Quantcast
Channel: iThome
Viewing all articles
Browse latest Browse all 31352

專訪臺灣首次世界級CTF駭客攻防種子賽幕後推手

$
0
0

在2015年12月上旬,於臺灣舉辦了一場齊聚全球第一流資安技術人員的HITCON CTF搶旗攻防賽現場決賽,許多打進美國DEF CON CTF決賽的隊伍,也都來參賽。

負責主辦此次HITCON CTF搶旗攻防賽的,就是臺灣資安社群HITCON,從2015年10月舉辦線上初賽開始,全球總共有969隊資安團隊報名參賽,參賽隊伍最多的就是臺灣隊伍,總計181隊,其次為美國,有141隊參賽,鄰近的中國也有114隊報名,其他包括日本55隊、韓國69隊、越南48隊,俄羅斯也有45隊參與線上的初賽。

最終獲得決賽資格的前10名隊伍,包括來自美國的PPP、Shellphish和Samurai,中國則有0ops和藍蓮花(Blue-Lotus)2隊,其他都是DEF CON CTF的入圍常勝軍,包括俄羅斯聯隊LC↯BC、匈牙利隊!SpamAndHex.、波蘭隊Dragon Sector,以及備受注目的韓國隊Cykorkinesis,和去年HITCON CTF冠軍fuzzi3等共10隊,再加上趨勢科技在東京舉辦趨勢科技CTF決賽代表隊TokyoWesterns,以及2隊臺灣代表隊:臺交網路攻防賽冠軍團隊(CTCTF 2015)<(_ _)> shik,與資安課程AIS3 CTF冠軍隊伍BambooFox-DSNS共同參與。

HITCON臺灣駭客年會總召蔡松廷(網路暱稱TT)表示,HITCON決賽是2016年美國DEF CON CTF駭客競賽第一場的種子賽事,獲得HITCON CTF決賽冠軍隊伍,可以直接入圍2016年DEF CON CTF決賽。他認為,對於臺灣HITCON而言,花了2年時間,獲得全球駭客高手的肯定,成為能夠舉辦DEF CON種子賽事的團隊,這也是暨日本、韓國之外,第三個有能力舉辦DEF CON CTF種子賽事的國家。

但是,當臺灣HITCON團隊,從參賽者轉變成出題目的主辦者時,蔡松廷坦言,技術能力最好的團隊成員都去出題後,導致後續沒有足夠資安人才組隊得名,這將是未來臺灣資安發展得解決的人才斷層隱憂。

臺灣有能力舉辦一場公平又有深度的CTF種子賽

擔任HITCON CTF領隊的李倫銓表示,DEF CON CTF初賽是所有CTF比賽中,競爭最激烈的比賽,為了搶奪入圍前十名的名次,通常會集結各方做優秀的戰力,花3天3夜的時間解題以取得入圍DEF CON CTF決賽資格。

李倫銓認為,正因為這兩年HITCON技術能力在國際上的比賽已經獲得肯定,才有可能在臺灣舉辦這樣世界級的資安競賽。不過相較其他亞洲國家,臺灣參與CTF比賽的經驗算是較晚投入,亞洲最早投入資源在CTF的國家是韓國,他們在2006年打進DEF CON CTF決賽後,政府就陸續投入相關資源,希望能夠拉抬韓國在CTF比賽的實力。

其次則是中國,由北京大學組成的藍蓮花隊伍,在2013年以堅強的實力打進DEF CON CTF決賽後,該團隊以自身經驗,舉辦了中國百度盃的CTF比賽,將CTF的比賽賽制和精神,推廣給更多參賽隊伍,臺灣HITCON團隊也因為參加了百度盃,有機會深刻體驗並理解DEF CON CTF的比賽規則和題目類型,對之後的比賽都具有正面效益;藍蓮花之後也透過舉辦CTF聯賽的方式,將CTF變成一種像是中國全國性的運動比賽模式。

相較於韓國和中國,臺灣2014年第一次正式打進DEF CON CTF決賽,贏得第二名的好成績,並在2015年同樣打進決賽,獲得第四名,李倫銓認為,除此之外,再加上平時在各界有不錯的形象與互動,讓DEF CON CTF主辦單位認為,臺灣是有能力舉辦一場公平又兼具考驗深度的資安競技,才願意在HITCON CTF第一次申請為DEF CON CTF種子賽事就通過。

