HITCON
【美國拉斯維加斯DEF CON現場報導】
美國太平洋時間8月9日~8月11日連續三天於美國賭城拉斯維加斯舉辦的第27屆DEF CON CTF(搶旗攻防賽)比賽中,代表臺灣參加的臺灣聯隊HITCON x BFKinesiS在歷經三天不眠不休的熬夜解題,獲得第二名的好成績。這也是臺灣代表隊參加DEF CON CTF迄今第六年,在資深老將HITCON戰隊與新生代戰隊BFKinesiS合體後,再度獲得亞軍的殊榮。今年的冠軍隊伍則是美國PPP(Plaid Parliament of Pwning)戰隊,中國隊Tea Deliverers位居第三。
資深戰隊HITCON合體新生代戰隊BFKinesiS,落實傳承打出好成績
臺灣HITCON CTF戰隊領隊李倫銓表示,去年冠軍的韓國隊,今年沒有派出國家代表隊DEFKOROOT參賽,而是由三個入圍的韓國隊伍,各自磨練競技實力,包括CGC、KaisHack GoN和SeoulPlusBadAss等三隊。
雖然強敵韓國隊沒有派出國家代表隊參賽,但李倫銓表示,長期佔據冠軍名次的美國隊PPP,以及其他中國強隊A*O*E的騰訊聯隊和中國長亭科技組成的Tea Deliverers等隊伍,實力也都不可小覷。
此次,他也說,HITCON戰隊很重要的使命就是要做好傳承,也希望集合新生代的力量一起打拼,最後決定以HITCON x BFKinesiS合體的聯隊方式,參加今年DEF CON CTF的比賽。
此次負責新生代戰隊BFKinesiS相關行政與行程安排的臺科大資工系副教授鄭欣明表示,兩隊決定合體打比賽後,HITCON戰隊在比賽之前就密集和BFKinesiS成員溝通,從各自的專長項目到各種常用的工具交流以及分工等等,他認為,HITCON戰隊不愧是經驗老到,無私的分享對於新生代戰隊BFKinesiS都是很正面的交流與學習。
CTF比賽採用混合賽制,臺灣聯隊拼命力爭上游
DEF CON CTF主辦單位O.O.O.(Order-of-the-Overflow)是2018年開始接手的新團隊,去年初次接手比賽時,現場服務有一些不穩定的狀態,但今年比賽都呈現穩定狀態。
從去年開始,駭客搶旗攻防賽(CTF)也開始採用混合賽制,包括類似企業防守的King of the Hill的題目,類似搶灘遊戲,主要的得分方式,是以占領服務的時間多寡來決定分數高低,其他也包括過往CTF決賽時常見的攻防(Attack and Defense)題目,比賽重點是要保護各隊的伺服器不被其他參賽隊伍攻陷,參賽隊伍必須要研究伺服器的漏洞並寫成攻擊程式,然後對其他參賽隊伍發動攻擊(Exploit),在取得其他隊伍伺服器中的金鑰(Token)或旗幟(Flag)後,並將攻擊成功的訊息(Flag)提交給主辦單位計分。
今年第一天比賽一剛開始時,李倫銓表示,HITCON戰隊很快的在釋出的三個題目中,率先取得First Blood(第一滴血)的好成績,整體士氣大振。鄭欣明則說,由於HITCON戰隊成員擅長攻防賽制,很快就殺出攻防比賽的好成績, BFKinesiS則負責King of the Hill的題目為主。直到第一天晚上八點,比賽結束時,美國隊PPP仍然維持第一名的好成績,HITCONx BFKinesiS 聯隊獲得第二名。
比賽來到第二天,主辦方陸續釋出新題目,臺灣代表隊HITCONx BFKinesiS很快就後來居上,在King of the Hill以及攻防比賽中打出好成績。其中,主辦方提供每一個隊伍一臺XBOX並安裝Doom比賽,李倫銓表示,一開始遊戲中的槍是無法發射,要patch改成可以發射,接著就是得站在遊戲中特定地點足夠時間才能持續得分,這過程中會有其他隊伍來射殺你。
李倫銓進一步指出,比賽有個關鍵是撿到槍要夠強,有威力的槍,就可以打出好成績。一上場隨時可以撿到好槍的HITCON選手:「因為其他人在找洞的時候,他花了一個小時在逛地圖。」這也讓HITCON CTF比賽選手一秒達成當電競選手的願望。而這一題也拉開與美國隊30%的成績差距。到第二天結束時,HITCONx BFKinesiS打出第一名的好成績,但勁敵美國隊PPP一直以勢不可擋的成績,強勢追趕。
第三天到了比賽最後一天,美國隊PPP前一天晚上解開一題各隊都沒有解開的題目,逐漸拉近與臺灣聯隊的得分差距。
盤點過往歷年戰績,成績不斐
臺灣代表隊HITCON過去五年以來,參加DEF CON CTF比賽的成績,曾經在2014年和2017年獲得第二名的好成績,去年則在勁敵韓國隊DEFKOROOT和美國PPP的圍攻下,成功拿下第三名的好成績。
