圖片來源: 

HITCON CTF臺灣戰隊提供

已經連續舉辦9年的臺灣駭客競賽Wargame,從原本現場闖關計分的比賽模式,將於今年轉型成全球同步進行的線上解題比賽。曾經在韓國首爾舉辦的SECUINSIDE 2014 CTF比賽中,以單槍匹馬1人之姿,對抗其餘9國資安團隊還贏得冠軍的天才駭客Geohot,更允諾會線上參戰臺灣駭客年會首度轉型舉辦國際資安競賽HITCON比賽。

邀請神人Geohot參加HITCON轉型之作

1989年出生的Geohot,在2009年推出iPhone 3GS 的破解軟體「紫雨 purplera1n」,讓iPhone不只可以使用AT&T電信公司的服務,也可以使用其他家電信公司的服務;在2011年則破解Sony遊戲機PS3的金鑰,逼的Sony拼命對揭露PS3金鑰破解資訊的Geohot提出訴訟。

這位天才駭客組「 tomcr00se」(湯姆克魯斯)一人資安團隊,贏遍全球各大駭客競賽。而HITCON CTF臺灣戰隊前往韓國參加SECUINSIDE 2014 CTF駭客競賽時,身為領隊的李倫銓,當時便出面邀請天才駭客Geohot參加臺灣駭客年會資安競賽的轉型之作,Geohot則答應從美國線上跨海參戰。李倫銓說:「Geohot參賽,對於出題團隊及其他參與團隊也都帶來莫大的壓力。」

現年24歲的天才駭客Geohot,答應跨海線上參與HITCON從Wargame轉型 線上的資安競賽,對於其他全球參賽者都帶來無形的壓力。

從單向闖關比賽轉型全球線上同步攻防,獲得各國資安團隊肯定

每年暑假由臺灣資安社群Chroot主辦的臺灣駭客年會(Hackers In Taiwan,HIT),今年邁入第十屆,為了和每年門票都秒殺的社群場次做區隔,首度推出企業資安大會,詳細解構駭客與企業的頂尖攻防手法外,也將每年由臺灣資安好手,事先報名並於現場較勁的Wargame資安比賽,從現場的較勁,轉型成國際常見的線上解題競賽。

臺灣駭客年會CTF召集人李倫銓(Alan)表示,此次轉型全球同步線上的國際比賽後,也獲得許多國際資安團隊的肯定,截至7月底統計,已經有將近300個隊伍報名,其中臺灣隊有62隊,中國隊則有64隊,美國有31隊,日本28隊、俄羅斯14隊、韓國10隊,而且報名數字還在持續增加中。

臺灣駭客年會從2005年開始舉辦第一屆活動時,就會在活動現場開闢資安競賽Wargame專用的第二會場,出題人員設計各種關卡,資安好手在活動現場連上比賽專屬主機後進行各種關卡的解題,這樣的形式,每個人都可以針對同樣的題目進行重複解題,進行分數總計。而這樣的單向式闖關的資安競賽從2011年開始,也開始有包括日本等資安團隊組隊參賽,國外團隊也都獲得不錯的好成績。

相對現場闖關的Wargame資安競賽形式,國際上各國的資安競賽,都以全球同步線上攻防的CTF(搶旗大賽)資安競賽為主,參賽團隊都有自己的伺服器,每個伺服器上都有各種預先設計好的漏洞,各個參賽隊伍彼此找漏洞相互攻擊,甚至,先找到漏洞成功發動攻擊的參賽者,還可以加分;除了攻擊之外,也必須設法補強自己的漏洞,避免被攻陷。而這種全球同步線上攻防的資安競賽,就真的是一種同時兼顧資安攻擊和防禦能力的競賽。而轉型全球線上攻防的資安競賽,則是仿效CTF的出題精神,考驗全球各國資安團隊的解題攻防功力。

