IT業界資訊媒體

【獨家專訪】著名 CTF 戰隊 PPP 的成員 Andrew Wesie

網絡保安行業是很講技術及知識的行業,這些技術知識除可從課本學得到,最佳途徑之一,是參加 CTF 比賽。「CTF 奪旗賽是其中一種黑客比賽,還有 Pwn2OwnHack to Win 之類,某些 Bug Bounty Program 亦有比賽成份。這些比賽的共通之處都是尋找軟件漏洞,以及攻擊那些漏洞。」Andrew Wesie 是著名 CTF 戰隊 PPP 的成員,比賽經驗豐富,更對 CTF 的發展非常著緊。

矢志改革 CTF

Andrew 畢業於 Carnegie Mellon University2009 年加入著名的 CTF 團隊 Plaid Parliament of PwningPPP),隨著團隊在世界各地參賽,深明 CTF 有改進空間。「我認為 CTF 有不少地方可以改進,所以想聯繫各類黑客比賽,將不同元素加入到 CTF 之中,令 CTF 更豐富。」CTF 的優點是於設計好的環境之下比賽,參與者毋須對真實軟件進行攻擊。但同時也被人質疑對真實世界沒有建設性。最近 Andrew 到處出席講座如早前的 BeVX Conference,與各界討論如何改革 CTF

CTF 的重點在學習

「其實 CTF 也可以如 Hack to Win 那樣幫助真實產品提升安全度,這樣也可以令獎金增多,令比賽更吸引,可以更有建設性,同時又保持它的教育意義。」Hack to Win 的形式是各團隊鬥快攻入目標如某個真實程式,或找出其零日漏洞,很多時有贊助商支持,獎金可觀。而 CTF 不同,獎金未必很高。Andrew 認為 CTF 的價值其實在於技術知識的成長:「CTF 是進入網絡安全世界的一道門,可以學習到大量技術,對個人的成長有莫大益處,而比賽本身很有挑戰性。」

【獨家專訪】著名 CTF 戰隊 PPP 的成員 Andrew Wesie
Andrew Wesie, security researcher, Theori
參加比賽有利就業

Andrew 自己就是 CTF 的受惠者,從比賽中學習到大量技術,畢業後,與另一位 PPP 隊友合組公司 Theori,主要做研究、滲透測試等網絡安仕顧問工作。「參與過以及勝出過 CTF 比賽會到將會的工作很有幫助的,不少 CTF 高手都在大公司工作。」因為有工作在身,所以也減少參加比賽,一年只能參加了三、四次,現在花更多心力推動 CTF 文化,確是有心人。

韓國及中國水平高

參加 CTF 的另一個好處,是可以認識世界各地高手,Andrew 對亞洲地區的精英評價甚高。「韓國及中國隊的技術水平非常高。以我所知,韓國及中國在這方面有很好的培訓計劃,因此,也可以想像未來會產出不少韓國及中國頂尖的人才。」無論 CTF 將來會否再進化,這項比賽絕對是業界生態健康的重要一環,是培訓人才的重要土壤,大家務必全力支持!