【資安周報第1期】一場好的資安國際競賽，將對臺灣帶來善的循環

臺灣駭客年會（HITCON）協同工業局首度舉辦HITCON CTF決賽日前已經順利落幕，由韓國隊Cykorkinesis獲得冠軍，第二名為中國隊藍蓮花（Blue Lotus），第三名則是俄羅斯聯隊LC↯BC。此次由臺灣首度舉辦這種國際賽事，並成為2016年DEF CON CTF決賽的第一場種子賽事，為了培養臺灣更多的資安人才，也以舉辦臺灣內部種子賽事的方式，由臺交網路攻防賽冠軍( CTCTF 2015 )：<(_ _)> shik，與資安課程AIS3 CTF( AIS3 CTF )冠軍隊伍：BambooFox-DSNS，一同入圍與國際高手競技。

對於臺灣舉辦CTF比賽而言，除了看到參賽的國際團隊，肯定HITCON在出題表現上，讓人印象深刻外，但是在臺灣內部的資安圈，的確聽到一些不一樣的聲音，認為臺灣不應該花費這麼多資源舉辦這樣的國際競賽，甚至於，有些人認為，政府推動資安卻將政府資源都放在CTF比賽，就可能排擠其他的資安資源分配。

相較於韓國傾全國之力培養資安攻防高手讓許多資安圈人士羨慕外，也可以證明，臺灣或許因為資源有限，對於要將有限的資安資源，如何妥善分配而感到不安。

如何有效分配政府資安資源的確是一大學問。但事實上，政府目前正在制定資安管理法的草案，就希望能夠透過法律的規範、提供法源依據，讓包括政府部門與一些民間企業在內，對於資安的預算、人力等資源分配可以更為明確化，讓資源不足不會成為沒有落實資安的藉口。

像是韓國，便強制韓國企業必須定期做滲透測試，也造就5千萬名人口的韓國，卻有超過200間以上的資安公司。而法規遵循的效果，也可望擴大臺灣的資安市場與投入的資源，「當資安的餅可以做大，這些預計投入在CTF競賽上的資源，就只是其中的一小部分而已，不致於被過度放大。」

舉辦資安國際競賽帶來的好處

那舉辦HITCON CTF決賽除了對於少數得名隊伍有幫助外，究竟有什麼好處呢？

首先，CTF競賽是一種全方位的資安總合能力的展現，除了攻防能力外，參賽者也得了解密碼學、各種程式語言、逆向工程，對於如何在各個Web服務找漏洞也必須很熟悉，也可以說，CTF競賽是一種多元資安能力的綜合考驗，如果可以在相關的競賽獲得好成績，也意味著參賽者在各種資安能力上是相對完整的。而舉辦一場好的資安國際競賽，對於資安人才而言，就是一個最好的競技舞臺，透過各種考題檢視自身能力的優勢與劣勢。當然，資安國際攻防競賽的獲勝，不等於資安國力的強大，只是證明該國有足夠優秀的資安人才而已。

其次，CTF比賽有助於改善駭客污名化。由於有越來越多的服務都公開在網路上，一旦服務有任何失常甚至當機，服務提供者最常將所有的過錯推到「駭客攻擊」身上，其實，許多明眼人都知道，很多服務提供者宣稱遭到駭客攻擊，往往只是作為他們某個服務失靈的藉口而已。

這些CTF比賽的參賽者，都是所謂的白帽駭客，對於網路攻防上，都有嚴格的道德、法律及合約的限制。當CTF比賽的名號越來越響亮，許多參賽團隊在國際上也能有好的表現時，可以讓更多民眾意識到，駭客也有分好人和壞人，臺灣有許多能力好的白帽駭客們，正積極努力培養自己的技能，除了可以幫臺灣在國際比賽上爭光外，未來也將成為國內資安產業重要的生力軍。

當然，天才駭客這樣的名稱不能隨便亂用，從網路上模仿其他人使用瀏覽器檢視原始碼的方式而找到一些服務漏洞，頂多稱之為Script kids（指令碼小孩），根據教育部全民資安素養網的解釋就是：「指令碼小孩是指那些完全沒有或僅有一點點駭客技巧，對於系統、網路、程式知識都很匱乏，只是按照指示或執行某種駭客程式來達到破解目的的人。」

臺灣有不少對資安有興趣的年輕人，對於系統網路並不了解，只是因為從網路上學習一些駭客破解技巧而媒體封為天才駭客，對當這樣的Script Kids卻成為臺灣媒體捧上天的天才駭客稱號時，反而會讓民眾對駭客攻防產生更多負面印象，甚至引發其他對資安有興趣的年輕人模仿，形成負面教材。

事實上，全球的確有一些才華洋溢的天才駭客，年紀輕輕就在不同的領域上，有驚人的表現而獲得全球認可，不論是在20歲就成為全球第一個破解iPhone 3GS並提供破解軟體「紫雨 purplera1n」，讓iPhone可以使用AT&T電信公司以外的電信服務的GeoHot，或者是在2015年3月的Pwn2Own比賽中，第一個通殺微軟IE、Google的Chrome和蘋果Safari等三大瀏覽器的零時差漏洞而揚名全球的23歲天才駭客Lokihardt。事實上，這種從無到有，突破各家軟體公司的保護而找到系統的漏洞，才可謂之為天才，而臺灣媒體對於天才駭客的稱號的濫用，卻也印證多數媒體對於駭客與網路攻防理解上的匱乏與鴻溝。

最後，從HITCON CTF現場比賽的導覽中可以發現，有許多在學的學生對於這樣的攻防具有濃厚的興趣，舉辦一場好的CTF國際比賽，可以讓更多人對於資安攻防有正確的認知外，可以吸引更多對資安有興趣的年青人，願意投入這樣的資安領域，形成一個正面且善的循環。

資安原本就是一場無止盡的持久戰，再多的資源都嫌不夠的情況下，把資安的餅做大，吸引更多優秀人才願意投入資安領域，讓大家對於駭客有正面的認識，至少，就是舉辦一場夠水準國際資安攻防競賽帶來的立即好處。

本週重要資安事件回顧：

※廉航香草航空官網驗證出包21天，旅客個資恐被看光光

※線上遊戲直播平臺Steam每個月有7.7萬個帳號被盜

※宣稱找到比特幣發明者本尊，因比特幣加密特性可用於網路犯罪受人關注

※芭比娃娃可以連網，小孩和親子對話與隱私都可因此外洩

※2016年1月12日後，微軟IE 11以下的瀏覽器都將停止安全更新與技術支援