在科幻作品當(dāng)中，無論題材如何，有一種角色的出鏡率特別高：天才黑客。有時候他站在主角那邊，那他就是一個非常重要的技術(shù)流配角；有時候他站在對立面，那他就是一個很難對付的中等BOSS（或大BOSS的助手）。天才黑客的主要職能是守住自己的網(wǎng)絡(luò)安全、攻破對手的網(wǎng)絡(luò)安全防線；他能否妥善履行職能，則取決于劇情需要。

我最喜歡的天才黑客包括：《命運石之門》里的橋田至（桶子），《女神異聞錄5》里的佐倉雙葉，以及《黑客帝國》里家喻戶曉的救世主尼莫。橋田至的形象最符合大眾對“天才黑客”的刻板印象：宅男，毒舌，愛吃披薩，喜歡二次元，有嚴重的拖延癥，卻唯獨在信息技術(shù)上執(zhí)行力超強。

遺憾的是，任何科幻作品都無法生動描述“網(wǎng)絡(luò)安全攻防戰(zhàn)”的過程；我們往往只能看到天才黑客坐在桌子前狂敲鍵盤，然后突然站起來大喊一聲“我成功了”！《黑客帝國》的表現(xiàn)手法更直觀一點，讓尼莫沉浸在綠色的數(shù)字海洋之中，視覺效果是有了，可惜真實性近乎于零……

熱播網(wǎng)劇《親愛的熱愛的》，罕見地以CTF（網(wǎng)絡(luò)安全奪旗賽）為主題，讓數(shù)以萬計的觀眾第一次聽說了這個概念，發(fā)現(xiàn)網(wǎng)絡(luò)安全攻防也可以很刺激。遺憾的是，《親愛的熱愛的》原本選擇的是電競題材，只是由于各種原因臨時改成了CTF，基本是照著“電競賽事”的模板去描繪“CTF賽事”的，在專業(yè)細節(jié)方面也有不少欠缺。

《命運石之門》男二號橋田至，一般人心目中的“天才黑客”

在這個時代，消費互聯(lián)網(wǎng)和產(chǎn)業(yè)互聯(lián)網(wǎng)已經(jīng)滲透到了我們生活的每一個角落，網(wǎng)絡(luò)安全也從一個“垂類專業(yè)話題”變成了“社會性話題”。典型的例子是2021年12月爆出的Log4Shell漏洞：這很可能是多年以來全球影響最大的網(wǎng)絡(luò)安全災(zāi)難，在被發(fā)現(xiàn)的半個月內(nèi)，全球已經(jīng)有40％的企業(yè)網(wǎng)絡(luò)遭到了攻擊；所以有人稱這是“核彈級別的安全漏洞”。此時此刻，在Google和百度上，＂Log4shell＂分別有425萬個和292萬個搜索結(jié)果。

網(wǎng)絡(luò)安全很重要，而且會越來越重要。然而，流行文化對網(wǎng)絡(luò)安全話題的討論又還遠遠不夠，由此導(dǎo)致大眾對網(wǎng)絡(luò)安全的認知停留在懵懵懂懂的狀態(tài)；這可能會進一步地導(dǎo)致非技術(shù)出身的企業(yè)管理者輕視網(wǎng)絡(luò)安全、對這一領(lǐng)域投入不足。生動活潑的網(wǎng)絡(luò)安全教育是很重要的——問題在于，究竟怎么做到這一點呢？

其實，通過《親愛的熱愛的》而讓大眾熟知的CTF，就是一個現(xiàn)成的、兼具專業(yè)性和趣味性的選項：

CTF （Capture the Flag），即“奪旗賽”，是指網(wǎng)絡(luò)安全人員分組進行，以攻破特定漏洞為目標的比賽。根據(jù)規(guī)則不同，參賽戰(zhàn)隊既可以互相攻擊，也可以攻擊主辦方提供的特定網(wǎng)站、程序或硬件設(shè)備。在比賽時間內(nèi)“奪旗”（攻破漏洞）最多的隊伍即獲得勝利。隨著時間發(fā)展，CFT也派生出了更多的形式：例如通過編程解決主辦方提出的一系列難題、破譯一組密碼、對某一應(yīng)用進行反向編譯，等等。成熟的CTF賽事可以持續(xù)好幾天，包括各種不同的形式，既可以線下進行也可以線上進行。全世界每年會舉行數(shù)以千計的CTF賽事，其中既有面向高端專業(yè)和學(xué)術(shù)人士的，也有面向初學(xué)者和網(wǎng)絡(luò)安全愛好者的。紐約大學(xué)理工學(xué)院一年一度主辦的CSAW大賽，參賽者可達上千人；北約旗下的卓越合作網(wǎng)絡(luò)防御中心（CCDCOE）每年舉辦的賽事，則有世界各國的國家隊以及北約代表隊出席（有趣的是，北約隊似乎只贏過一次）。

在國內(nèi)，長亭科技舉辦的Real World CTF是最著名的賽事之一。2018年的第一次Real World CTF，就吸引了全球700多個戰(zhàn)隊的近2000名選手參加，入圍總決賽的有來自15個國家的20支戰(zhàn)隊；2019年，參加比賽的增加到了1000多個戰(zhàn)隊，總決賽期間還與阿里云聯(lián)合舉辦了云安全挑戰(zhàn)賽；2020年，由于疫情原因，Real World改為全程線上舉辦，但并不妨礙參賽戰(zhàn)隊數(shù)量創(chuàng)下了1772支的新高。

