APP下载

网络安全研究员:信息世界的守卫者

2020-03-16

中学生天地(B版) 2020年2期
关键词:战队漏洞编程

姓名:天忆

身份:网络安全研究员,国内知名CTF战队队长

技能:主动出击,探索信息前沿技术;精确防守,守护网络安全底线

电视剧《亲爱的,热爱的》把信息安全竞赛搬上荧屏,让更多人对网络安全这一领域产生了好奇。网络安全的世界里有着一场场无声的战役,而网络安全领域从业者的生活既有技术人员的严谨、专注,又有与“黑客”们争锋相对的紧张、刺激。

对幼时的我而言,常人眼里枯燥无味的代码是我探索世界的钥匙;对现在的我来说,精确的算法帮助我架构起网络安全的防守底线。

用代码探索世界

在我上小学前,中国互联网还未实现民用普及,父亲为我买了一台价值不菲的“中华学习机”,让我提前感受了信息化时代。那时的我还不知道什么是编程,只是按照参考手册,在学习机上机械地敲入字母,最后解锁了《超级马里奥》游戏。

真正为我打开信息世界大门的,是我从父亲书架上拿下的那本《Pascal语言》,从此我沉浸在代码的乐趣中。通过编程,我可以控制计算机去做人力无法做到的事情,例如高速计算复杂的数据。比起单纯地使用一些机器或者软件,知道这些东西是如何被制作出来的,又是用什么原理在运行,显然能带给我更大的成就感。

编程帮我养成的思维和逻辑习惯更是让我受益终生。每当我看到一个问题之后,我会习惯性地用一些数学或者编程上的思路去把这个问题拆解,然后预估它的解决步骤,一步一步思考解决的方式,最终攻克这个复杂的难题。

2004年,在初中的一堂微机课上,为了能让自己的电脑逃脱老师的控制,享受自己的互联网时间,我通过键盘调出了常见的“智能ABC”输入法,将锁屏的电脑成功独立于系统之外。这个现在看来技术含量很低的“小技巧”,让微机老师注意到了我在编程这方面的兴趣与天赋,之后他推荐我去参加了信息学奥林匹克竞赛。

现在回想起来,信息学奥赛不仅给我带来了荣誉,还将我对计算机的学习能力提升到了更高的层次:这个比赛不仅仅考验你会不会编程,更考验你会不会运用编程解决实际的问题。

通过参加比赛,我开始真正了解我所编写的代码,开始思索怎样才能更高效地解决一个个实际问题。随着对该领域的深入了解,高中课堂教授的基础知识和我父亲的编程书已经无法满足我的需求,我开始大量接触大学的高等数学和计算机方面课程,借此更深入地理解编程算法。高三时,凭借全国青少年信息学奥林匹克联赛的全国一等奖,我被保送进入上海交通大学的计算机科学与技术专业,在大学四年和研究生学习生涯中,我尝试探索更多的可能,钻研自己感兴趣的东西。

演练场上的“研究”

CTF(Capture The Flag)是一种流行的信息安全竞赛形式,其英文名可直译为“夺旗赛”。其大致流程是,参赛团队通过攻防对抗、程序分析等形式,从主办方给定的题目或环境中获取一串字符串,从而夺得分数。

这项比赛帮助我在信息安全领域中迅速成长。彼时的我正在读研二,刚转入信息安全专业数月。在校内比赛中小试身手后,我加入了上海交通大学CTF战队——0ops战队,并在一年后成为队长。研究生毕业后,我加入了腾讯安全科恩实验室,代表腾讯参加各类CTF赛事,并成为了腾讯eee战队的队长。

2018年,对于eee战队而言是不平凡的一年,在这一年我们参加了三大信息安全国家级赛事——“强网杯”“网鼎杯”和“护网杯”,并相继斩获冠军。最令人记忆深刻的是“强网杯”的决赛现场:整整32个小时的比赛进程里,我们有31个小时都落后领先的队伍2000分。包括我在内,所有队员都顶着巨大的压力。值得庆幸的是,所有人都没有去想比赛之外的东西,我们只是把注意力放在题目本身上。最后,我们靠着解出最后一道关键赛题疯狂得分,终于把分数翻了回来。

与我们平时熟悉的电竞比赛不同,一场CTF比赛往往持续几十个小时,这对参赛选手的体力有着严格的要求;除此之外,我们队内并没有特别固定的角色和分工,一般会根据比赛实况灵活安排。在团队内,每个人都有擅长的方向,而命题人的题目是否贴合自己的方向很难预料,我们需要做的就是不断锤炼自己专精的方向,使它涉及的范围更广,这样题目撞上你擅长方向的概率也会更大。

CTF对网络安全从业者成长的帮助是显而易见的。一方面,它能帮助初学者了解网络安全到底是做什么的,让他们能够真正去实操;另一方面,CTF里使用的技术既前沿又贴合实际,对于许多较高水平的从业者来说,CTF能够促使他们去学习一些本来不太熟悉,或者是不太愿意学的领域的知识。

出于赛制的原因,人們不可避免地会将其视为与电子竞技类似的游戏项目。但CTF并不是虚假的游戏,它更像是一场信息安全世界的虚拟军事演习,你能说军事演习对战争不重要吗?

信息世界里的“呼神护卫”

投身网络安全行业多年,我现在增加了一个特殊的身份——网络安全研究员,负责探索网络安全的前沿技术。与其他行业学术性较强的“研究”不一样,我们的工作更偏向实践,应用性更强。拿我现在做得比较多的“漏洞挖掘”来举例,我们会挖掘常用软件的漏洞,并将其报告给厂商,让厂商进行修补,从而提高软件的安全性。

走下CTF的演练场,网络安全行业的从业者面对的仍是一场激烈的竞赛,这场竞赛的双方不再是出题方和参赛者,而是现实世界里的“黑帽”与“白帽”(从事信息安全研究,帮助企业修复漏洞的信息安全工作人员)。据我目前所知,所有的软件都能被攻破,而攻破关键在于攻击者愿意为此付出的代价。我们能做的是根据他们曾经的攻击手法,抑或是被别人发现的攻击痕迹,推测他们目前的技术情况,抢先一步,找出漏洞,及时修补,或是从设计根源上避免这些漏洞。

在这场交锋中,我们需要有比攻击者更高的技术,才能更快发现漏洞。一旦失败,我们往往会付出巨大的代价,这些代价超乎我们的想象。现如今,网络安全早已不局限于互联网行业,它已上升到国防安全的层面,其价值是难以衡量的。有个比较典型的案例:因为被攻击者植入了病毒或者说是恶意代码,伊朗纳坦兹铀浓缩工厂数千台离心机被破坏。而之前引起轩然大波的“斯诺登事件”则暴露了美国的情报机构利用网络安全的漏洞,或者说是他们预置的“后门”,监控其他国家的政府、企业和人民,并搜集情报。

在我们的日常生活中,因为不注意保护隐私,个人信息泄露的事件比比皆是,这也愈加体现了网络安全的重要性。随着网络渗透到社会生活的各个角落,网络安全成为国家安全新的制高点。以国家为主体的网络空间的斗争与较量,直接关系到国家安全。在这种情况下,需要有更多的年轻人愿意投身这个领域。

(采写:方 昕)

猜你喜欢

战队漏洞编程
漏洞
编程,是一种态度
元征X-431实测:奔驰发动机编程
编程小能手
超能磁战队
纺织机上诞生的编程
超能磁战队
中国蓝战队
三明:“两票制”堵住加价漏洞
高铁急救应补齐三漏洞