗医务人员正在帮健康志愿者接种获批在东台开展临床试验的鼻喷新冠疫苗。丁秀芹 摄□记者 姜琰 陆荣春无需打针,只要往鼻腔喷射便可接种!“中国造”全球首个鼻喷新冠肺炎疫苗,近日通过国家药品监督管理局的应急..