由韓國天才駭客Lokihardt(圖右一)領軍的Cykorkinesis獲得HITCON CTF決賽冠軍,也率先成為2017年DEF CON CTF種子賽事隊伍。

圖片來源: 

iThome

為期兩天的HITCON CTF搶旗攻防賽決賽結果出爐,由韓國天才駭客Lokihardt領軍的Cykorkinesis獲得冠軍,也率先贏得2017年在美國拉斯維加斯舉辦的全球駭客攻防賽DEF CON CTF的種子賽參賽資格。第二名由比賽一開始就表現傑出的俄羅斯聯隊LC↯BC獲得第二名,美國隊PPP獲得第三名。

閉幕典禮時,行政院院長林全也蒞臨致詞,他表示,資訊科技已經明顯改變人民生活,上網已經是人民的基本權利。他個人過往也曾經經歷過,郵件被駭客鎖定,也有電腦中毒的經歷,他相信,這些已經是許多人的共同經驗。林全承諾,資安等於國安的政策方針已經確定,未來行政院的工作重點也將以確保關鍵基礎設施系統(CIIP)的安全,並且要促進資安產業發展,以及對資安人才落實質與量共同提升。

總統府國安會諮詢委員李德財致詞時指出,從日前才發生舊金山市區公車系統被勒索軟體加密,居民可以「享有」免費搭乘巴士福利,以及德國電信公司的路由器,遭到惡意軟體攻擊、癱瘓兩天的資安事件來看,即使歐美國家的資安法規和政策都相對臺灣健全,仍難避免類似資安事件攻擊,更何況是資安意識薄弱的亞洲和臺灣。

尤其是臺灣,李德財進一步指出,面對嚴峻的網路攻擊之際,更應該以高標準看待資訊安全,並將資安置於國家安全的架構內看待,確認資安就是國安的思維,並將資安視為數位國家的基礎,做為國家創新經濟的後盾。

參賽隊伍的解題思維模式,就是出題者最好的老師

參賽隊伍對於主辦單位 HITCON的出題水準都表示肯定,而HITCON CTF領隊李倫銓則表示,出題雖然很辛苦,但是這些世界級的駭客團隊,在比賽過程中都展現出不一樣的駭客思維,更有許多讓人意想不到的解題模式,對於出題團隊的成員而言,都是很大的學習。

這次Web題目中有一題WebRop,出題者Orange Tsai以PHP語言開發的開源軟體SugarCRM作為基礎,以此架設一個真實環境,他過去曾經利用軟體特性挖掘到一些軟體漏洞,希望藉由出題拋磚引玉,找到更多漏洞利用方法。

Orange Tsai表示,令人驚奇的是,LC↯BC在這個過程中,率先找到一個零時差漏洞,接著PPP和Cykorkinesis也陸續找到其他的漏洞,透過出題方式讓其他團隊也可以找到其他漏洞,這是出題者的驕傲也是榮耀。

李倫銓進一步指出,對這次出題者的驚奇則是,LC↯BC在某題釋出後一分鐘內就率先得分,這根本不可思議。他說,主辦單位立刻分析LC↯BC手法後發現,該團隊在其他隊伍植入後門後,還用系統PS指令,嘗試一直刷新來偷看在記憶體中其他題目flag資訊,雖然要看機率,但也能順利拿到flag得分。他說,這是他們曾經想嘗試的攻擊手法,沒想到竟然在自己的比賽看到參賽隊伍實做成功,但後來主辦方也立刻找出方式修補,但先前得分仍然有效,因為的確是很棒的一招。辦比賽不但長知識,還訓練自己短時間內要找出應變方法,主辦方等於是一隊打十四隊,真的是非常刺激。

此外,李倫銓表示,在第二天下午的比賽中,PPP展開新一輪搶攻,先找到可以利用的零時差漏洞後,攻打其他參賽者的服務得分,再利用他們對賽制的了解,進而關閉參賽者的服務,關閉服務參賽者的得分就會平均分給服務還存活的參賽者。PPP施展出這個招式後,利用兩倍得分大幅追分,後來LC↯BC發現PPP的企圖後,修復自家服務,其他服務當機的分數立刻就平分給PPP和LC↯BC。PPP因此失去大幅得分優勢,否則第二第三的位子還真有可能改變。

這次前三名的分差大幅領先第四之後的隊伍,顯示韓國俄羅斯美國隊伍實力非常堅強,而且第一名韓國隊得分幾乎是第二名的1.5倍,的確就是當時2015年DEFCON奪冠的氣勢。

他指出,這次出題的類型包括Pwnable、逆向工程(Reverse)、Web、鑑識(Forensic)、加解密(Cryptography)和MISC等領域。

韓國隊奪冠,各參賽隊伍肯定出題程度

獲得第一名的Cykorkinesis也是去年HITCON CTF決賽的冠軍,領隊Lokihardt原本無法參賽,此次現身比賽現場是大會意料之外的驚喜,也讓整個比賽有不一樣的預期。Lokihardt表示,韓國隊擅長挖掘漏洞的Pwn題目,相較Web題目顯得略微苦手,但整個參賽過程也有很多學習。

第二名的LC↯BC、則是去年的第三名,相較於去年意外獲得第三名,今年則從開賽就展現奪冠企圖心,領隊Vlad Roskov表示,該隊剛好有2人擅長Web、2人擅長Pwn,彼此分工獲得好成績。第三名PPP中唯一的女生Corolina Zarate今年才20歲,她說,該隊成員擅長漏洞挖掘,Web比較不擅長,但是有這樣的CTF實戰經驗,都是很棒的學習。

另外一隊美國參賽隊伍Shellphish是由美國加州大學聖塔芭芭拉分校學生組成,成員之一王若愚(Fish)直言,該隊平常的訓練偏重漏洞挖掘,遇到Web題目很容易就會跳過。他認為這次的出題,很有「亞洲CTF」風格,題目需要花點頭腦思考,但又不至於太刁鑽、不合理。他肯定HITCON CTF團隊的整體表現,更允諾明年還要再來。

唯一入圍的中國隊0ops則是上海交通大學組成的,隊長肖子彤表示,該隊擅長的仍是漏洞挖掘,但是從這次Web的出題,也獲得很多不一樣的學習。去年同樣入圍前十名,由北京清華大學組成的中國隊伍藍蓮花,此次因為原本參賽成員都畢業了所以沒有派員參賽,但肖子彤表示,0ops仍有繼續維持CTF參賽的傳承,希望可以持續下去。

在世界超強CTF比賽團隊的環伺下,獲得HITCON Taiwan Star獎項的隊伍,就是由暑期資安課程AIS3成員組隊的Dispwnable獲得。這個團隊分別來自交大網工和新竹教育大學,參賽隊員雖然對資安有興趣,但是在面對未來的職涯規畫時,資安的工作是否有好的薪資和服務,也是他們在思考是否會繼續投入資安領域的考量。

另外,參加「經濟部2016智慧電表滲透測試競賽」獲得冠軍的Hacker Forge,是由中正大學通訊工程系學生組成,透過這次的實戰經驗,他們發現,實戰和在學校模擬環境有極大的差異,加上對於各種資安工具使用的熟悉度,這是一次很好的學習經驗。


熱門新聞

Advertisement