HITCON網路攻防搶旗賽結果出爐，韓國隊連續三年奪得HITCON CTF冠軍

舉辦為期兩天的HITCON CTF搶旗攻防賽決賽的比賽結果出爐，雖然天才駭客Lokihardt因為工作沒有參賽，但是，由韓國隊組成的Cykorkinesis則是連續第三年贏得冠軍資格，第二名則是來自俄羅斯的LC↯BC團隊，也是去年HITCON CTF的亞軍；第三名則是來自德國，首度參加HITCON CTF的Eat Sleep Pwn Repeat團隊。

HITCON CTF領隊李倫銓表示，連續三年獲得冠軍的韓國隊，在這次比賽中拿下了三個服務的First Blood，這也證明韓國對應用程式漏洞分析能力和逆向工程能力很強，過去有計畫的培訓資安菁英人才已經開始展現成效。

另外，為了鼓勵傳承資安經驗，在三隊參賽的的臺灣隊伍中，由兩名臺大資工碩二學生與兩名臺大資工大三學生組成Balsn，則是三隊中比賽成績最佳的隊伍，也獲得臺灣之星（HITCON Taiwan STAR）的榮耀。

這次的CTF比賽創新型態，首度加入了臺灣小吃等文化意涵，讓這次參賽的14隊駭客團隊印象深刻。參賽隊伍普遍認為，這次HITCON CTF的題目出的很有水準，也大為讚賞「Capture the Food」的比賽創意，甚至有連續第三年來臺灣參賽、美國加州聖塔芭芭拉大學組成的Shellphish，該隊隊長資工系博士生Chris Salls認同，飢餓感是很好的解題動能，但他對於沒有順利解開小籠包題目，而錯失這道臺灣美食感到相當懊惱。

HITCON戰隊CTF題目，兼具趣味與深度

這次HITCON CTF題目維持過往參賽隊伍要挖掘五個服務的漏洞，也必須同時做好各自隊伍的相關防禦，以避免被其他隊伍找到漏洞攻陷。因為CTF比賽搭配臺灣美食，第一天十點正式開賽後，出題團隊也費盡巧思，怎麼讓各隊可以解開服務卻又不是放水，讓各隊可以在第一天中午有美食可以吃。

李倫銓表示，出題團隊設計了一個Web題目，剛開始由出題方提供防火牆防護每隊的服務，但這個主辦方的防火牆在十一點鐘就會準時下線。所以，每一個參賽隊伍都必須要在十一點前，寫好防禦程式去防禦其他隊伍的攻擊，但是，要寫出好的防禦程式其實很難，加上這次大家都可以看到其他隊伍的防禦程式，寫的不好就會被其他隊伍繞過防禦、遭到猛烈的攻擊，攻防相當激烈。來自日本的Tokyo Westerns，在準時十一點時發動攻擊得分，取得First Blood，也是第一隊拿到牛肉麵和珍珠奶茶的上菜菜單，可以順利吃到午餐。

其中，在14個隊伍中，有7個隊伍沒有解開的小籠包題目，其實是一個SECCOMP Tools的題目。由中國騰訊科恩實驗室組成的eee團隊，該隊隊長謝天憶表示，這個題目的解法並不是他們自己想出來的，反而是他們在觀察其他隊伍的攻擊流量中，看到一些從Side Channel洩漏的關鍵資訊，才知道怎麼解題。謝天憶認為，該團隊過往擅長Pwn的攻防路線，但這次則透過參加CTF解題，還可以學到不一樣的駭客思路，是參賽帶來很大的收穫。

臺灣新生代參賽隊伍，普遍缺乏CTF攻防實戰經驗

不管是臺大二名資工系碩二生、二名資工系大三生組成的Balsn，或者是四名中央資工系大三生組成的DoubleSigma，或者是交大資安社團BambooFox成員組成的隊伍，現場參與比賽所面臨的共通困難點都是「缺乏實際參加攻防競賽的經驗」。

DoubleSigma隊長、資工系大三生張元表示，團隊成員都是第一次參加這樣的攻防比賽，第一天其實搞不太清楚到底要怎麼一邊防禦還可以一邊攻擊，隊員之間如何分工、如何溝通都需要時間慢慢摸索，是到第二天比賽才真正進入比賽狀況。

Balsn隊長、臺大資工系碩二生陳威甯則指出，因為沒有這樣的經驗，第一天比賽時，搞不清楚狀況就用了不能使用的工具，後來是主辦單位立即協助修正，才可以繼續比賽。

BambooFox隊長、電機資訊學士班大三生趙偉捷認為，模擬解題和實際比賽時有極大不同，面對比賽的時間壓力下，要能夠快速學會看封包流量，是到現場才學得到的經驗。

國家安全會議諮詢委員李德財表示，感謝並肯定HITCON團隊過去一直以來，持續舉辦各種資安議題講座、資安論壇以及讀書會等，讓HITCON CTF成為國際重要的競賽，這一切種種，都彰顯HITCON團隊花了很大的心力，希望可以持續培養臺灣新生代的資安人才。