資安界傳奇人物來臺辦資安競賽，讚臺灣學生底子深有世界級潛力

當你參加一個資安競賽，看到第一個關卡的題目，只有給你幾組數字「R1C1、R2C2、R3C11和R3C4」，提示F1，就要你猜出電腦的開機密碼時，你第一個反應是如何？這是資安公司芬安全（F-Secure）首度在臺灣舉辦第一屆資安競賽時，給比賽考生的第一道難題。資安界傳奇人物病毒獵人芬安全首席研究長米戈˙希伯能（Mikko Hyppönen），也為了擔任此次資安競賽總評審再度來臺。

米戈˙希伯能曾經關閉在2003年引發全世界病毒恐慌的Sobig_f worm病毒；也是2004年第一位向全球提出「殺手病毒」警告的專家；擔任國際刑警資安顧問，長年協助美國、歐洲、亞洲法務部門處理數位犯罪；經常受邀TED演講資安相關議題，並在2011年與美國總統歐巴馬並列為全球百大教育思想家。他更因為美國國安局要求RSA公司在軟體中放後門一事，宣布取消2014年RSA大會的演講，並發起抵制參與RSA公司舉辦的RSA資安大會，引起網路上廣泛的共鳴。

米戈˙希伯能全程參與整個競賽過程指出，臺灣參賽學生的資安技術能力比他看到其他亞洲國家學生好，尤其普遍都熟悉組合語言並懂得逆向工程的攻擊手法。他認為，臺灣學生有機會在資安技能上深度鑽研，找到有興趣的領域，成為世界級的資安專家。芬安全大中華區總代理翔偉資安營運長杜世鵬表示，該公司也希望透過協助舉辦這樣的資安競賽，能找到適合的對象投入資安產業。

此次，總計有10組學生隊伍參加總決賽，參賽學生曾有參加金盾獎和代表臺灣駭客年會HITCON到美國參加DefCon競賽的成員；參賽學校包括南部的中山大學、成功大學、虎尾科技大學，北部的臺灣大學、交通大學、輔仁大學、實踐大學以及協辦的臺北醫學大學學生組隊參加，由中央大學Admin'--獲得第一名，交通大學DSNSLab獲得第二名，第三名則是輔仁大學的NISRA-YUN。

臺灣學生擅長組合語言，有機會專研成世界級高手

負責協助此次資安競賽出題的芬安全亞洲實驗室惡意程式分析師Mangesh Fasale表示，多數參賽學生都可以闖過第二關、第三關，顯見這些學生都有寫組合語言的能力，才能順利過關斬將。他說，相較於在馬來西亞的比賽，多數學生隊伍因為缺乏基礎組合語言能力，很難持續答題。

已經在馬來西亞舉辦4屆資安競賽，芬安全亞洲安全實驗室技術顧問吳樹謙補充表示，馬來西亞大學資訊相關科系多只教導學生高階的Java或Python等高階應用語言，反倒是臺灣資訊相關課程，還是會要求學生學習基本的C語言、組合語言等，「可以累積基礎實力，面對複雜難題時，才有能力化繁為簡，解決問題。」吳樹謙說。

從比賽第一關的題目來看，有許多的學生一開始就把這個題目想的很複雜，不是當成Excel的欄、列，就是想成是SQL Server的內容，只有冠軍隊伍中央大學Admin的楊安傑曾經一瞬間想過，這些欄列資訊會不會與鍵盤相關，但因為太簡單，這樣的念頭立馬就被打消了。

事實上，這個題目的解答其實很簡單，只要考生看著所使用筆記型電腦的鍵盤，輸入直欄、橫列交集的鍵盤按鍵，就可以得到開機密碼。也因為有許多學生想的太複雜，耽誤至少二、三十分鐘，導致後面的題目來不及解題。

吳樹謙表示，這也反應，其實很多資安攻擊的方式，往往是用你想不到最簡單的方法，就可以入侵成功。他說，芬安全在其他資安比賽也曾出現類似的考題，當時參賽學生的反應和臺灣參賽學生雷同，都把問題想的太複雜，根本忽略最簡單的解答方式，其實就在眼前。

他指出，芬安全亞洲實驗室這次出題，前後修改過幾次，並且都請實習生測驗多次後才納入題庫中。雖然整體題目偏難，但該公司希望透過這樣「Out of Box」的出題模式，可以擴展參賽學生不同的國際視野，並打破以往侷限在框框的思維模式。

只有技術能力還不夠，廣泛涉獵資安議題也是實力的累積

這次比賽分成技術競技以及資安問答兩大類，相較於其他技術競賽，吳樹謙表示，除了希望從學生團隊的技術能力比出高低，也希望督促學生能更廣泛的涉獵相關的資安議題，畢竟，資安範疇無遠佛屆，許多資安事件發生是息息相關，攻擊手法也都彼此參照，有一定的資安事件和範疇的涉獵，也是一種資安實力的累積。

問答有兩輪，第一輪總共有15題，前10題是選擇題，後5題是填空題，吳樹謙說，這樣題型的設計，也和臺灣不是以英文為母語國家有關，降低語言對參賽學生的門檻。第一輪的選擇題中，從攻擊核電廠的惡意程式是哪一個，到什麼樣的行為是後門程式（Backdoor），甚至是判斷哪些工具「不是」攻擊套件等；在填空題的部份，首先考倒許多參賽考生的就是臉書的即時通訊（IM）使用哪一個通訊埠？有不少隊伍直接以問號和空白顯示答案。當然也有送分題，那就是先前iThome委由芬安全亞洲資安實驗室檢測的中國手機是哪一款型號？

第二輪的問答是即時抽籤問答，有參賽團隊因為看不懂題目中的Ransomware（勒索軟體）指的是什麼，無法回答正確答案而錯失奪冠的機會。參賽學生事後也指出，目前學校使用的教科書中，都是二、三年前的課本，老師連上課講義PPT都已經做好，像是曾經在2013年造成軒然大波的勒索軟體CryptoLocker，都不在老師上課的範圍內。

獲得第二名交通大學DSNSLab的陳仲寬認為，即席問答的比賽方式很少見，但也很刺激。他們抽到的就是在今年4月發生的OpenSSL的Heartbleed（心臟淌血）漏洞的問題，包括這個漏洞影響到哪些平臺？駭客如何攻擊？可以利用這個漏洞取得哪些資訊等。因為陳仲寬回答的很完整，總評審的米戈˙希伯能甚至在滿分10分外，多加1分。也因著這一分之差，順利打敗第三名輔仁大學的NISRA-YUN。

此次擔任協辦單位的臺北醫學大學醫學資訊研究所所長劉建財表示，政府部門打造越來越多醫療相關的雲端服務，對該校而言，除了理解醫院的系統架構和運作外，因為醫院運作時，涉及許多病人的隱私和敏感性資料，資訊安全也成為越來越重要的環節。此次藉由協辦競賽的方式，鼓勵學生組隊參賽、增廣視野，雖然只有一隊進入總決賽，但「這總是一個好的開始。」他說。

資安界傳奇人物病毒獵人、也是Ted資安演說家：芬安全首席研究長米戈˙希伯能（Mikko Hyppönen）來臺舉辦資安競賽，稱讚臺灣學生資安技術基礎實力佳，有機會深化，成為世界級資安專家。

獲得第二名的交通大學DSNSLab團隊。

獲得第三名的輔仁大學NISRA-YUN。

↑發生在2013年底美國第二大零售百貨業者Target，遺失1.1億筆客戶資料。請問，惡意程式竊取Target使用憑證的帳號和密碼為何？

請問，↑上列4個選項中，哪一個不是網路攻擊套件？