文/黃彥棻 | 2014-08-11發表
由年輕駭客組成的臺灣駭客團隊HITCON,擊敗了各國近千隊駭客,首度打進在美國舉辦的全球駭客大賽DEF CON CTF(搶旗攻防戰)的全球20強決賽,並奪下第二名佳績,僅次於由天才駭客Geohot率領的美國駭客隊。主辦單位頒獎時更強調這是來自臺灣的駭客團體。
臺灣駭客團隊HITCON有史以來第一次,首度獲得在美國拉斯維加斯舉辦的駭客大賽DEF CON CTF(搶旗攻防戰)全球第二名,而主辦單位在頒獎典禮上宣布這是來自臺灣的資安隊伍,名次僅次於多次奪冠的美國團隊PPP,而這個PPP團隊則是由天才駭客神人Geohot 、Ricky Zhou和CMU PPP戰隊的資安聯軍,雖敗猶榮。第三名則是世界CTF排名第一波蘭戰隊Dragon Sector。
臺灣駭客團隊HITCON是由臺灣的年輕駭客組隊而成,整合包括CHROOT、臺大217、交大資工等夥伴,由臺灣駭客年會CTF召集人李倫銓(Alan)花了半年時間整合、受訓,參與各種國際駭客競賽,先是贏得百度杯(BCTF)駭客競賽第一名,接著打敗全球上千駭客隊伍,在DEF CON 22預賽獲得第12名,首度取得全球駭客大賽DEF CON CTF(搶旗攻防戰)決賽資格,終於在8月8~10日在美國拉斯維加斯全球20強的決賽中奪下全球第二名的好成績,。
李倫銓曾在臉書表示,「這場DEF CON決賽,專家皆預測是世界CTF排名第一波蘭戰隊Dragon Sector和美國第一戰隊PPP的頂尖對決,但來自臺灣的HITCON團隊,竟然以黑馬之姿周旋在世界列強之中,令人跌破眼鏡!」
驚濤駭浪的3天比賽,終於奪下第二名好成績
在正式比賽的當天晚上,為了在比賽中爭取更好的名次,HITCON臺灣戰隊剛剛討論戰術和寫程式到凌晨1點多,李倫銓說:「就是希望能順利在不眠不休的3日戰事中,順利存活。」
CTF的比賽方式是,每個參賽團隊都有自己的伺服器,每個伺服器上都有各種預先設計好的漏洞,各個參賽隊伍彼此找漏洞相互攻擊,甚至,先找到漏洞成功發動攻擊的參賽者,還可以加分;除了攻擊之外,也必須設法補強自己的漏洞,避免被攻陷。而HITCON守護的伺服器就是小小一臺的ARM v7,預載了很多漏洞,HITCON不僅要鞏固自己伺服器的安全,也必須攻陷其他團隊的伺服器得分。
這是HITCON團隊參加比賽3天以來,必須努力保護的伺服器ARM v7,HITCON不僅要強化伺服器的安全性,也必須去攻陷其他團隊的伺服器得分。
第一天,HITCON的比賽戰績原本是第五名,後來發現成績計算錯誤,第一天戰績高居第二名,李倫銓說:「初期防護能力決定一切,名次排名前面的隊伍,幾乎都是積極鞏固自己系統。」
HITCON第一天原本公布獲得第五名,後來大會成績計算錯誤,重新公布,HITCON在第一天獲得第二名的好成績。
到了第二天的比賽,HITCON曾經一度排名第一名,只不過,美國駭客戰隊PPP開始以好幾個零時差(0 Day)漏洞橫掃全場,也很快奪下第一名的寶座。而PPP戰隊從一剛開始就視HITCON為勁敵,並不主動攻擊HITCON守護的伺服器,鎖定其他團隊陸續得分,就是怕HITCON知道他們的攻擊手法。
HITCON在第二天的比賽中,曾經短暫的獲得第一名好成績。只不過,沒多久就被美國駭客團隊PPP奪得第一名的寶座。
