时间改变了一个固执黑客的发型，以及一场精彩的比赛

时间能改变什么呢？

比如，2017 年，世界著名黑客 MJ 0011（郑文彬）还带领着 360 安全站队捧回了 Pwn2Own 2017 世界黑客大赛的冠军奖杯以及一件酷炫的冠军皮衣。

2019 年 7 月 5 日，MJ在 WCTF 世界黑客大师赛上激情开讲。

今年的 WCTF 借鉴了 Pwn2Own 的不少赛题设置。

从打比赛的人到“举办比赛的人”，中间发生了什么呢？很多事情。首先，出国打Pwn2Own这类比赛已经不被“上级”鼓励，再者，360 的老周这两年也一直在说——出国打什么比赛，为什么要把漏洞“武器”贡献给外国人？我们要搞自己的比赛，让别人过来打。

话说得“政治正确”，宅客频道编辑看到这两年传出来的 Pwn2Own 的战果——比如，谁谁谁因为破解特斯拉而被特斯拉奖励了一辆车车这种热血燃情的新闻时，总是有点意难平——要是国内的顶尖强队也按照以往的情形参加，还有国外选手什么事呢？！

还有一个现象挺有意思，虽然往外“出漏洞”的比赛不被鼓励，但是DEF CON CTF 这种世界级技巧型比赛大家还是打得不亦乐乎的，今年也有不少DEF CON 的外卡赛由中国的参赛者举办，比如腾讯的 TCTF、百度的 BCTF。

这样一看，360 举办的 WCTF 有什么特色？360 会有压力吗？WCTF 也要努力变成 DEF CON CTF 的外卡赛吗？

这是宅客频道编辑抛给 MJ 和 360 著名安全专家李康的问题。

出乎意料的是，他们不打算按照这个路子走。MJ 傲娇地说，为什么要变成 DEF CON CTF 的外卡赛呢？我希望以后别的地方还有 WCTF 的外卡赛。

【左：李康 右：MJ】

一个有实力的比赛

WCTF 可能有这个潜力。

首先，是参赛选手水平很高。

WCTF 分为大师赛和新人赛。大师赛，从字面上都可以看出，是邀请水平比较高的“神仙战队”一决高下：在2019 WCTF上，主办方邀请到了波兰 Google 安全团队 Dragon Sector、法国瑞士联合战队 0daysober、日本战队 TokyoWesterns、美国战队 Shellphish、德国战队 Eat,Sleep,Pwn,Repeat、俄罗斯战队 LC↯BC、韩国战队 Cykor，以及 NU1L、r3kapig和 217三支来自中国网安领域的战队。

新人赛今年则邀请了清华、复旦、北航、西安电子、成信大、中国科学院等十所顶尖高校的青年网安战队。

这些战队有什么神奇之处？如果你熟悉 CTF 赛事，会发现这些战队都是 CTF 战队排行榜上赫赫有名的高手（你可以把这个排行榜理解为世界武林高手榜）：

第二，参赛赛题偏实战。

如果说常规 CTF 被一些人称为“仅仅做题，没有实战”的比赛，那么 WCTF 可能更加“商业化”，今年的 WCTF 赛题颇为硬核，有涵盖硬件安全、移动安全、操作系统安全、浏览器安全、密码破译、沙箱逃逸、虚拟机逃逸、内核提权等多领域的赛题。

今年的 WCTF 还主打两个领域：硬件安全与浏览器漏洞。

虚拟的网络世界，背后是数以百亿计的 IoT 智能产品、基站、宽带、工控设备、大型硬件系统等常用网络设备，谈及网络世界的攻防战争，自然绕不开硬件安全，而近年来国际上多个 APT 高级威胁组织利用浏览器漏洞渗透攻击，直接造成大批用户遭遇勒索病毒攻击，导致信息泄露威胁个人及财产安全。

如果你熟悉 Pwn2Own ，会发现 WCTF 拥有其熟悉的调调，但 WCTF 与 Pwn2Own 还是有本质区别，如果你要打 Pwn2Own ，可能要准备很久，寻找那些巧妙的“零日漏洞”，并要布局参赛策略，以防撞洞（宅客频道注：和竞争对手使用同样的漏洞），打下一个特定目标后，选手必须把漏洞信息与利用详情与涉及厂商共享，这也是老周这两年极力强调“漏洞是战略资源，不要往国外送洞”论调的背景原因之一。WCTF 是现场实战型比赛，只有 18 个小时，赛题中涉及的攻击目标与商业目标不完全一致，但是“很像”，而且参赛选手可以不顾赛题设置方的逻辑，直接用商业工具或者自己写的工具攻击。

最有意思的是，今年的 WCTF 和往年一样，依然是“高手”给“高手”出题：参赛选手互相出题，非常有看点。

第三，WCTF 有“正儿八经”的赛后分享会议。

它的重点不在于“大师队伍”解密如何“吊打”对手，而是分享出题、攻击、防守思路，机智如你，可能能想到这对参赛选手，尤其是“新人团队”的意义，高手过招，观看都是“吸收精华”。

这个比赛的意义到底是什么

宅客频道编辑一直在观察 360 的“打法”，你也可以发现，360 这两年以“守卫国家安全”来定义自己。从中国安全市场看，这是一个“颇有前途”的思路，不然为什么那么多企业争破脑袋想进“国家队”?

