黃彥棻攝
當你參加一個資安競賽,看到第一個關卡的題目,只有給你幾組數字「R1C1、R2C2、R3C11和R3C4」,提示F1,就要你猜出電腦的開機密碼時,你第一個反應是如何?這是資安公司芬安全(F-Secure)首度在臺灣舉辦第一屆資安競賽時,給比賽考生的第一道難題。資安界傳奇人物病毒獵人芬安全首席研究長米戈˙希伯能(Mikko Hyppönen),也為了擔任此次資安競賽總評審再度來臺。
米戈˙希伯能曾經關閉在2003年引發全世界病毒恐慌的Sobig_f worm病毒;也是2004年第一位向全球提出「殺手病毒」警告的專家;擔任國際刑警資安顧問,長年協助美國、歐洲、亞洲法務部門處理數位犯罪;經常受邀TED演講資安相關議題,並在2011年與美國總統歐巴馬並列為全球百大教育思想家。他更因為美國國安局要求RSA公司在軟體中放後門一事,宣布取消2014年RSA大會的演講,並發起抵制參與RSA公司舉辦的RSA資安大會,引起網路上廣泛的共鳴。
米戈˙希伯能全程參與整個競賽過程指出,臺灣參賽學生的資安技術能力比他看到其他亞洲國家學生好,尤其普遍都熟悉組合語言並懂得逆向工程的攻擊手法。他認為,臺灣學生有機會在資安技能上深度鑽研,找到有興趣的領域,成為世界級的資安專家。芬安全大中華區總代理翔偉資安營運長杜世鵬表示,該公司也希望透過協助舉辦這樣的資安競賽,能找到適合的對象投入資安產業。
此次,總計有10組學生隊伍參加總決賽,參賽學生曾有參加金盾獎和代表臺灣駭客年會HITCON到美國參加DefCon競賽的成員;參賽學校包括南部的中山大學、成功大學、虎尾科技大學,北部的臺灣大學、交通大學、輔仁大學、實踐大學以及協辦的臺北醫學大學學生組隊參加,由中央大學Admin'--獲得第一名,交通大學DSNSLab獲得第二名,第三名則是輔仁大學的NISRA-YUN。
臺灣學生擅長組合語言,有機會專研成世界級高手
負責協助此次資安競賽出題的芬安全亞洲實驗室惡意程式分析師Mangesh Fasale表示,多數參賽學生都可以闖過第二關、第三關,顯見這些學生都有寫組合語言的能力,才能順利過關斬將。他說,相較於在馬來西亞的比賽,多數學生隊伍因為缺乏基礎組合語言能力,很難持續答題。
已經在馬來西亞舉辦4屆資安競賽,芬安全亞洲安全實驗室技術顧問吳樹謙補充表示,馬來西亞大學資訊相關科系多只教導學生高階的Java或Python等高階應用語言,反倒是臺灣資訊相關課程,還是會要求學生學習基本的C語言、組合語言等,「可以累積基礎實力,面對複雜難題時,才有能力化繁為簡,解決問題。」吳樹謙說。
從比賽第一關的題目來看,有許多的學生一開始就把這個題目想的很複雜,不是當成Excel的欄、列,就是想成是SQL Server的內容,只有冠軍隊伍中央大學Admin的楊安傑曾經一瞬間想過,這些欄列資訊會不會與鍵盤相關,但因為太簡單,這樣的念頭立馬就被打消了。
事實上,這個題目的解答其實很簡單,只要考生看著所使用筆記型電腦的鍵盤,輸入直欄、橫列交集的鍵盤按鍵,就可以得到開機密碼。也因為有許多學生想的太複雜,耽誤至少二、三十分鐘,導致後面的題目來不及解題。
吳樹謙表示,這也反應,其實很多資安攻擊的方式,往往是用你想不到最簡單的方法,就可以入侵成功。他說,芬安全在其他資安比賽也曾出現類似的考題,當時參賽學生的反應和臺灣參賽學生雷同,都把問題想的太複雜,根本忽略最簡單的解答方式,其實就在眼前。
他指出,芬安全亞洲實驗室這次出題,前後修改過幾次,並且都請實習生測驗多次後才納入題庫中。雖然整體題目偏難,但該公司希望透過這樣「Out of Box」的出題模式,可以擴展參賽學生不同的國際視野,並打破以往侷限在框框的思維模式。
只有技術能力還不夠,廣泛涉獵資安議題也是實力的累積
這次比賽分成技術競技以及資安問答兩大類,相較於其他技術競賽,吳樹謙表示,除了希望從學生團隊的技術能力比出高低,也希望督促學生能更廣泛的涉獵相關的資安議題,畢竟,資安範疇無遠佛屆,許多資安事件發生是息息相關,攻擊手法也都彼此參照,有一定的資安事件和範疇的涉獵,也是一種資安實力的累積。
問答有兩輪,第一輪總共有15題,前10題是選擇題,後5題是填空題,吳樹謙說,這樣題型的設計,也和臺灣不是以英文為母語國家有關,降低語言對參賽學生的門檻。第一輪的選擇題中,從攻擊核電廠的惡意程式是哪一個,到什麼樣的行為是後門程式(Backdoor),甚至是判斷哪些工具「不是」攻擊套件等;在填空題的部份,首先考倒許多參賽考生的就是臉書的即時通訊(IM)使用哪一個通訊埠?有不少隊伍直接以問號和空白顯示答案。當然也有送分題,那就是先前iThome委由芬安全亞洲資安實驗室檢測的中國手機是哪一款型號?
第二輪的問答是即時抽籤問答,有參賽團隊因為看不懂題目中的Ransomware(勒索軟體)指的是什麼,無法回答正確答案而錯失奪冠的機會。參賽學生事後也指出,目前學校使用的教科書中,都是二、三年前的課本,老師連上課講義PPT都已經做好,像是曾經在2013年造成軒然大波的勒索軟體CryptoLocker,都不在老師上課的範圍內。
獲得第二名交通大學DSNSLab的陳仲寬認為,即席問答的比賽方式很少見,但也很刺激。他們抽到的就是在今年4月發生的OpenSSL的Heartbleed(心臟淌血)漏洞的問題,包括這個漏洞影響到哪些平臺?駭客如何攻擊?可以利用這個漏洞取得哪些資訊等。因為陳仲寬回答的很完整,總評審的米戈˙希伯能甚至在滿分10分外,多加1分。也因著這一分之差,順利打敗第三名輔仁大學的NISRA-YUN。
此次擔任協辦單位的臺北醫學大學醫學資訊研究所所長劉建財表示,政府部門打造越來越多醫療相關的雲端服務,對該校而言,除了理解醫院的系統架構和運作外,因為醫院運作時,涉及許多病人的隱私和敏感性資料,資訊安全也成為越來越重要的環節。此次藉由協辦競賽的方式,鼓勵學生組隊參賽、增廣視野,雖然只有一隊進入總決賽,但「這總是一個好的開始。」他說。
資安界傳奇人物病毒獵人、也是Ted資安演說家:芬安全首席研究長米戈˙希伯能(Mikko Hyppönen)來臺舉辦資安競賽,稱讚臺灣學生資安技術基礎實力佳,有機會深化,成為世界級資安專家。
獲得第二名的交通大學DSNSLab團隊。
獲得第三名的輔仁大學NISRA-YUN。
↑發生在2013年底美國第二大零售百貨業者Target,遺失1.1億筆客戶資料。請問,惡意程式竊取Target使用憑證的帳號和密碼為何?
請問,↑上列4個選項中,哪一個不是網路攻擊套件?
熱門新聞
2024-10-05
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07
2024-10-07