資安院提供
臺灣CTF戰隊TWN 48參加在美國拉斯維加斯8月11日~8月13日舉辦的DEF CON CTF(搶旗攻防賽),歷經三天的比賽,在全球12個戰隊中脫穎而出,最終獲得全球第三名的好成績,僅次於獲得第一名、由美國卡內基美隆大學PPP戰隊與韓國The Duck戰隊合組的The Parliament of Duck,以及獲得第二名、現今CTFTime世界排行榜中排名首位Blue Water戰隊。
TWN 48是由新生代TSJ和Balsn資安戰隊為核心主力,團隊成員來自各校學生、資安社群與業界的頂尖年輕好手,總計54人,其中在職19名、在學學生則有35名。臺灣戰隊於今年五月,歷經全球1,828隊報名、競爭激烈的預賽中脫穎而出,以第五名成績進入決賽。
這也是臺灣CTF戰隊第十次進入DEF CON CTF決賽,第三次拿到全球第三名的好成績,過去九年臺灣戰隊的成績,則是拿過三次第二名、二次第四名、一次第五名和一次第九名的成績。
TWN 48成員第二次合作默契佳,新設PM有利答題分工
TWN 48隊長之一的林宇翔表示,2022年DEF CON CTF比賽算是這個團隊的第一次合作,很多人也都第一次打這種形式的比賽,所以導致分工上較沒效率。
但林宇翔說,因為大家有了去年的比賽磨合經驗後,再加上今年首度引入PM制度,在不同題目中設置經理PM的角色,讓戰隊鎖定答題策略,同時配合各個成員的專長,也讓競賽過程人力資源運用更加有效率。不過,他指出,今年題目總共有12題,題數算是非常多,因為團隊合作過程中很順利,才能順利拿下不錯的成績。
TWN 48隊員之一的尤理衡表示,今年比賽環境跟去年相比穩定很多,題目內容也都有在平均水準上,出題的形式一樣有Attack & Defense以及King Of Hill(KOH)的類型。
此次TWN 48最後總分為6756分,其中,TWN 48拿下防禦項目最高分(370分)以及攻擊項目第二高分(5128分)其他KOH得分為758分。
而從去年開始的Live CTF,是指定成員進行一對一捉對廝殺的現場比賽,也有像電競比賽一樣,提供專人現場實況講解和轉播。尤理衡覺得最可惜的是,一對一實況賽LiveCTF的部分,採用雙淘汰制,第一輪就遇上去年冠軍HypeBoy,第二場輸給ShellPhish無緣晉級,導致LiveCTF得分只有500分。
CTF出題反映現實網路環境
由於現在的CTF比賽賽制,已經不只是傳統的攻防(Attack and Defense)的題目,也有比較反映現實世界、類似搶灘遊戲的King of Hill(KOH),這是一種以占領服務時間多寡來決定分數高低的比賽。
當參賽戰隊可以占領伺服器的服務時間越久時,得分也越高,這也類似現實世界的資安威脅,假若駭客可以長時間占領企業伺服器,對企業造成的威脅也就越高。
觀察今年DEF CON CTF的題目就發現,主辦方明顯有因應實務需求進行題目設計,舉例而言,以往各種binary為主題的命題方式幾乎是主流,但今年主辦方特別回應與會者的要求,除了有一題web題目之外,在許多題目裡也同時有binary和web混合的題目。
TWN 48團隊成員持續備戰,線上練功而實體練默契
今年也是帶隊指導教授之一的資通安全署副署長鄭欣明表示,雖然今年的主辦單位競賽規則和環境相較於去年更為完善,不過會場也發生計分板、服務檢查和網路架構偶有不穩定的狀況,甚至還發生臨時新增規則,例如限制攻擊次數或是網路頻寬的問題,但因為團隊分工明確且有默契,加上領隊及與會協助的同仁都有一定的經驗,使得團隊可以即時實作出應對和解決方案。
鄭欣明也說,相較前幾年只透過計畫形式帶領團隊,每每都是在進入決賽之後還要尋找企業贊助經費,且因為準備時間短,以至於戰隊選手彼此沒有足夠時間熟悉專長與磨合。但是,今年資安署參與後,可以更有規畫地串聯包括資安院以及教育部等單位的資源,共同協助臺灣的資安人才組成團隊,也多了讓學員彼此專長熟習與磨合的機會,當然更有助於團隊經驗傳承與參賽。
