臺灣資安新血戰隊BFS,首度入圍DEF CON CTF決賽,以四隊聯隊、初生之犢不畏虎之姿,在全球駭客比賽的聖殿中,迎戰詭譎多變的CTF決賽。

圖片來源: 

黃彥棻攝

除了臺灣HITCON戰隊維持過往的好成績,連續第五屆入圍DEF CON CTF全球駭客搶旗攻防賽外,臺灣在今年也有第二個資安新血隊伍BFS,在全球上千名隊伍參賽的激烈盛況中,以預賽第22名的好成績,首度入圍在8月10日於美國拉斯維加斯舉辦的DEF CON CTF決賽。

臺灣BFS資安新血戰隊是由臺灣大學Balsn、交通大學Bamboofox、中央大學DoubleSigma以及中科院Kerkeryuan等四個聯隊所組成的新隊伍。其中的三個學生隊伍,不管是Balsn、DoubleSigma或者是BambooFox,都是去年12月HITCON Pacific舉辦CTF比賽時,為了讓臺灣團隊有更多國際比賽經驗所培育的種子參賽隊伍。

猶記得在去年HITCON Pacific的CTF比賽現場中,不管是臺大Balsn、中央大學組成的DoubleSigma,或者是交大資安社團BambooFox組成的隊伍,當時面對全球一流高手,在現場比賽所面臨的共通困難點都是「缺乏實際參加攻防競賽的經驗」。

但是,只花不到半年的時間,這群BFS的學生戰隊成員就已經慢慢長大茁壯,透過分進合擊的聯合作戰方式,成功拿到正式到全球駭客比賽聖殿DEF CON CTF比賽現場的門票,終於有機會親自體驗,如何面對來自全球第一流駭客高手的挑戰,這也讓人對於資安新血戰隊BFS的未來發展充滿期待。

HITCON戰隊經驗傳承,三組分工合作打比賽

代表BFS戰隊對外發言的臺大Balsn隊長陳威甯,在完成碩士論文的口試後,就如火如荼的和其他團隊的成員,全心投入如何打這場DEF CON CTF決賽的硬仗中。

陳威甯表示,因為過去這些成員在學期中,都還必須面臨各自的課業壓力,只短暫開過一、兩次會議,確定基本的分工模式外,其他就算有討論,有時候,也無法有很具體的結論。

不過,確定打進決賽後,HITCON戰隊就有參賽成員分享如何打比賽的經驗,從事前的分工準備,甚至是到比賽現場的調度等,都有助於BFS戰隊減少無謂的摸索時間,可以在最短的時間進入備戰狀態。

也因此,BFS團隊成員一抵達比賽的飯店後,就開始各種事前的準備工作。陳威甯指出,主要分成三大部分,關於基礎設施的部份,包括伺服器、網路VPN的設定,和完成協助團隊做攻擊管理的腳本程式等,主要有四名成員負責;其次,有六名成員協助撰寫分析攻擊流量的封包工具。

至於,成員分工占最大宗的就是負責挖漏洞(exploit)和產生攻擊流量的攻擊手,名義上雖然有14人,但包括撰寫封包工具的6個人,也都是扮演攻擊手的角色。

「光是寫比賽要用的工具、調整並整合不同工具中所使用的操作介面,串接不同的工具,持續新增所需要的功能等,就已經讓BFS戰隊成員,有一些就直接累到在沙發上睡著了。」陳威甯說,這也是BFS戰隊成員面臨的最大挑戰之一。

透過工具功能整合與橫向溝通,磨練BFS戰隊默契

再者,陳威甯強調,BFS戰隊是一個新的團隊,除了預賽的初次合作外,彼此並沒有正式對外打比賽的合作經驗,在沒有像是HITCON戰隊成員的好默契前提下,不厭其煩的各種溝通、磨合,進行各種跨團隊的整合等等,其實就是開始慢慢培養BFS戰隊默契的起點。

也是臺大Balsn成員之一的陳盈伸,已經是一個現職的資安工程師。他認為,打CTF比賽的經驗,有助於他將課堂上學到的理論轉化成實務上可以使用的技能,更重要的是,透過參加比賽的方式,不僅訓練團隊成員面對問題和解決問題的能力外,也同時培養團隊成員如何快速學習的駭客精神。他認為,這樣的經驗和學習,就是他從CTF比賽中獲得最珍貴的寶藏。

AIS3暑期資安課程,為臺灣資安人才培育奠定良好基礎

這次BFS戰隊成員中,有許多都是在暑假舉辦的新型態資安暑期課程AIS3(Advanced Information Security Summer School)所培養出來的學生之一,加上包括臺大、臺科大、交大以及中央大學等,平常也都有相關的資安攻防課程,讓更多對資安有興趣的學生,有更多元的機會學習和體驗。

此次,負責AIS3計畫的臺科大副教授鄭欣明、交通大學資工系副教授黃俊穎及臺大資工系助理教授蕭旭君等人,在舉辦AIS3的課程中,除了讓BFS戰隊成員擔任助教或者是講師的角色外,也趁機讓所有BFS戰隊成員,真正有機會面對面、坐下來討論。

黃俊穎表示,BFS戰隊從前置作業的角色分工到工具語言選擇等等,都必須是真正的面對面聊完後,才比較容易有共識做決定,也才能順便培養合作的默契。他便舉例,光是分析工具到底要使用哪種語言,就經過許多次的討論後,才決定使用Python作為開發分析工具的開發語言。

鄭欣明則指出,AIS3其實是一個培養資安人才的學習和訓練平臺,透過跨國、跨社群、跨產業以及跨學術界的合作,提供從AI、車載資安、鑑識、攻防、資安事件處理(IR)等各種實務經驗的分享,也奠定包括BFS戰隊成員在內的資安素養與內涵。

鄭欣明也表示,這次BFS戰隊可以順利出國比賽,最主要來自於教育部和AIS3計畫編列相關預算贊助,也因為有包括趨勢科技、中華資安國際,以及資褓儲存等企業贊助,才能夠讓BFS戰隊的團隊成員,可以順利出國參加比賽。他也希望,BFS戰隊成員可以表現穩定,確實發揮實力,可以和HITCON戰隊都有不錯的成績表現。

期待臺灣資安人才培育,從量變帶來質變

臺灣在過去四年,在全球駭客競逐的DEF CON CTF搶旗攻防賽的擂臺中,因為有臺灣HITCON戰隊傑出的表現,也使得臺灣在國際資安圈的能見度大幅提升。不過,臺灣HITCON戰隊CTF領隊李倫銓以往最憂心的點在於,臺灣資安的傳承是否能夠後繼有人,打CTF比賽只是一個吸引新生代對資安有興趣的引子,可以趁機培養更多資安人才,才是臺灣HITCON戰隊多年來,願意一直對外打比賽、做宣傳的真正的目的。

此次,臺灣能夠首度有兩個CTF戰隊參加DEF CON CTF決賽,李倫銓認為,這也表示,臺灣過去幾年對於資安人才培訓的作法,慢慢出現一些成果,透過「從量變帶來質變」,也證明臺灣在資安人才的培育,的確是走在對的道路上。

 

 


Advertisement

更多 iThome相關內容