李倫銓說:「可以第一次舉辦CTF比賽,就被選上為DEF CON CTF全球8個種子賽事之一,不僅是非常難能可貴的機會,也是對臺灣的一種肯定。」

 

負責HITCON CTF決賽的出題小組和平臺維運及網路小組,整日在比賽會場嚴陣以待,維持比賽環境最佳化。

 

舉辦CTF競賽,是培養資安人才的方法之一

由於CTF搶旗攻防賽是一種資安攻防競技,行政院副院長張善政在揭露資安政策2.0時便認為,政府不需要自己去舉辦另外的CTF比賽,只需要投入資源協助HITCON把CTF比賽辦的更好,成為一個更具有國際視野的比賽就可以。

李倫銓表示,在臺灣已經有很多前輩在各個不同的領域協助人才培育,包括各種專業學程、IOI等,這些長期累積下來的成績,才是臺灣人才培育的底蘊。他說,CTF是近幾年才逐漸興起的一種比賽活動形式,雖然與其他人才培養方式不一樣,但也因為有競賽特質,反而可以培訓出一些對安全可以更深入研究專精的人才。對於這些參加CTF比賽選手的共通特性就是:「全方面涉獵且不肯放棄。」他說。

對於外界有人認為,政府把資源投入推廣CTF比賽後,會造成一種資安資源的排擠效應並予以抨擊,蔡松廷並不認同。他表示,過去政府在一些資安資源的投入其實是零,根本沒有投入相關的資源,但藉由推廣CTF競賽的方式,也有效鼓勵政府願意在資安方面投入更多資源,透過推廣與贊助比賽,是一種資安人才培養最直接的方式之一。

當然,每一個不同的CTF比賽都有其專長偏好的項目,蔡松廷表示,韓國從企業、政府、學校甚至社群等,舉辦各式各樣的CTF競賽,也鼓勵學生參加不一樣的CTF比賽,獲得好成績、表現優異的選手,有助於升學和未來的求職就業,參加CTF比賽就是一種資安能力的證明。

例如,在HITCON CTF初賽時,曾有韓國隊伍在九百多個參賽隊伍中,只獲得50幾名的成績,成績無法打進決賽,但是,韓國參賽選手卻希望HITCON主辦單位可以幫忙他們開立參賽的成績證明。蔡松廷說:「因為這個CTF比賽資歷,對於他們未來在求學和求職,都有正面加分。」

因為高水準資安人才難覓,為了提升臺灣團隊的整體實力,從2014年在DEF CON CTF獲得第二名成績回來後,HITCON團隊成員也馬不停蹄在臺大、交大開課培訓,並且在2015年1月舉辦第一次校際的臺交駭客攻防賽,為的就是能養出更多能實戰的隊伍,獲得冠軍的隊伍也成為HITCON CTF決賽中臺灣的種子隊之一。

「這批CTF選手能夠兩小時解決其他工程師要花兩周才能解決的問題,這就是競爭力。」李倫銓表示,避免未來可能的資安人才斷層,HITCON非常希望能加速人才培訓。他坦言,現階段要臺灣出兩隊以上的CTF參賽團隊其實很難,因為我們面臨的國際挑戰很大,目前很多產業都是需要更努力才能與其他國家競爭,他則希望,資安是有機會突圍的產業之一。所以,就算難,HITCON還是希望努力舉辦CTF來培訓臺灣資安人才。

「參加CTF比賽不僅要有技術能力,還要有熱情和願意投入的時間,」蔡松廷表示,臺灣HITCON知道CTF比賽只是資安實力中的一個環節,為了讓政府、企業、社群和學校可以更緊密的結合在一起,會持續舉辦更多的活動,串連這些不同的單位。

李倫銓則指出,的確仍有很多資安研究,不像競賽這樣外顯但仍需支持,而資安資源分配取決於睿智的決策者,若能將資源放置於正確的方向,就能事半功倍讓資安國力增強,「而調整的狀況,則應該是隨著當時國際、經濟等產業狀況來適度調整。 」他說。

 更多2015 HITCON CTF系列報導 

臺灣首度舉辦世界級資安競賽,全球前十強隊伍都來臺參賽

HITCON CTF決賽名次出爐!韓國天才駭客Lokihardt領軍韓國隊奪冠,2隊中國隊都入圍前5名

超炫IoT光劍自製HowTo完全公開!HITCON CTF駭客競賽幕後大解密


Viewing all articles
Browse latest Browse all 31352

Trending Articles



<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>