既然是“守卫国家安全”，那么老周说“不要往外送战略资源”的观点你应该能够理解了。“不往外送”，那就“朝里引”，自己打造一个类似的比赛，但这个比赛要吸引国外选手来参赛，也不能显得“太  Pwn2Own ”，那就搞一个改良版的“Pwn2Own”吧——非实际商业产品，但能用商业工具，打的又是有实战意义的领域热门项目。

还有一个大家都心知肚明的目标：培养人才。当然，新人选手到底有哪些最终被 360 吸纳，编辑还没找到“标准答案”，但以赛“练兵”，以“大师”操练“新手”，这个思路是可行的，不管最终这些人才是否落到 360 的“口袋”里，对中国的网安人才培养来说，终归是一件好事。

360 网络安全北美研究院院长李康曾是 CGC 机器人竞赛项目 UGA Disekt 的华人领队，在自动化攻防上很有研究。在回答“WCTF 是否会专门设置自动化攻防环节”这一问题时，李康的回答颇有意思：

“CTF 里一直在用自动化攻防的工具，只不过说有一些比赛，我只用工具，等真正我们想在实战过程中对抗时，比如两个国家较量，没有人说不能上人，我觉得今后所有的对抗最终我们都说是人的对抗，对抗一直是人加上机器。所以在今天赛场里，我相信所有的战队，至少大师战队他们肯定都是有备而来，每个人手里都是有一堆各种自动化工具，我相信学生战队也是类似，只不过工具接口可能不统一，但是大家都是带着工具来的。”

不拘泥形式，所有的对抗都是人的对抗。在各种赛制背后，最后锤炼的还是对抗思路和安全技巧。从这个角度看，WCTF 应该已经是在吸引选手参赛、锤炼选手能力以及打消上述种种顾虑而言，相对比较平衡的比赛。

WCTF 是最好的安全人才赛吗？

不一定，但是从 Pwn2Own 转战 WCTF，我们看到了 360 以及 MJ 的新思路。

回到最开始的问题，时间改变了什么？时间不仅改变了 MJ 的发型，改变了形势，改变了思路，最妙的是，它还有无限可能等待中国网安人才探索。

敬请期待。

-----招聘好基友的分割线-----

招聘岗位：

网络安全编辑（采编岗）

工作内容：

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等；

采访国内外网络安全研究人员，撰写原创报道，输出领域的深度观点；

针对不同发布渠道，策划不同类型选题；

参与打理宅客频道微信公众号等。

岗位要求：

对网络安全有兴趣，有相关知识储备或从业经历更佳；

科技媒体1-2年从业经验；

有独立采编和撰写原创报道的能力；

加分项：网感好，擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是：

与国内外网络安全领域顶尖安全大牛聊人生的机会；

国内出差可能不新鲜了，我们还可以硅谷轮岗、国外出差（+顺便玩耍）；

你将体验各种前沿黑科技，掌握一手行业新闻、大小公司动向，甚至是黑客大大们的独家秘闻；

老司机编辑手把手带；

以及与你的能力相匹配的薪水。

坐标北京，简历投递至：liqin@leiphone.com

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 薅羊毛 | 黑客武器库| 威胁猎人 剁手赚钱 | 0Day攻击 | 暗黑女主播 踩雷 |嗑药坐牢重归正途 | 内鬼 脑内植入 真相篇 ▼ 拼多多将追回“薅羊毛”订单，包括已充话费和Q币订单 75条笑死人的知乎神回复，用60行代码就爬完了 不剁手也吃土？可能是挖矿木马掏空你的钱包 游戏黑产：我还在空中跳伞，就被人用拳头远程打死 都8012年了，英国卫生部门居然还在为“擦屁股” 与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？ 扎心！Tumblr推AI鉴黄计划夺老司机“珍爱” 我报了个税，隐私就被扒光了？ 黑客骗局：Ins网红落难记 人物篇 ▼ 专访：“蹲坑神器”与它背后男人们不得不说的故事 磨刀人王伟：我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”｜专访 数字联盟刘晶晶：四年只做一个产品 长亭科技陈宇森：我打破的四个质疑 薛锋：我眼中的威胁情报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟：怼死“空气币” 李均：我眼中的黑客精神 风宁：自由追风者 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注