交大資工所博士生陳仲寬不僅是CTF參賽者,也是交大CTF團隊BambooFox的培訓推手。(圖片來源/iThome)

隨著臺灣HITCON團隊陸續在一些國際CTF競賽中取得好成績,這樣的比賽風氣,也在臺大、交大等學校醞釀發酵。HITCON團隊成員從2014年獲得DEF CON CTF第二名回臺後,陸續在臺大、交大進行培訓課程,也吸引一些對於資安有興趣的學生,開始組隊參加國際CTF比賽。

這次在臺舉辦的HITCON CTF決賽,除了參與出題的部分臺大、交大成員外,也保留2隊種子隊的機會,讓臺灣團隊有機會跟世界頂尖一流的資安高手對戰。其中,以臺交駭客攻防賽冠軍隊伍:<(_ _)> shik身分,參加HITCON CTF決賽的交大資工所博士生陳仲寬,不僅是交大DSNS Lab(網路安全實驗室)助教,也協助培訓由交大對資安有興趣的學生組成的BambooFox(竹狐)團隊。

他認為,不論是CTF的初賽或決賽,都是挑戰體力和腦力極限的比賽,經常要花2天2夜或3天3夜才能完成比賽,參賽者往往睡也睡不好。但陳仲寬對參加比賽的辛苦卻甘之如飴,不僅自己積極參加、也鼓勵或帶隊參加各種CTF比賽,他表示,不論是個人參與比賽或帶其他學生參賽,每次都能有新的學習才是最重要的,名次反而不重要。

從參加CTF比賽中,學習最新資安攻防技巧

陳仲寬表示,資安技術進步快,各種新系統、新技術都會面臨資安問題,加上新的攻防手段持續推陳出新,然而,學校授課以理論為主,缺乏實務經驗,根本不足以跟上這麼快速的資安技術演進。因此,他說:「CTF反而變成一個練習並跟上新技術好的練習平臺。」他表示,透過每次比賽的磨練,在時間的壓力下,每一次都有大幅度的學習和成長,各種資安技術能力和工具使用熟練度,也有長足的進步。

陳仲寬參加過多次CTF初賽,包括趨勢科技在日本東京舉辦的趨勢科技CTF決賽,陳仲寬表示,CTF的出題者,都會將一些新出現的資安技術,簡化並呈現在題目中,也會使用一些比較新穎的技術平臺。透過參加CTF比賽,就可以了解出題的資安專家們到底在乎哪些新的議題和技術。

此外,參加CTF比賽也可以加強對各種資安工具的熟練度,例如:Debugger、Instrumentation或是VM等技術。他綜合多次比賽的經驗,包括竹狐在內的臺灣團隊和世界級的隊伍,發現最大的差異是在技術的熟練度上。他表示,當別隊操作速度比臺灣隊伍快上數倍,這些隊伍就可以在比賽期間,嘗試更多種其他可能的解法,也更有機會找出答案。「同樣的狀況也會發生在研究工作上,當你能操作比別人快,便能嘗試更多的方法,也就更有機會找到比較好的解法。」陳仲寬說。

參加HITCON CTF決賽,親身體驗世界級神人的威力

陳仲寬表示,這次HITCON舉辦的CTF決賽都是世界頂尖的隊伍,和他之前參加的CTF比賽相比,參賽隊伍強度的感受最深刻,比賽時壓力大很多。不過他認為,對臺灣團隊而言,這是一次不用出國就能和世界級隊伍互相切磋交流的寶貴機會,甚至於,也藉這個機會能夠與日本隊伍Fuzzi3、TokyoWesterns以及波蘭Drogan Sector進一步交流,這些都是極難能可貴的經驗。

他認為這次HITCON決賽各方面都有相當高的規格,也有許多別出心裁的設計,例如,比賽中使用的星球大戰記分板以及被攻擊時會閃爍的光劍系統,都相當有趣,而最後每兩分鐘一個比賽回合的Turbo Mode(加速模式),也是相當瘋狂的規則,讓每隊直到最後一刻,都不能放鬆。

