成「黑」之路 ─ Capture The Flag 奪旗賽(一)

我是資訊安全從業員,不少人問我是不是「黑客」? 如何成為「黑客」?「黑客」是不是電腦天才? 是不是常常打電腦遊戲?

「黑客」不是「蝦蟹」
我既是「黑客」,又不是你們所說的「黑客」。因為大部份的資訊安全從業員都懂得「黑客」的技術,並以此為系統制定防範「黑客」入侵的方案和架構,有些公司亦會聘用我們去測試他們系統。我們的任務是對抗和防範「黑客」入侵,被尊稱為 Ethical Hacker(良心黑客,不是某局長說的「蝦蟹」),以與一般「黑客」有所分別。

如何成為「黑客」?
資訊安全是非常新的領域,以前沒有正統的學習和訓練渠道去做「黑客」,去年台灣和南韓的大學已經開辦「黑客」大學本科課程,而國內的「黑客」課程都是由解放軍的電子戰爭部隊負責;在香港,9 間大學的本科課程都沒有涵蓋資訊安全,柴灣 VTC 已開辦了 2 年的資訊安全文憑課程,畢業生為各大電腦公司、顧問公司爭相應聘。

「黑客」課程
EC-Council 是全球第一間開辦「黑客」課程的機構,已有 10 多年歷史,他們的 Certified Ethical Hacker(CEH)已經到了第 10 版。新加入的 Offensive Security 的「黑客」相關課程是比較實戰的,入門版的 Offensive Security Certified Professional(OSCP)要通過一個 24 小時的網上考試,課程內容包含了 60 個關卡,每個關卡需要用不同「黑客」技術去通過 。

CTF 奪旗賽
其實,如果想成為一個「良心黑客」又不想投資太多,可以試試參加 CTF(Capture The Flag)比賽,中文一般譯作「奪旗賽」。CTF 是網絡安全技術人員之間的技術競技,以奪旗數目(分數)多少作為比賽評分,有些 CTF 比賽更有獎金。參加 CTF,既可作為「黑客」技術訓練,也可作為電腦遊戲,更可以拿獎金,一舉三得。在互聯網,幾乎每天都有由不同主辦單位舉辦的 CTF 奪旗賽。

本地的 CTF
本地舉辦的 CTF 奪旗賽不多,香港應用科學院(ASTRI)去年舉辦過一次大專杯 CTF 競賽,今年再沒有舉辦。上月,本地的 VXCon CTF 邀請了香港不同大專院校共 8 支隊伍參加,30 小時不間斷競賽,包括網絡、密碼學、逆向工程、電腦法證學等題目,結果,由中文大學的「g33z」隊伍獲團隊獎第一名,勇奪港幣 16,384 獎金。

CTF 起源於何處?哪個比賽有最多獎金?比賽榜冠軍是誰?為何中國政府禁止中國公民到國外加 參加 CTF 比賽 ?為何 CTF 的隊長是最重要人物?年齡最小的 CTF 隊長有多大?香港有沒有 CTF 課程可報讀?

欲知後事如何,請看下一回的成「黑」之路 ─ Capture The Flag 奪旗賽(二)