臺灣HITCON戰隊在完成連續三天的比賽後,許多人每天都睡不到3小時,,疲累的身影,但還是阻擋不了對資安的熱情。

圖片來源: 

黃彥棻攝

[美國拉斯維加斯現場直擊]

經歷過激烈的競賽後,2018年由全新主辦單位O.O.O.(Order-of-the-Overflow)的駭客搶旗攻防賽(CTF)的名次終於揭曉,由韓國隊DEFKOROOT獲得冠軍,美國隊PPP獲得第二名,臺灣HITCON戰隊獲得第三名的好成績。以往DEF CON CTF比賽在當天只揭曉前三名的名次,其他隊伍的成績,通常要一週後才會知道。但這次主辦單位很快就揭曉整體成績,臺灣資安新血戰隊BFS此次參賽的成績表現不俗,初試啼聲就獲得第12名的好成績。

韓國隊傑出表現是BoB專案最佳呈現,臺灣有資安新血投入才是重點

曾經獲得2015年DEF CON CTF比賽冠軍的韓國隊,今年以DEFKOROOT為名參賽,比賽過程中,成績相對穩定,到第二天比賽結束前,都維持第一名的好成績,而已經在美國工作的韓國天才駭客Lokihardt,也再度到場和團隊成員共同奮戰。

iThome現場採訪DEFKOROOT團隊時,負責韓國資安菁英人才培育計畫的Best of the Best(簡稱BoB)中心經理Cho Kyu Hyung表示,這是韓國BoB計畫培養資安人才一個好的成果展現,未來這樣資安人才培訓的計畫將不會停止,讓更多的人才可以投入資安領域。

一起參賽的Lokihardt則表示,這次可以獲勝,主要是團隊中每一個人都發揮應有的實力,並且扮演好彼此的角色,「這是一場透過團體合作、協同作業贏得的比賽成績。」他說。

至於美國歷史強隊PPP(Plaid Parliament of Pwning),由卡內基美隆大學學生組成的隊伍,一直是DEF CON CTF常勝軍,也是2017年CTF比賽的冠軍。參賽成員指出,這次主辦方有一些服務系統不是很穩定,的確有一點影響得分,但韓國隊的確表現傑出。

臺灣HITCON CTF領隊李倫銓表示,因為第三天主辦方的服務中斷,原本HITCON戰隊在前一天晚上準備的攻擊工具都沒有辦法發揮,戰隊並沒有預期可以獲得第三名的好成績。但最後可以得到第三名,李倫銓推測,應該是有一個King of the Hill的題目獲得好成績,找到主辦方沒有找到的漏洞,寫出了11個ShellCode,一路從第一天的第9名追趕到第3名,並且維持第三名的優勢到第三天。

李倫銓說:「最重要的是,要給年輕人一個舞臺,讓他們發光發熱。」李倫銓認為,今天不管戰隊得到第幾名,更重要的是,臺灣這次有兩隊團隊有機會參加DEF CON CTF的決賽,讓這些年輕人有機會見識到國際場面,慢慢的歷練,都會成為這群資安新血未來投入資安產業最好的養分。

新的主辦單位提供新挑戰,King of the Hill加上攻防新賽制

身為這次主辦單位O.O.O.成員之一的Zardus(本名Yan Shoshitaishvili)不僅擔任多年美國聖塔芭芭拉組成的CTF戰隊Shellphish的隊長,也曾多次來臺灣參加HITCON演講。

這次DEF CON CTF比賽的賽制和過往有些不同,不再是單純的網路攻防(Attack and Defense),而是混合King of the Hill的賽制,Zardus認為,由新的主辦單位舉辦比賽,也應該在賽制上有一些創新,因此首度將King of the Hill和Attack and Defense的比賽方式混合,考驗參賽隊伍除了挖漏洞的能力外,也同樣考驗防守的能力。

這次比賽釋出的題目中,第一題就是King of the Hill的題目,類似搶灘遊戲,主要的得分方式,是以占領服務的時間多寡來決定分數高低,可以占領伺服器的服務時間越久,得分也越高。第一天比賽中,比賽成績互有高下,包括PPP、DEFKOROOT和Sauercloud都曾經名列前茅。

第二天之後的賽制,則以攻防的題目為主,重點是要保護自己的伺服器不被攻陷,也必須要研究伺服器的漏洞並寫成攻擊程式,然後對其他參賽隊伍發動攻擊(Exploit),取得其他隊伍伺服器中的金鑰(Token)或旗幟(Flag)後,並將攻擊成功的訊息(Flag)提交給主辦單位計分。