進一步盤點歷年的排名,在2014年HITCON戰隊首度入圍DEF CON CTF決賽資格後,在決賽時,便獲得第二名的好成績,美國PPP獲得冠軍,第三名則是波蘭戰隊Dragon Sector。2014年超乎預期的好表現,也讓臺灣各界關注到,原來臺灣有實力堅強的CTF戰隊。
到了2015年,韓國隊DEFKOR首度入圍,挾韓國資安菁英人才培育計畫BoB(Best of the Best)的優勢,以高超找漏洞的實力,獲得CTF決賽冠軍,第二名則為美國傳統強隊PPP,第三名為瑞法聯隊0DaySober,臺灣代表隊HITCON則名列第四名。
2016年舉辦機器人CTF大賽,人機對戰的情況下,美國PPP再度獲得冠軍寶座,第二名由中國藍蓮花和0ops組成的聯隊b1o0p獲得,第三名則是韓國隊DEFKOR,臺灣代表隊HITCON獲得第四名。
在2017年,DEF CON CTF主辦主辦單位Legitbs則模擬一個全新的CPU架構和指令集cLEMENCy,更在競賽規則中加上在取得其他隊伍的漏洞修補程式後,還可以加上後門程式,也讓今年的比賽不僅與企業實務更相近,難度也更高。最後,由美國PPP獲得冠軍,臺灣代表隊HITCON獲得第二名好成績,第三名為三名則是來自中國A*O*E的騰訊聯隊。
2018年由新的主辦方Order-of-the-Overflow(簡稱O.O.O.)負責DEF CON CTF的比賽,題目出題方式和過往不同,但韓國隊DEFKOROOT傾全力參賽,最終拿下第一名的好成績,美國PPP居次,臺灣代表隊HITCON獲得第三名。
以聯隊名義打進初賽,拼決賽好成績
李倫銓表示,原本HITCON在二月就已經取得決賽資格,但後來決定和BFKinesiS 組成聯隊打比賽後,便在五月舉辦的初賽,以HITCONx BFKinesiS的名義參賽,同時也開始培養彼此的默契。他也希望,透過這種聯隊的方式,可以在保持各隊彼此風格的前提下,仍可以建立一種傳承的文化。
這次的題目有些顯得刁鑽,BFKinesiS參賽選手林書瑾便說,像是這次有出一題臺灣很少見的開發語言LISP的題目,多數選手都沒有經歷過,都是邊打比賽邊學習。不過,題型多元,還有一題是機器學習的模型,要參賽者設法從模型去回推其中一份原始資料,難度都不低。
這一次的比賽,可以有新生代戰隊BFKinesiS接下傳承棒子,也必須感謝有臺科大資管系特聘教授吳宗成在2015年開始,堅持推動AIS3資安菁英人才培訓計畫,並將計畫的棒子交給臺灣三位年輕教授,包括:臺科大資工系副教授鄭欣明、交通大學資工系教授黃俊穎以及臺灣大學資工系副教授蕭旭君。
這個計畫成果展現,在去年,就已經有優秀AIS3學生組成BFS隊伍參加DEF CON CTF比賽並獲得決賽第12名的好成績;今年更透過和HITCON戰隊組成聯隊HITCONx BFKinesiS,培養更好的默契和養分。
黃俊穎表示,這次學生們可以更貼近HITCON戰隊學習,對學生本身都是很大的成長,但是題目多元,甚至有一些需要幾近「通靈」的能力才能解題,難度相當高。
蕭旭君則指出,AIS3是一個從外部提供各種養分、培養臺灣資安菁英人才的計畫,但「計畫不見得可以一直持續,最終,必須要培養一套可以自行成長的機制,才能讓臺灣資安人才培育不中斷。」她說,這也是未來大家要共同努力的目標。
面對參賽者覺得題目有難度,甚至有少見的語言,OOO團隊的出題成員之一表示,出題團隊希望可以透過多元的題目類型,拓展參賽者的眼界,讓更多人了解不同題目背後的意義。
以往臺灣隊只有一組戰隊出國比賽,由臺灣趨勢科技獨家贊助的經費就已經足夠,但從去年開始,面對兩組團隊出國打比賽,包括義美食品、叡揚資訊、中華資安以及Openfind網擎資訊的企業贊助,讓比賽團隊才可以順利成行;而教育部也針對出國參賽的學生提供專案的經費,協助大家可以出國比賽。
這一次11隊的參賽隊伍名單如下:HITCON x BFKinesiS、hxp、KaisHack GoN、mhackeroni、Plaid Parliament of Pwning(簡稱PPP)、r00timentary、r3kapig、saarsec、Samurai、Sauercloud、SeoulPlusBadAss、Shellphish、Tea Deliverers以及TokyoWesterns。
2019/8/14更正啟事:原內文提及網擎資訊名稱有誤,現已修正。
熱門新聞
2024-12-10
2024-12-08
2024-12-10
2024-12-10
2024-11-29
2024-12-10
2024-12-11