【美國拉斯維加斯DEF CON現場報導】
在美國舉辦的全球駭客競賽DEF CON CTF結果出爐,首度打進DEF CON CTF決賽的南韓隊伍DEFKOR,以超強發現漏洞能力和寫攻擊程式Exploit實力,以全球排名第51名的成績,順利打敗全球排名第一名的美國PPP戰隊。這也是南韓駭客團隊首度贏得DEF CON CTF冠軍,排名第17名的0DaySober則以綿延不絕得攻擊實力獲得第三名。
代表臺灣參賽的隊伍HITCON因為沒有名列前三名,無法在第一時間公布成績,DEF CON CTF競賽的主辦單位Legitbs表示,第四名~第六名成績相當接近,必須重新計算分數後,最遲一~二周才會公布成績。
由於HITCON在第二天戰績結束後成績排名第四名,第三天比賽沒有公布排名和分數,但根據業界人士觀察最後3小時視覺化呈現的攻防成果,除去前三名的攻擊戰力,臺灣即可能維持第四名的成績。臺灣HITCON領隊李倫銓表示,主辦單位僅公布前三名,其他名次可能一周之後公布,只能說HITCON戰隊可能有前五,但不保證,這也是他認為HITCON目前合理的世界排名。
南韓DEFKOR找漏洞、寫攻擊程式能力一流
此次獲得冠軍的DEFKOR是由南韓政府精心培養的駭客攻防團隊,曾經仔細觀察DEFKOR實力的臺灣HITCON領隊李倫銓事先便預測,此次DEFKOR將打敗PPP奪冠。他進一步說明,打CTF比賽很重要的兩個關鍵在於,找漏洞的速度和寫攻擊程式Exploit的速度,而在開賽第一天,DEFKOR在開賽4小時候便寫出第一支攻擊程式打遍全場無敵手,並以八千分大幅領先其他團隊;而這隻攻擊程式臺灣HITCON戰隊研究到第二天比賽的凌晨四點還寫不出來,更可以證明DEFKOR實力堅強。
更何況,他說:「南韓隊中,甚至有3月創下PWN2OWN獎金紀錄、通殺IE、Safari和Chrome三大瀏覽器漏洞的天才少年駭客 Lokihardt,也為DEFKOR實力加分。」HITCON第一天賽事結束排名第二,靠的是分析攻擊流量和防禦技術降低失分,但是離第一差距高達8千分,這種競賽,攻擊力影響分數,跟現實資安狀況一模一樣。
他認為,越早挖出0day(零時差漏洞)造成的危害更大,隨著時間過去,後發現該零時差漏洞的隊伍,則會和發動同一種攻擊的所有隊伍均分分數,與而且最後一天每回合由5分鐘減半為2.5分鐘,更是讓攻擊力強的隊伍占更大優勢。
李倫銓表示,韓國隊靠著零時差漏洞和攻擊程式拼命得分,拉開與各隊的得分差距,雖然他們有韓國天才神童lokihardt通殺三大瀏覽器零時差漏洞的能力,但更重要的關鍵是,韓國隊一定有研發好用的工具,這也是HITCON團隊接下來要持續努力的方向。
PPP戰隊一看第一天的排名第五名,大幅落後其他團隊,緊急招喚原本此次沒有預計要參賽的天才駭客Geohot和其他隊友參賽,李倫銓指出,PPP在戰力到齊後,也成功以許多漏洞和攻擊程式挽回頹勢,並在第二天戰績結束後,追上原本落後的排名,得到第二名的好成績。第三名的0DaySober從第一天比賽到最後決賽結果,不論外在戰隊的攻防變化,都很從容的維持第三名的好成績。
由於第三天最後三小時比賽,由原本5分鐘統計攻擊成績一次,改變成每2.5分鐘統計攻擊成績一次,有現場觀戰的業界人士認為,這樣的規則調整,有利於掌握攻擊優勢的隊伍,略不利臺灣HITCON戰隊。但整體而言,前三名隊伍仍是實至名歸。
此次背負許多期待的HITCON戰隊,李倫銓認為,從這半年選手參加的國際比賽可以發現,HITCON戰隊隊伍的實力已經比去年還強,但對手更強,「面對世界級的競賽只有一直進步,根本沒有停頓的餘地。」他說。.
李倫銓表示,韓國對這次取得冠軍,可說是BoB(Best of the Best)資安菁英人才培訓成果並不為過,但韓國往往頃企業和政府之力培植產業,這不是每個國家都可以效法。他說:「臺灣資安人才培育才剛起步,如何穩穩地走適合臺灣自己的步調,或許比較好。」
主辦單位Legitbs從2013年開始承辦DEF CON CTF競賽以來,便持續使用x86以外的系統平臺,今年除了有32x86 Binary外,也延續過往使用的ARM處理器(ARM 46)的精神,首度有安排Windows 10漏洞的題目,以及Android作業系統的漏洞。李倫銓表示,各隊選手對於不同平臺掌握能力差不多,臺灣在已經是一軍團隊成員的陣容下,在挖漏洞的能力還是輸韓國隊,而韓國的成功是「天才選手加上嚴格訓練得來的。」他說。
明年新戰局,美國防部將舉辦自動化攻擊的新型態駭客競賽
不過,Legitbs在最後對於CTF比賽,也有重大的宣布。Legitbs表示,由美國國防部DARPA高額資金贊助支持的無人自動化CTF(Automated CTF)攻防比賽,預計在2016年在DEF CON24舉行無人自動化CTF的決賽,而獲得自動化CTF冠軍的隊伍,也將會擇期和DEF CON CTF冠軍較量,展開電腦Vs.人腦的CTF大對決。
DEF CON CTF主辦單位Legitbs在閉幕典禮上宣布,CTF駭客競賽前三名獲獎隊伍。
美國戰隊PPP,第二天緊急召喚天才駭客Geohot(圖左)加入戰局,最後獲得第二名的成績。
瑞法聯隊0DaySober最後獲得第三名的好成績,從第一天的比賽到第三天的比賽,都很從容得堅守第三名的名次。
臺灣戰隊HITCON,一直到第三天最後三小時的賽程,依然努力不懈,奮戰到最後一分鐘。