过去七八年的大多数晚上,清华大学信息科学技术大楼(FIT)的213室都灯火通明,这里是很多清华学生眼中最能熬夜的实验室。每天晚上,十几个年轻人就拥挤在这个100多平方米的房间中,一边忍受着疲劳困倦,一边不断建立和巩固着他们在白帽黑客界的地位。

在黑客界,这些人被称为学术型白帽黑客,他们活跃在学术界——大多是名校教师或者学生,同时又痴迷黑客技术——他们中的大多数人都对前沿的攻防技术如数家珍。对他们来说,网络攻防和网络游戏之间并无二致,这不过前者需要更多的技术功底和学术钻研。

年过不惑的段海新是这个名为“蓝莲花”的网络安全战队的创始人。过去几年,这是中国网络安全领域最出位的学生社团。在一个以参加网络安全竞赛而闻名的高手圈——一个接近100人的圈子中,蓝莲花战绩最为出色也最为稳定,代表着中国学生社团的最高水平。

2016年,他们在拉斯维加斯举行的DEFCON上获得亚军,这是中国队伍在该项赛事上的最好成绩;在那之前的两年和随后的2017年,他们还获得了三次第五名。对于一个七年前才知道网络安全比赛,五年前才组队冲击DEFCON的团队来说,这是一个非常了不起的成绩。

这也是段海新一次尝试。他认为课堂教学永远无法满足学生,没有办法帮助他们面对错综复杂的现实世界,他因此强调“以赛代练”——把和顶级战队的对抗视为一种荣誉和课堂教学的补充,“这能帮助学生成长”。战队的命名则代表了他根深蒂固的极客思想,“许巍《蓝莲花》中那句‘没有什么能够阻挡,你对自由的向往’最能代表突破技术边界的极客精神”。

2017年上半年,中国境内被篡改的网站超过3500个,被植入后门的网站则接近5000个。国内权威机构估计,我国网络安全人才的缺口最多可以达到140万人。由于网络安全维护不只涉及技术问题,还涉及管理学、心理学和社会工程学,培养合适的技术人才并不容易。

以赛代练似乎部分上解决了这个问题。现在,团队中的每个人都能熟练掌握几项重要的技能,都能知道在复杂的环境中如何和队友配合,都能知道怎样面对从网络到工业设施上不同的工作环境,蓝莲花的队长——段海新的博士研究生杨坤几乎是同时代最优秀的中国选手,他在上学期间创立的长亭科技已经成为国内最好的网络安全初创企业,段海新希望实现的所有目的几乎悉数实现。

《环球财经》:我们知道您领导的蓝莲花团队是最早开始参加国际网络安全竞赛的团队,这在当时那样的环境下是一个很大胆的举动。那么,您当时经历了怎样的考虑才做出了这个决策?

段海新:这要从我的个人工作经历说起。毕业留校后,我就开始参与清华大学校园网、中国教育和科研网的安全管理和应急响应工作。现在,我领导的清华大学网络空间安全实验室也一直在承担清华校园网的渗透测试。这项工作的本质就是模拟黑客,从校园网内外的不同位置发起攻击,通过攻防状况评估网络运行情况。所以,我从最开始就是学术型白帽黑客。

说起互联网,我觉得我应该是中国最早接触互联网的一批人。1987年,中国第一封电子邮件发送出国后不久,我就接触到了互联网。当然,我的兴趣点在于互联网技术本身,而不是互联网巨大的商业前景和应用空间。正是这么长时间接触互联网的经历,让我感觉到,我们的网络安全状况真的很糟糕,我们确实非常需要培养出最优秀的人才来维护网络安全。

就拿清华大学来说,清华大学有全中国最大而且结构最复杂的校园网,还是中国教育和科研计算机网络的根服务器所在地吗,而且在十多年前就已经和其他几个高校一起建成了全世界规模最大的纯IPV6网络,这里的技术足够先进,创新足够活跃,但这里真的安全吗?

答案显然是否定的。清华大学的校园网涉及几万台计算机,还有大量的网站和服务器。很多学生都会在上学期间建设自己的服务器或者开办一个自己的网站,这在很多时候都是他们功课的一部分。但等到他们毕业,很多服务器就被随便废弃在实验室里,这些设备缺少监管和照看,想要对其发起网络攻击非常简单。所以,清华大学的网络安全状况也没那么好。

可以说,正是这些经历让我意识到,我必须想办法让学生跳出书本去面对实际问题。

 

《环球财经》:我们都知道理论和现实会有很大出入。在功课教学中,这一点很突出吗?

