今年8月10日,台灣駭客年會隊伍HITCON首次在全球最高的駭客競賽DEFCON 22 CTF(搶旗攻防戰)決賽上奪得世界第二名的佳績。在昨(20)日的HITCON台灣駭客年會上,HITCON隊伍領隊李倫銓(Alan)及隊長蔡政達(Orange)分享致勝秘訣,關鍵在於DEFCON決賽時,他們第一時間就找出可以攻擊對手的漏洞,並在許多對手機器上植入後門、自動取分,奠定了得到亞軍的基礎。李倫銓也以韓國在DEFCON上的參賽狀況為例,說明韓國政府及企業贊助舉辦許多資安競賽,大力培育資安人才,期許台灣未來能有更多的資安賽事,創造台灣資安人才展現實力的舞台。
一年征戰四方,HITCON隊伍逐步累積實力
李倫銓表示,這一年來,他們參加了從中國、美國、韓國等國家舉辦的許多資安競賽,曾在中國的百度杯得到亞軍、在伊朗的ASIS CTF Quals中得到冠軍。許多競賽由於是在網路上舉行,因此他們不用到現場,也可以透過網路參與。經過這些競賽,HITCON團隊逐步累積參與競賽的經驗。
DEFCON是世界知名的資安研討會,每年都在美國拉斯維加斯舉行,會上舉辦的CTF決賽是全世界最重大的資安賽事。要參加DEFCON的CTF決賽,必須先在大會指定的賽事中得到冠軍,或是在DEFCON的預賽中達到前12名才可參加。李倫銓說,參加5月17到19日長達48小時的DEFCON預賽時,HITCON團隊特別向台大商借一間教室遠端參賽,讓成員可以有地方不受打擾地專心解題。預賽結束時間是台灣早上八點,在結束前一個小時、台灣時間七點時,HITCON成績在全體參賽隊伍中,仍落後在第20名。但在團隊成員契而不捨的努力下,一起解出了重點題目,名次很快由20名跳到12名,也因此吊車尾得到了進入決賽的資格。
李倫銓說明,CTF(搶旗攻防戰)遊戲規則重點就是搶旗,每個隊伍都分到一台伺服器,伺服器上有數個運行的網路服務,但存在著漏洞。隊伍需要保護自己的機器免於被入侵,同時又要攻擊別人的機器取得分數,因此這個遊戲非常殘酷,考驗團隊是否擁有防禦、攻擊的綜合能力。
對於DEFCON決賽過程,蔡政達說明,在第一時間,HITCON團隊就在伺服器上建立一層過濾封包的防火牆,只要有任何團隊攻擊,他們都可以側錄網路封包,進而找到攻擊漏洞加以利用,或對自己的機器進行修補。開賽沒多久,HITCON團隊很快就找到植入後門、穩定取分的方式,並且撰寫自動化腳本定時進行攻擊,因此HITCON團隊才能在開始時就拉開差距,奠定拿到亞軍的基礎。
HITCON團隊甚至曾大膽攻擊當時第一名、由美國天才駭客Geohot 、Ricky Zhou和CMU所組成、多次奪冠的PPP(Plaid Parliament of Pwning)團隊,從他們身上取分,HITCON團隊甚至在比賽後期還曾一度拿下第一名的領先位置。「我們是少數敢攻擊PPP團隊的隊伍!」蔡政達驕傲地表示。賽後,PPP團隊特地與HITCON團隊交流經驗時坦承,他們視HITCON隊伍為勁敵,幾乎不敢攻擊HITCON團隊,避免被HITCON團隊抓到攻擊方式。
PPP成員Geohot被視為天才駭客,自組的一人團隊tomcr00se目前世界排名第五,他參加的團隊PPP排名更高,世界排名第二。能被他們視為勁敵,HITCON團隊與有榮焉。
最後,HITCON隊伍奪得亞軍的佳績,僅次於多次奪冠的美國PPP團隊。計算全球CTF賽事的成績後,目前HITCON團隊目前在CTF上的世界排名已經擠入。
韓國官方自己舉辦資安大賽!李倫銓:希望台灣未來能有更多賽事
李倫銓表示,DEFCON決賽名額中認可的7個國際賽事中,就有兩個是由韓國舉辦。韓國除了有許多企業贊助比賽之外,甚至由政府部門出資舉辦駭客研討會,對於資安教育的培訓不遺餘力。在DEFCON決賽中,入圍的韓國隊伍共有五隊,「韓國官員甚至到場關心、製作團隊制服,可見韓國對資安大賽的重視」。
他並分享韓國政府、企業支持比賽的狀況,希望台灣可以有更多資安比賽,除了培訓資安人才以外,也可以提供台灣資安人才嶄露頭角的舞台。他認為,邀請世界各國的知名資安團隊一同來台參與比賽、交流切磋,可以幫助台灣民眾了解國際資安新知,打破因為資訊落差所造成的誤解。他強調,透過這類研討會或競賽的舉辦,台灣喜愛資安的年輕人有個學習的舞台,才能培養更多的資安人才。
圖說:今年8月,台灣駭客年會隊伍HITCON首次在全球最高的駭客競賽的決賽上奪得世界第二名的佳績。HITCON成員指出,韓國政府及企業贊助舉辦許多資安競賽,大力培育資安人才,期許台灣未來能有更多的資安賽事,創造台灣資安人才展現實力的舞台。