不過,這次因為參賽隊伍眾多,包括網路和出題的伺服器都出現服務中斷的現象。Zardus說,當初因為是新的主辦團隊,所以廣開參賽大門,但他們發現,邀請世界第一流駭客參賽時,有許多事情都會和想像中不一樣,明年應該只會維持過往12~15個隊伍參賽的傳統。

BFS參賽團隊有助累積經驗、提升自信

負責臺灣資安菁英人才培訓計畫(AIS3)的三位老師,包括臺科大資工系副教授鄭欣明、交通大學資工系副教授黃俊穎和臺灣大學資工系助理教授蕭旭君也和多數由AIS3學生成員組成的資安新血戰隊BFS一起來參賽。黃俊穎表示,學生們的心理素質和抗壓性很棒,非常享受在這樣的比賽當中,這樣的比賽經驗都會是參賽學生和選手們很好的養分。

蕭旭君則認為,透過這樣的比賽,不僅可以提升選手個人的攻防實力,因為需要團隊合作,彼此也會知道該如何配合、一起截長補短,打出好成績。甚至於,她也說,CTF參賽選手透過這樣的國際比賽,雖然沒有獲得前三名,但根據前幾天表現維持中間名次,不僅增強學生們的自信,賽後與其他國家的選手交流,連解題都有不同的新刺激和想法。

許多BFS參賽的學生選手,比賽一結束,立刻跑到HITCON團隊的位置,積極詢問相關題目的解法,交換解題心得,透過交流就是立馬提升資安實力最好方式。

比賽一結束,BFS戰隊成員馬上跑到HITCON戰隊的桌子旁,開始討論這幾天出題的題目該怎麼解題,可以用什麼方式思考。Orange立馬開講分享心得。之後並留下合影(攝影/黃彥棻)  

資安人才培育應該看長線,切忌短視近利

長期觀察HITCON戰隊的不具名資安專家表示,這次因為挑戰形式改變,第一天HITCON戰隊的得分並不突出。但他說:「老將不愧是老將,面對挫折可以做到寵辱不驚,可以平常心看待,才能夠在第二天的比賽後來居上。」這樣的韌性的確是HITCON戰隊的優勢。

整體而言,這次比賽主辦方出題方向,比較不是臺灣HITCON戰隊擅長的領域,例如Orange在第二天晚上,有針對Web Service題目寫出可以通殺的攻擊工具,但因為主辦方的服務不穩定,後來就把這個題目拿掉了,臺灣隊伍也喪失很好的得分契機。但是,因為大家過往有良好的合作默契,也讓大家可以很快的彼此互補,追趕失分。

這次DEF CON CTF主辦方擴大參賽團隊的資格,臺灣也首度資安新血戰隊BFS有機會實際體驗國際比賽的緊張刺激。有人曾經詢問臺灣HITCON戰隊成員說:「到底怎麼樣才能培養像HITCON戰隊成員這樣的資安實力?」當時的戰隊成員回答:「打CTF比賽是培養資安實力最快的方式。」該名資安專家也贊同,透過「以戰養戰」的方式,讓選手們在短期間內快速學習,也學會快速解決問題的能力。透過這樣的壓力,也培養出打CTF比賽選手們面對任何問題與困難時,都具有良好的抗壓性,透過不同比賽的出題方向,快速累積多方面的資安實力。

這次BFS戰隊成員中,有許多是透過AIS3(新型態暑期資安培訓課程)慢慢培養訓練出來的學生,第一次出國比賽即便不見得有好的名次,但可以有機會出國,透過比賽的機會磨練自己的資安實力,就是培養資安人才實力最好的方式之一。

只不過,因為之前HITCON表現傑出,所以開始有很多企業願意贊助團隊出國比賽,但同樣的,這些企業期待選手可以有好的名次,難免也成為一種無形的壓力。如何讓包括HITCON、AIS3以及未來的選手們,可以在臺灣企業的支持下,安心的以戰養戰、培養實力,並將資安火苗傳承下去,則是許多關心臺灣資安人才培育的資安專家們,心中最大的期待。

最後,政府部門願意提升資安政策的位階,揭櫫「資安等於國安」當然是好事,但是,該名資安專家也說,政府過往在政策執行上,最喜歡設定各種短期可見的KPI作為施政績效,但資安人才的養成,包括資安產業的發展,都不是一蹴可即、可以短期見效的政策,如果政府施政只看短期KPI,只在乎政策是否可以有對外說嘴的成效,對長期的資安人才培育以及資安產業發展,都只會造成揠苗助長的效果而已。

第26屆DEF CON CTF比賽,由韓國隊DEFKOROOT獲得冠軍,美國隊PPP獲得第二名,臺灣HITCON戰隊獲得第三名。這是第一名韓國隊DEFKORROOT奪冠後的合影照片。(攝影/黃彥棻)


Advertisement

更多 iThome相關內容