本次帶隊指導教授之一國立陽明交大資訊工程系教授黃俊穎表示,臺灣戰隊TWN48能取得本次榮耀,各個選手平時不斷練習以磨練實戰技能功不可沒,從五月入圍決賽開始,就開始自主進行兩周一次線上會議,開發競賽期間可能會使用到的工具,包括攻擊管理程式、封包分析工具、程式修正工具、計分統計工具等等。
黃俊穎說,臺灣戰隊TWN 48在第一天比賽結束時,排名第五名;而第二天結束時,經歷選手們熬夜的奮戰,排名更爬升到第二名;第三天決賽時,能夠取得第三名好成績。
資安署攜手資安院協助後勤備賽
數位發展部資安署此次也攜手國家資通安全研究院,共同協助臺灣CTF戰隊TWN 48準備比賽,資安院人才培力中心主任鄭瑋表示,資安院為了強化參賽選手們的默契,特別舉辦賽前增能工作坊來達成實體見面交流,讓較少有同隊競賽經驗的戰隊成員培養合作默契。
所有的國際賽事若要有好的成績表現,優秀的後勤支援是非常重要的助力,鄭瑋指出,此次資安院在院長何全德的大力支持下,由資安院董事尤暖霞以及人培中心主任鄭瑋帶領三位團隊成員,共同協助戰隊各種事前和現場事務的後勤支援,最終目的就是要讓參賽成員可以安心比賽、無後顧之憂。
鄭瑋觀察到,在賽事期間,戰隊成員不論遇到什麼突發狀況,不管是規則變動或網路問題都能冷靜應對,都可以感受到選手們在比賽中彼此合作互動的氣氛,是非常熱絡、融洽與和諧的。
她也說,前兩天的比賽皆在晚間六點結束,儘管選手們已經疲憊不堪,但他們仍打起精神進行本日檢討和人力調整,這樣的精神真的很讓人感動;加上今年帶隊的四位指導教授:資安署副署長也是臺科大資工系教授鄭欣明、陽明交大資工系教授黃俊穎、臺大資工系副教授蕭旭君、中正大學資工系助理教授王銘宏與往年一樣,提供了選手們指導與情感支持,也幫助選手們可以在比賽中發揮最佳狀態。
臺灣CTF戰隊後繼有人,資安人才培育十年有成
本次帶隊指導教授之一國立臺灣大學資訊工程系副教授蕭旭君表示,今年入圍決賽的隊伍多為各國社群聯合組成,實力不容小覷,臺灣戰隊能獲得此成績,實屬難能可貴。
臺灣CTF戰隊自從2014年獲得DEF CON CTF比賽第二名以來,每年都順利入圍決賽,迄今已經第十年參賽,參與比賽的成員也從早期的HITCON戰隊加上217戰隊成員,逐步交棒給新生代戰隊成員,包括:Balsn戰隊和TSJ.tw戰隊,戰隊後繼有人,也展示臺灣資安人才培育有成。
鄭欣明指出,我國的資安人才培育,由學生到社會人士、由政府人員到企業人員,主要目的是培育各領域及機關所需人才。他以本次參與資安競賽的高階技術人才為例,配合國家第六期資通安全發展方案,從2022年開始透過CCoE計畫,編列經費支援有潛力的選手訓練與參與DEF CON CTF,今年資安署也補助資安院,一起更有制度化來經營資安實戰人才的養成。
他說,像是今年就舉辦了多次會議,討論去年參賽經驗、共同商議可以更進步的地方,從今年五月預賽開始準備,以及通過預賽到決賽前的期間,也舉辦了多次增能活動,不僅讓選手可以了解彼此的專長、增加團隊默契,他認為更重要的是,可以在戰隊中選出適合的選手當經理(PM),依照戰隊選手的特性來分組並由PM管理,再由隊長與PM溝通,如此一來,就可以更有效率地協調比賽的人力分配。
相較於前幾年比賽,鄭欣明指出,今年解題過程非常順暢,因為信任PM的管理而能分進合擊,選手們也有更多的休息時間,因此,在比賽最累的第二天晚上,選手們的精神與情緒狀態還都能保持得不錯,比賽結束之後的氣氛也非常活絡,戰隊選手們對於成果覺得興奮且滿意。他認為,這也證明,將政府的資源與經費投入在關鍵之處,就可以更好地養成臺灣的資安實戰人才。
數位發展部也發新聞稿表示,希望透過推動參與國際資安大型競賽,讓我國資安年輕好手吸取寶貴的學習與實戰經驗,並將積極投入心力為培育在學及在職資安人才,進一步提升臺灣在國際上的能見度及整體競爭力。
臺灣CTF戰隊TWN 48自從五月確定入圍決賽後,便積極透過線上會議練功,實體工作坊培養默契,在今年8月11日~8月13日於美國拉斯維加斯舉辦的DEF CON CTF搶旗攻防賽中,最終獲得全球第三名的好成績。
熱門新聞
2024-12-03
2024-11-29
2024-12-02
2024-12-02
2024-12-03