以前舉辦Wargame的目的,是為了讓提供一個正當且合法的網路攻防戰競賽場所,並促進臺灣網路安全玩家的技術交流、表揚優秀人才,但李倫銓說:「現在CTF資安競賽考驗全方位的高階電腦科技人才,不再侷限於單一種安全鑑識人才及滲透測試人才。」因此,出題方向更得結合各種攻防技術,不能侷限於作業系統或網站系統攻防技術,還得包括密碼學、逆向工程等各種電腦科學技術尖端手法在內。所以,參加這種全球線上同步攻防的資安競賽的團隊成員,甚至必須挑選各領域專家並組隊,才可能從競賽中脫穎而出。

由於這種全球線上同步攻防的資安競賽,是一場沒日沒夜、沒有中場休息、連續48小時的資安馬拉松競賽,在規定的時間內,成員可以自行選擇解題或休息,但都包含在比賽的時間內。HITCON線上解題競賽預計於8月16日中午12點開始舉辦,並於8月18日中午截止。李倫銓曾說:「連續48小時的拼搏,對於線上解題競賽的參賽者而言,也是體力與智力的雙重考驗。」

最大的挑戰在於打造一個穩定的線上競技平臺

「他山之石、可以攻錯」,從單向式闖關競賽的Wargame形式,轉型成全球同步線上攻防的線上解題競賽形式,並不是貿貿然做的決定,李倫銓表示,HITCON CTF戰隊從組隊、受訓、參賽,到現在要出題考驗全球資安團隊,都是一步一腳印、慢慢地累積各種成果而來。

不論是參加中國百度盃網路安全技術對抗賽(BCTF),奪得第一名的好成績,或者是打進DEF CON 22 CTF(搶旗攻防戰)取得決賽資格,甚至是到韓國首爾參加SECUINSIDE 2014 CTF,第一次挑戰世界級的駭客現場決賽,都成為臺灣戰隊豐富的養分。

以韓國舉辦的SECUINSIDE 2014 CTF為例,李倫銓便曾經在臉書撰文表示,雖然該次成績未如預期(第八名),卻是一個非常寶貴的經驗,包括隊員藉此吸收了更多實戰技術、見證駭客界傳奇Geohot一人獨戰九大戰隊奪冠、日本隊天才高一駭客選手、韓國駭客菁英培訓計畫訓練出的兩大戰隊及出題隊伍,更親身體驗世界級DEF CON戰隊成員的實力,世界級高手們怎麼直接在Attack Defense比賽中,利用wireshark漏洞、送pcap封包植入對手後門。

因為見識到全球第一流資安高手的實力,加上同時有超過300個資安團隊線上競技,李倫銓表示,為了要因應這樣國際性的挑戰,不僅需要提升題目的難度,更需面對國際級的流量與規模。

所以,臺灣團隊決定重新設計更安全的線上解題系統架構,也將使用雲端服務作為全球線上同步攻防競賽的主機,避免出現以往許多線上競賽比到一半,往往會因為題目設計問題或參賽隊伍數量眾多,造成線上題目不穩定甚至斷線的窘況。

提升HITCON線上解題競賽品質,朝向成為DEF CON種子賽事之一目標努力

目前世界上最強的駭客技術競賽是在美國拉斯維加斯舉辦的DEF CON,而DEF CON除了預賽選出全球12個隊伍之外,其他知名的駭客競賽的冠軍,也能獲得DEF CON決賽資格,而受到DEF CON肯定的國際資安競賽,韓國就占了兩個名額。

李倫銓對於HITCON線上解題競賽的未來抱持有很深的期待,他希望,HITCON CTF也能提升題目技術能量,並且注重品質與公平,未來也能成為國際知名賽事,並朝著成為DEF CON種子賽事之一的目標前進。

臺灣HITCON CTF戰隊前往韓國首爾參加SECUINSIDE 2014 CTF現場駭客競賽時,團隊成員正聚精會神的比賽。而這次的現場震撼教育,也成為團隊成員成長的重要養分。

 

 

臺灣團隊參與SECUINSIDE 2014 CTF現場的解題狀況,是一場體力和資安技術的馬拉松競賽。

 

 

 

 

 

 

 

 

 


Advertisement

更多 iThome相關內容