有趣的是，線上舉辦反而增加了Real World CTF的活躍度和參與感。前兩屆賽事分為線上賽和線下賽兩個階段，只有最優(yōu)秀的少數(shù)戰(zhàn)隊能進入線下決賽；第三屆賽事則不分階段，全體戰(zhàn)隊在線上進行48小時的連續(xù)競技。1772支戰(zhàn)隊、超過1萬名選手的同場競技，很可能刷新了全球網(wǎng)絡(luò)安全賽事的紀錄；超過3萬人的全網(wǎng)觀看量，也是一個非常高的水平。

2022年度Real World CTF海報

CTF賽事對網(wǎng)絡(luò)安全的意義毋庸贅述。對于網(wǎng)絡(luò)安全專業(yè)人士而言，它是絕佳的、合法的練手方式；對于企業(yè)和政府機關(guān)而言，它是發(fā)現(xiàn)漏洞、彌補漏洞的重要場所。但這并不是CTF的全部意義，甚至不是它最重要的意義。

還是上面提過的老話：大眾對于網(wǎng)絡(luò)安全的認知還很不夠，導(dǎo)致了對網(wǎng)絡(luò)安全需求的輕視。就像一個健康的資本市場需要無所不包的“投資者教育”一樣，互聯(lián)網(wǎng)行業(yè)也需要無所不包的“網(wǎng)絡(luò)安全教育”。如果CTF只是圈地自萌，那就只能影響專業(yè)人士和學(xué)生，不能喚起大眾的真真切切的重視——也就是說，治標不治本。

那么問題來了：怎么讓網(wǎng)絡(luò)安全賽事變得“好看”呢？就算搞一個大型線下賽場，讓大家看到程序員敲鍵盤，在大屏幕上顯示代碼，大家就愛看嗎？看看《親愛的熱愛的》的觀眾評論就知道了，大部分觀眾還是不知道這群人在做什么，只是覺得戰(zhàn)隊成員振臂高呼的樣子很有喜感而已。呃……

要讓CTF賽事“好看”，顯然要從技術(shù)層面想辦法，從組織和命題步驟就注意如何讓觀眾“看懂”。第三屆Real World CTF就是一個絕佳的范例：

16道賽題，對應(yīng)于旋轉(zhuǎn)著的3D場景中的不同的常規(guī)物品。解謎會導(dǎo)致這些物品的狀態(tài)發(fā)生變化，從而讓觀眾直觀地體會到“啊，這個謎題解開了”！第一道“簽到題”，要求參賽者把Real World logo小龍的口罩脫掉。究竟怎么做到呢？有常規(guī)解法，也有不走尋常路的奇異解法。有一道賽題基于《浮士德》劇情，心臟變成了石頭，不僅需要高超的算法和密碼學(xué)功底，還考驗了參賽者的藝術(shù)水平。

早在2019年底的第二屆Real World CTF，就采用了這樣的真實化展示環(huán)境——賽場上的大屏幕循環(huán)展示著一個緩慢旋轉(zhuǎn)的3D房間，16道賽題均對應(yīng)房間內(nèi)的一件物品，例如智能門鎖、打印機、路由器等。例如，簽到題＜Drinks＞需要參賽戰(zhàn)隊從事先擺放在桌上的多罐飲品中，找出印有rwctf｛pwned＿coke｝的那一罐。

這種高度真實化、可視化的展示機制，能夠讓不懂技術(shù)的吃瓜群眾也感受到網(wǎng)絡(luò)安全攻防的緊張刺激，從中獲得享受。就像我，雖然只會玩《王者榮耀》，根本沒玩過《英雄聯(lián)盟》和《DoTA2》，但是仍能從后者的賽事直播當(dāng)中獲得樂趣。原因很簡單：我看不懂具體的操作，難道還體會不到大局和氣氛嗎？

2020年度Real World CTF的考題

由此進一步思考，真實化的CTF賽事，算不算一種“元宇宙”呢？天才Geek在鍵盤上瘋狂敲打，引發(fā)了3D虛擬世界的微妙變化，而且這種變化能夠讓普通用戶直觀地感知——這不就是《雪崩》《頭號玩家》所描述的元宇宙嗎？而且，這還是一種具備很高的技術(shù)含量和實用價值的元宇宙呢。

我個人認為，對網(wǎng)絡(luò)安全的真實化展現(xiàn)才只開了個頭。如果有一天，我們能夠?qū)⒑诳凸�擊某個特定漏洞的全過程，細致入微地以3D影像方式呈現(xiàn)出來，使得哪怕像我這樣的技術(shù)小白也能看到其精妙之處和危險之處，那么大眾對于網(wǎng)絡(luò)安全的重視一定能夠登上新的臺階。我們重視現(xiàn)實中的防盜，因為我們都或多或少地目睹過小偷行竊；而我們不夠重視賽博空間的安全，則是因為我們沒有直觀的經(jīng)歷。

第四屆Real World CTF即將于2022年1月21－23日在線上舉行。這次我應(yīng)該會加入數(shù)以萬計的在線觀眾（雖然我肯定無法完全堅持48小時）。我相信這次的題目設(shè)計肯定與往年一樣精妙，但我最感興趣的是，在真實化展現(xiàn)方面，能不能拿出什么新東西？會不會有那么一天，我們能夠像觀看體育或電競賽事一樣，一邊喝著啤酒，一邊熱火朝天地觀看CTF賽事呢？

一切皆有可能。