陳仲寬認為,參加各種CTF比賽,可以從題目中體會到出題者較在意哪些資安問題。他進一步解釋,如美國PPP的PlaidCTF及日本MMACTF,相對偏學術界辦的比賽,各個領域都有涵蓋,但MMACTF在密碼學的設計上比較有趣,而PlaidCTF在Pwn題目的設計值得我們學習。

另外,像是DEF CON CTF的題目,基本上沒有出Web題目,大多是程式碼分析的題目,這也突顯出DEF CON CTF的主辦單位,對軟體分析技術的重視。其他像是業界的比賽,如趨勢科技主辦的TMCTF,或是臺灣教育部主辦的金盾獎,則專注於Windows系統以及數位鑑識的題目。陳仲寬表示,雖然這些比賽脫離許多選手擅長的領域,比賽過程較不易上手,卻也反映出業界比較重視哪些技能。

CTF比賽形式有助學習資安,但資源分配不均仍是隱憂

CTF比賽藉由遊戲、比賽的方式,先給學生問題,再由學生自行去找出所需要的技術及方法。陳仲寬認為,這樣的方式剛好與傳統課程互補,補足實作不足的問題。因此,他認為,不論是政府或是教育部在CTF投入這樣的資源是值得的。

「CTF是一種資安人才培訓的方式,」陳仲寬表示,在交大網路安全實驗室擔任助教的過程中,也嘗試以CTF的形式進行網路安全的課程專題,將重要的資安技術概念整理成一道道的題目給學生練習;而同學們的參與程度都較以往來得高,甚至自動提出希望助教開個經驗分享的討論會,來了解解題方式及攻防技巧。從這種情況也說明,學生對這類以比賽、遊戲的方式進行訓練是比較有興趣的,更可能吸引更多學生投入資安產業。

在此同時,陳仲寬也深刻體驗到CTF資源分布不均的問題。他表示,許多南部學校的學生往往難以第一手接觸這些資源,要往返北部參與課程培訓也較不易,如果有其他外部資源協助投入解決這個問題,也能讓更多人也有機會學習CTF。

在CTF競賽中學習的技術及對系統的了解,對於技術實力的提升是有必然的幫助,當然對就業或多或少有幫助。陳仲寬表示,BambooFox在中國參與CTF競賽時,已經看到有些公司表示,會將CTF經驗納入未來聘僱時的考量,而趨勢科技舉辦TMCTF,也說明CTF經驗的重要性。

陳仲寬坦言,目前CTF參賽經驗在臺灣就業的幫助似乎不大,也許未來幾年會逐漸改善。畢竟,資訊安全是一門隨時間演進的學問,新的技術和系統都會存在資安問題。對他而言,未來就職是有機會投入資安產業工作的,CTF經驗即便不會馬上有幫助,但對個人實力的確有實質的提升。

目標是自行開發一套好用的工具輔助解題

隨著CTF越來越盛行,許多外國選手紛紛開發了自己擅長的工具,例如:Pwntool、Qira等等。他表示,自己參賽和帶領學生比賽過程中也都在思考,哪些行為是每次比賽一直在重複的,如何將這些行為自動化,進而開發自己的工具系統,能更有效率的分析程式。

當然,熟練各種工具的使用也會是未來比賽的重點項目之一,陳仲寬指出,不論是Pin、Symbolic、Binary Analysis等工具,能否熟練的使用是相當重要的,畢竟現在也仰賴以工具輔助人解題,越熟悉這些工具,越能快速根據現有環境進行修改適應,就能更快解開題目。

身為參賽者以及助教雙重身分的陳仲寬認為,CTF是一項資安技術培訓的方式,在設計培訓教材時,必須思考如何將更多資安議題引入CTF,讓同學能夠更全面性的了解資安產業趨勢。接著,如何將學生在CTF學習的技術,引導進資安研究,讓學生能更深入的學習資安技術,也讓研究的題目更貼近實務。最後,如果可以培訓出許多底子不錯的學生,如何引導他們進入適當的資安產業發揮所長,也是未來的挑戰之一。


Advertisement

更多 iThome相關內容