即將於8月11日~14日於美國拉斯維加斯舉辦的DEF CON CTF(駭客搶旗攻防賽)決賽,臺灣聯隊Balsn.217@TSJ.TW戰隊成功拿下第二名,取得決賽資格。

隨著疫情趨緩、各國邊境陸續解封,預計在今年8月11日~14日於美國拉斯維加斯舉辦DEF CON CTF(駭客搶旗攻防賽)也即將舉辦實體比賽。因此,於5月28日~5月30日舉辦的CTF線上資格賽,臺灣聯隊Balsn.217@TSJ.TW戰隊順利取得預賽第二名的資格,也確認可以於八月和資格賽前十五名,以及去年DEF CON CTF第一名隊伍Katzebin,總計16隊網路好手現場較勁。

今年的DEF CON也將屆滿30週年,DEF CON CTF的主辦單位從2018年起,由主辦單位O.O.O.(Order-of-the-Overflow)負責出題,今年則改由新團隊Nautilus Institute負責出題。

政府資源挹注,跨世代跨團隊聯手取勝

臺灣科技大學資工系教授鄭欣明也長期負責教育部AIS3(新型態資安暑期課程)專案,並多次帶隊臺灣入圍DEF CON CTF資格賽隊伍出國比賽。他表示,往年參賽選手在打DEF CON CTF的資格賽時,經常都是克難找尋場地,參賽選手熬夜解題,但今年政府預計成立的資安卓越中心(CCoE)所屬的規畫建置計畫中,因為可以同時補助在學和就業人士,所以從預賽時候就提供參賽選手可以住宿和有公共空間討論的比賽場地,「讓參賽選手能夠在預賽時候就見面、培養默契,也有助於取得更好的比賽成績。」鄭欣明說。

今年參賽選手總計有53名,其中在職的有21名,在學學生則有32名。鄭欣明表示,此次參賽的團隊名稱就包含四個世代的選手,217是第一代HITCON CTF戰隊的參賽選手;第二代則是指臺大學生組成的BALSN戰隊,其中則有2018年首度出國參加DEF CON CTF決賽便贏得第12名的團隊成員;第三代則是新一代的由10sec × BambooFox × Goburin' × NCtfU × Ret2NOP 五個小隊伍所合體的聯隊成員組成的TSJ戰隊,有不少成員都曾是AIS3(新型態資安暑期課程)的學員;第四代則是臺大大一、大二學生中,對資安有興趣的BALSN新生代戰隊。

他在現場觀察這些跨世代、跨團隊的參賽選手,雖然中間有一些成員彼此並不認識,但相處起來都很自然、專注度也不輸老大哥;其中,有些曾有打CTF比賽經驗的選手有默契,會依照專長分配題目,新生代選手剛開始默契還沒培養起來,但看著其他團隊的互動模式,也有所成長和學習。

參賽選手從比賽中獲得成長

此次參加資格賽的TSJ戰隊成員林宇翔表示,這次跨世代跨團隊的互還不錯,大部分題目都是由不同團隊的成員們一起討論解題。面對這次的比賽,他也認為當中也有不少學習,舉例而言,光是出題的內容,就可以學到一些像是C++的type confusion或是python的bytecode 等等。

再者,他也坦言,此次比賽也讓他可以透過參賽者的角度,學習到許多出題技巧,了解到主辦方出什麼的題目可能只是在浪費時間,未來如果有機會舉辦CTF比賽時,針對出題內容就可以避免出這樣會浪費時間的題目。

另外一位參賽選手,也是TSJ成員黃志仁(Splitline)則認為,這次參賽選手彼此之間多少有認識,即便不熟悉,但因為有技術作為潤滑劑,也大幅消弭彼此之間的隔閡。

身為Web玩家,黃志仁坦言,在這場以binary為主軸的競賽中,貢獻有限,但僅有的Web的出題卻頗有新意,第一次對flutter撰寫的網頁有所認識;而參賽的附加價值則是,因為Web題目不多,無形之間也提升逆向分析的經驗值。

從這次比賽中,黃志仁也看到,有一些厲害的選手可以直接透過一串亂碼找出規律,以幾乎「通靈」的方式找出原本的flag而不是乖乖分析程式;另外也有選手在看似亂碼的資料中,「通靈」到某個題目,發現其前半不可能是某個亂數產生器的seed並藉此解出題目。他笑說,「通靈能力」的確是競賽中,不亞於技術能力的關鍵技能。

 

熱門新聞

Advertisement