美國時間7月30日下午,全球駭客競賽DEF CON CTF(搶旗攻防賽)的2017年度總決賽成績出爐了,臺灣代表隊HITCON奪下了第二名的好成績。這群臺灣駭客高手,不是國家派出去的代表隊,而是來自民間駭客社群、資安社群和學校老師們的支持和培訓,年年從地方種子賽事出線,連續四年取得美國DEF CON CTF決賽資格,在今年則再度奪下世界第二名,非常不容易。

這個在二十多年前只是資安圈高手較勁、競技的競賽,現在則成了各國展現資安實力的國際性舞臺,競賽內容和比賽隊伍,屢屢成為資安界話題、媒體焦點。韓國甚至以政府資源發起BoB資安人才培育計畫,要培養萬名駭客高手,以取得DEF CON CTF冠軍為目標,今年更有4組韓國代表隊進入總決賽。

去年甚至美國國防部國防高等研究計畫署(DARPA)出資,舉辦了人機漏洞攻防大戰(Cyber Grand Challenge),選出了最強駭客機器人程式,來和14隊真人駭客團隊對決,這也是世界首次的人機駭客競賽。

美國國防部DARPA推出這項CGC挑戰賽的意義,是因為漏洞出現的速度越來越快,只靠人類找漏洞的速度,根本追不上軟體發現漏洞的腳步。美國國防部希望鼓勵資安圈,發展出一套能自動尋找漏洞、自動修補漏洞的系統,而去年的駭客世界大戰,就是機器人駭客的實戰訓練場。真人與機器人對決,所幸,最終結果是機器人駭客大敗,連前三名都沒有。

去年世界駭客大戰引進了機器人駭客,不只是一場比賽,更反映了AI技術、自動化Bot程式在資安領域的實用性價值。去年下旬開始,許多資安廠商也紛紛在自家產品加入AI技術,將AI技術放入上市產品中,成為即時預警和偵測的重要技術之一。

那麼,今年呢?今年的DEF CON CTF所用的技術,又能帶來哪些啟發呢?去年眾駭客們的競爭對手是機器人,今年的比賽難度不相上下,甚至可說是挑戰更大。

直到開賽前24小時,主辦單位才正式公開了這次世界駭客大賽的新挑戰:9位元異世界。主辦單位設計了一個全新的CPU架構和指令集cLEMENCy,增加了多項顛覆現有電腦運作規則的新設計,例如重新定義了1個Byte是9個bit的全新電腦運算規則(9-bit Bytes),而不是開發者熟悉的8位元。不只如此,像是記憶體儲存資料的規則也有所改變,改成尾數居中儲存規則(Middle Endian),例如0x123456,一般在記憶體儲存數值的方式,可能會按分3組按正序儲存12 34 56或是反序儲存56 34 12,但是主辦單位的尾數居中規則,則是將記憶體中的數值儲存為34 56 12。

這些新規則的挑戰之大,等於是讓所有以8位元世界設計的軟體、駭客工具都無法使用。參賽隊伍只有24小時,得重新修改和設計所有攻防工具。不只是考驗參賽駭客們的程式設計功力,或是資安攻防能力,還考驗他們對CPU運作原理和OS層核心知識的了解深度。

奪下第二名的臺灣代表隊HITCON,打敗了來自中國、韓國、以色列、德國、匈牙利、俄羅斯以及兩組歐洲聯隊等其他國家的駭客戰隊,展現了臺灣資安人才的世界級實力,也讓世界看到臺灣的資安實力。

各國駭客戰隊紛紛發出豪語,今年12月臺灣地區種子賽事時,也將來臺較勁,全球駭客們想和臺灣高手切磋,臺北HITCON CTF競賽成了世界資安舞臺之一,臺灣也因資安而獲得了國際能見度。這個第二名不只是這群資安駭客的榮耀,更是臺灣的一大成就。

 相關報導  臺灣超中趕韓,HITCON CTF戰隊再度獲得DEF CON CTF比賽第二名

作者簡介


Advertisement

更多 iThome相關內容