段海新:理论学习和实战还是有非常大的不同。在网络安全里面,技术的更新非常迅速,理论总结严重滞后。所以,很多漏洞的发现和利用都是源自网络安全人员对软件手册的阅读,要等到理论材料出现的时候,可能这些技术、理论和方法都过时了,基本没什么参考价值。

而且,只有实战才能让大家意识到团队合作在技术中的价值。我们总以为技术天才可以凭借一己之力达成非常大的目标,但其实不是这样的。现代知识体系如此庞杂,进步又如此迅速,单凭个人能力根本做不到想象中的那样。理想的情况是,一个团队中的所有队员都要掌握逆向分析、二进制程序和常见的安全技能,但每个人又必须有所侧重,此外同时还必须有成员擅长逆向分析,只有这样才能加深对程序逻辑的理解,这也有助于尽快发现潜在漏洞。

可以说,每个从事网络安全工作的人都知道实战对于技术学习的重要性,但是很少有学校可以真正组织学生参与实战,这有两个方面的原因。首先,尽管很多理论、策略和技术只有在实战中才能学习到,但黑客行为在任何国家都是违法的,学生们接触实战的机会非常有限;其次,很多授课教师受到传统思想的束缚,一般不会训练学生的网络攻击和防御能力。

我也一直在寻找机会提升学生在这些方面的能力。直到2010年,我的同学李康当时已经获得了乔治亚理工大学的教授,他告诉我说美国很多大学和公司都会组队参加一些网上的攻防比赛,这些比赛的门槛很低,但很多比赛的题目水平很高,这些题目既有单纯的答题,也有高水平队伍之间的攻防。但是当时,还没有中国团队参赛,李康就建议清华大学参赛。

我后来研究过以后也发现,这些合法的网络对战环境对网络安全知识的学习非常重要。而且,国际比赛更注重模拟真实的网络环境,例如软件漏洞的发现、利用和修补能力,这是对理论学习的巨大补充,对学生的成长很有价值,我马上就决定组队代表清华大学参赛。

 

《环球财经》:参赛的经历怎么样?有没有超出你们预期的难度?

段海新:我们第一次参赛是加州大学圣塔芭芭拉分校组织的iCTF,这是一场完全在网络上进行的夺旗赛(Capture The Flag,简称CTF),也就是不同队伍之间展开网络攻防来争取分数,分数最高的队伍就能获得最后的冠军。结果,我和学生们通宵苦战后也只在73个队伍中排到第39名,这是一个非常糟糕的成绩,因为顶级选手根本没参加这个比赛。我们对规则不熟悉,对很多题目太陌生,一接触实战马上就发现我们和顶尖水平之间有巨大差距。

但收获是,我们发现只要进行针对性的训练,并补足短板,应该还是可以迅速提高成绩的。果然,到了第二次参赛的时候,我们就进步到了第23名。当时我就觉得,我们要冲击一下全世界最高难度的学术型白帽黑客赛事,也就是每年在拉斯维加斯举行的DEFCON。

DEFCON的总决赛很有意思,它有一个类似世界杯那样的赛制。每年5月,全世界所有对网络安全感兴趣的人都可以自由组队参加线上答题赛,在这个类似于世界杯预选赛的资格赛之后,积分最高的队伍和分站赛冠军会进入到拉斯维加斯的决赛。决赛中,每支队伍可以有八名队员进入赛场,其他人可以在场外或酒店远程支招——他们类似足球队的替补。

这个比赛难度就大了。我们第一次根本没有通过资格赛,第二次和第三次进入了资格赛成绩也还算可以。直到2016年,我们和上海交通大学的团队组建了联队,才终于夺得了比赛的第二名;但2017年,我们自行组队参加就再次获得了第五名,可想竞争还是很激烈的。

 

《环球财经》:对于您的初衷——也就是对于工科人才的培养来说,您有没有评估过效果?

段海新:我觉得效果非常明显。当然,这是有前提的,那就是学生必须多参加高水平的比赛。我们现在的队员,一般一个人都会每个月参加两到三场的比赛,其中还必须有一场是以团队形式参加的。这样,他们就总能接触到很乖很难的题目,总能不断接触到最前沿的技术。

最顶级的比赛上,不要说赢得冠军,就算只想输的不难看,学生也必须掌握基本的分析工具,必须不断阅读各种软件说明,必须学会从冗长晦涩的代码中寻找漏洞,必须持续跟踪不断更新的漏洞公告——很多漏洞的价值对比赛来说并不持久,但遗漏就意味着基础不牢。