由於主辦單位每日都會更換隊伍桌次,到了最後一天的比賽,主辦單位便將前四強隊伍,包括:美國隊PPP、台灣隊HITCON、波蘭隊Dragon Sector以及中國隊Blue Lotus安排在中間的4張桌子上,其他隊伍則環繞在這4隊之外。「這對於首度參賽的HITCON而言,是無比的榮耀。」李倫銓說道。
DEF CON 22主辦單位在美國西區時間下午5點 DEFCON 典禮的時候公布的戰績時,特別宣布由來自臺灣HITCON團隊獲得第二名,所有的成員都非常的感動。領隊李倫銓表示,臺灣隊伍能奪勝其實是運氣加上這次的團隊充分發揮默契,合作無間才勉強得勝,實在贏的非常僥倖。
雀躍之餘卻看到臺灣資安發展的致命傷
李倫銓坦言,今年上半年的訓練和比賽經驗、以及提早兩天來美國集訓,對這次比賽很重要,其中,由中國藍蓮花舉辦的BCTF百度盃決賽的經驗,更讓臺灣團隊可以事先學習到這種搶旗賽相關規則和經驗,有對臺灣團隊的成長帶來很大的幫助。
臺灣雖然贏得第二名,但李倫銓認為,世界上其他隊伍實力實在太強,包括PPP和Dragon sector、中國藍蓮花等,尤其是PPP隊伍,挖掘0day漏洞和寫exploit漏洞攻擊程式的能力非常快速,找到0day後可以立刻橫掃全場,奪取大量分數,這便是PPP團隊致勝的關鍵。
他強調,這種零和制的搶旗賽,每一個攻防流程都跟現實資安狀況相似,可謂是考驗選手在短時間內需具備漏洞分析能力、攻擊程式撰寫速度、全方位高端電腦知識的一種嚴格挑戰。
雖然HITCON很僥倖獲得第二名的好成績,但看在李倫銓的眼裡,對於臺灣未來資安人才培育和資安產業發展前景,卻充滿的憂心。
他認為,這次駭客競賽得勝,並不代表臺灣駭客很厲害,反而真的見識到世界級高手挖漏洞的堅強實力,這點是臺灣軟體產業和資安人才非常欠缺的部分。更重要的是,「臺灣幾乎沒有這樣的藍海市場可以留住這次的資安人才。」李倫銓說道。
或許HITCON得到全球第二名的好成績很值得開心,但李倫銓看到韓國隊的整體資安實力,卻感到憂心不已。他說:「反觀韓國這次共有5隊進入決賽,韓國隊雖然沒有奪得前三名,但是這種整體資安實力的數據,才是臺灣政府和民間應該要共同努力的目標,而不是看到單一團隊的得名!」
李倫銓表示,由於韓國長期有制度的集訓並培養資安人才,由政府帶頭下,這次韓國隊總共培訓了raon_ASRT、KAIST GoN、CodeRed、HackingForChimac,以及[SEWorks] penthack等5隊,全都打進這次駭客界的世界盃DEF CON 22 CTF,「這才是我覺得值得驕傲的訓練。」李倫銓感嘆道。
他也說,當全部20隊的DEF CON參賽團隊,有四分之一的參賽團隊都來自韓國,如果這個團隊組成一隊,實力是否會是最強的?這次參與DEF CON全球20強中,除了韓國有5隊參賽外,美國3隊、俄羅斯2隊、法國2隊,其他中國、臺灣、波蘭、德國、澳洲、丹麥和日本都各有1隊參賽。臺灣民眾或許可以因為HITCON得名而感到自豪,但這並不意味著,臺灣整體資安實力是亞洲第一名,大家務必看清楚得名名次背後帶來的真相。
他也坦言,臺灣如果不能建立培訓制度與打造資安人才揮灑的舞臺,資安人才遲早會出現斷層,2015年不會再有這種好成績。
最令人感慨的是,韓國由政府帶頭支持資安、培訓資安人才,臺灣這次參加美國的駭客大賽,團隊卻是由臺灣的資安公司趨勢科技提供贊助。李倫銓表示,相較於政府和民間企業對資安人才的培訓與支持,已經出現不小的落差,這樣長期以往,更讓人憂心臺灣未來的資安產業發展。
臺灣駭客年會總召蔡松廷(TT)也表示,會在今年第十屆駭客年會中的企業場次中,完整分享所有的攻防內容。