要打好比赛就要做得更细致,过去的题目、记下的解题思路和写成的软件脚本是初入这行的年轻人最主要的培训材料。即便随着时间推移和技术进步,很多文档都已经不大适合接下来的比赛,但它们代表了曾经的技术前沿,还深藏着很多永远不会过时的攻防技巧和技术的运用逻辑。真的做多了你就会发现,不只比赛,连准备过程很多时候也能让人学到很多。

通过比赛,你还会发现,很多理论上别的比赛策略到了紧张的环境下根本就没有用武之地。例如,理论上来说,我们应该按照从简单到复杂的顺序利用发现的漏洞,但我们根本不可能这样做,因为只要你等,机会就会流失,你必须在发现漏洞的第一时间就发起进攻。要不是参加比赛,我们根本意识不到中国学生的底层代码分析能力和开发能力有多么薄弱。

更重要的是,这些短板都必须靠学生自己的动力去弥补。老师们教不了那么多,我们每个人都有自己的技术短板,他们不能指望从课堂上获得一切。其实,只有小学生才会要求老师要掌握自己希望掌握的所有东西。所以,最好的办法就是比赛,通过比赛,你就能发现自己的不足,就能看到这些不足会对比赛的成绩产生什么样的影响,就能意识到必须持续学习。

而且,这个过程是对人的体力和精力的残酷挑战。三天的比赛过程中,参赛选手们几乎没有机会睡觉,必须不断分析比赛数据了解各方情况,必须不断开发工具利用找到的漏洞。只要你想休息一下,你就失去了赢得冠军甚至好的比赛成绩的机会。所以,我有时候觉得这比赛真是吃的青春饭,我这个年龄的技术人员根本应付不了这样高强度的比赛,太艰苦了。

当然,这么做的效果也是非常明显的。这批学生离开学校之后都是非常好的网络安全人才,几个博士生在大学阶段成立的公司甚至已经是网络安全行业里比较著名的初创公司,在校生也开始有选择地参加比赛,大家也发现其实不是所有比赛都有参加的价值,这就是进步。

 

 《环球财经》:我们知道,DEFCON的比赛对于不同的国家都有不同的意义,两大主力韩国和美国都有不同的参赛策略。与他们相比,蓝莲花和所有中国团队都似乎过于松散了,您有没有担心这会影响到比赛的成绩?如果有,您是否有考虑过对组织的形式做出一定的修改?

段海新:从全球看,做优秀的团队还是卡内基梅隆大学的Plaid Parliament of Pwning。美国的计算机水平本来就是全球最高,这支队伍里还有两个全球顶尖黑客,很多成员也是身经百战的安全公司员工,再加上几个学生精英,其优势之巨大几乎令人望尘莫及。2013年、2014年、2016年和2017年,这支队伍都以极大优势赢得了冠军,他们是明星中的明星。

韩国是另一个重要对手,韩国在所有安全领域都是“举国体制”的拥趸。2012年,韩国政府启动Best of the Best计划,宣布以无上限的经费培养超过100名年轻信息安全参赛者。同时,政府不但强制要求企业定期进行渗透测试,还规定黑客竞赛获胜可抵高考成绩,信息安全公司雇员甚至能免服兵役。重赏之下必有勇夫,韩国队伍2015年也拿到过总冠军。

但我们不想这样做。对于我来说,参加比赛的价值完全是为了弥补课堂教学的不足。我只是想让他们知道,通过比赛可以更快进步。但这些学生都有自己的学术理想和职业追求,打比赛不应该成为他们生活的最终目标和全部内容,冠军对他们来说没有那么大的意义。

我自己也是一样。我有自己的科研规划,我现在就在研究网络黑产,我希望可以用技术手段帮助国家遏制黄赌毒这样的东西借助网络进行蔓延的现象。对我来说,打比赛就更不是生活的全部了。其实,从蓝莲花参加DEFCON开始,团队的领队就是我的同事诸葛建伟了。

那我们想不想夺冠呢?当然想,参加比赛的人都想赢得冠军。但是我们的方法不是通过高强度的训练,而是通过培养出足够多的优秀人人,从中再选择出最优秀的人来参加比赛。所以,重要的是中国网络安全人才的培养,谁夺得最后的冠军并不是那么重要的事情。

我们也是这么做的。诸葛建伟老师是XCTF联赛的发起人和最主要操盘手,这个但是已经是国内顶级夺旗赛,国内目前最主要的安全团队——不论是网络安全团队还是工业安全团队都参与了这个赛事。去年,这个赛事吸引到了六万多名参赛选手,这些人就是希望。

【订阅】

价格:

20元/本,240元/年(未含快递费);每本快递费8元。

致电:

010-57100199,18210556783
留言:公众号或文章评论留言均可

邮发代号:82-235

请对《访段海新:以赛代练是最好的教育方式》进行评论