原标题:天才骇客Lokihardt领军韩国队HITCON CTF夺冠,率先取得DEFCON种子赛资格
由韩国天才骇客Lokihardt(图右一)领军的Cykorkinesis获得HITCON CTF决赛冠军,也率先成为2017年DEF CON CTF种子赛事队伍。
图片来源:iThome
为期两天的HITCON CTF抢旗攻防赛决赛结果出炉,由韩国天才骇客Lokihardt领军的Cykorkinesis获得冠军,也率先赢得2017年在美国拉斯维加斯举办的全球骇客攻防赛DEF CON CTF的种子赛参赛资格。第二名由比赛一开始就表现杰出的俄罗斯联队LC?BC获得第二名,美国队PPP获得第三名。
闭幕典礼时,行政院院长林全也莅临致词,他表示,资讯科技已经明显改变人民生活,上网已经是人民的基本权利。他个人过往也曾经经历过,邮件被骇客锁定,也有电脑中毒的经历,他相信,这些已经是许多人的共同经验。林全承诺,资安等于国安的政策方针已经确定,未来行政院的工作重点也将以确保关键基础设施系统(CIIP)的安全,并且要促进资安产业发展,以及对资安人才落实质与量共同提升。
总统府国安会谘询委员李德财致词时指出,从日前才发生旧金山市区公车系统被勒索软体加密,居民可以「享有」免费搭乘巴士福利,以及德国电信公司的路由器,遭到恶意软体攻击、瘫痪两天的资安事件来看,即使欧美国家的资安法规和政策都相对台湾健全,仍难避免类似资安事件攻击,更何况是资安意识薄弱的亚洲和台湾。
尤其是台湾,李德财进一步指出,面对严峻的网路攻击之际,更应该以高标準看待资讯安全,并将资安置于国家安全的架构内看待,确认资安就是国安的思维,并将资安视为数位国家的基础,做为国家创新经济的后盾。
参赛队伍的解题思维模式,就是出题者最好的老师
参赛队伍对于主办单位 HITCON的出题水準都表示肯定,而HITCON CTF领队李伦铨则表示,出题虽然很辛苦,但是这些世界级的骇客团队,在比赛过程中都展现出不一样的骇客思维,更有许多让人意想不到的解题模式,对于出题团队的成员而言,都是很大的学习。
这次Web题目中有一题WebRop,出题者Orange Tsai以PHP语言开发的开源软体SugarCRM作为基础,以此架设一个真实环境,他过去曾经利用软体特性挖掘到一些软体漏洞,希望藉由出题抛砖引玉,找到更多漏洞利用方法。
Orange Tsai表示,令人惊奇的是,LC?BC在这个过程中,率先找到一个零时差漏洞,接着PPP和Cykorkinesis也陆续找到其他的漏洞,透过出题方式让其他团队也可以找到其他漏洞,这是出题者的骄傲也是荣耀。
李伦铨进一步指出,对这次出题者的惊奇则是,LC?BC在开赛一分钟内就率先得分,对于比赛单位简直是不可思议。他说,主办单位进一步分析LC?BC手法后发现,该团队在其他队伍植入恶意程式后,用系统内建、看程式列表的PS指令,可以看到在记忆体中呈现的金钥资讯,顺利攻破关主系统得分。他说,这是他们曾经想尝试的攻击手法,没想到竟然在实际的比赛看到参赛队伍实做成功。
此外,李伦铨表示,在第二天下午的比赛中,PPP展开新一轮抢攻,先找到可以利用的零时差漏洞后,攻打其他参赛者的服务得分,再利用他们对赛制的了解,进而关闭参赛者的服务,关闭服务参赛者的得分就会平均分给服务还存活的参赛者。PPP刚开始藉此得到不少分数,后来LC?BC发现PPP的企图后,修复自家服务,其他服务当机的分数则会平分给PPP和LC?BC。也因此,PPP分数和LC?BC只有些微差距。
他指出,这次出题的类型包括Pwnable、逆向工程(Reverse)、Web、鉴识(Forensic)、加解密(Cryptography)和MISC等领域。
韩国队夺冠,各参赛队伍肯定出题程度
获得第一名的Cykorkinesis也是去年HITCON CTF决赛的冠军,领队Lokihardt原本无法参赛,此次现身比赛现场是大会意料之外的惊喜,也让整个比赛有不一样的预期。Lokihardt表示,韩国队擅长挖掘漏洞的Pwn题目,相较Web题目显得略微苦手,但整个参赛过程也有很多学习。
第二名的LC?BC、则是去年的第三名,相较于去年意外获得第三名,今年则从开赛就展现夺冠企图心,领队Vlad Roskov表示,该队刚好有2人擅长Web、2人擅长Pwn,彼此分工获得好成绩。第三名PPP中唯一的女生Corolina Zarate今年才20岁,她说,该队成员擅长漏洞挖掘,Web比较不擅长,但是有这样的CTF实战经验,都是很棒的学习。
另外一队美国参赛队伍Shellphish是由美国加州大学圣塔芭芭拉分校学生组成,成员之一王若愚(Fish)直言,该队平常的训练偏重漏洞挖掘,遇到Web题目很容易就会跳过。他认为这次的出题,很有「亚洲CTF」风格,题目需要花点头脑思考,但又不至于太刁钻、不合理。他肯定HITCON CTF团队的整体表现,更允诺明年还要再来。
唯一入围的中国队0ops则是上海交通大学组成的,队长肖子彤表示,该队擅长的仍是漏洞挖掘,但是从这次Web的出题,也获得很多不一样的学习。去年同样入围前十名,由北京清华大学组成的中国队伍蓝莲花,此次因为原本参赛成员都毕业了所以没有派员参赛,但肖子彤表示,0ops仍有继续维持CTF参赛的传承,希望可以持续下去。
在世界超强CTF比赛团队的环伺下,获得HITCON Taiwan Star奖项的队伍,就是由暑期资安课程AIS3成员组队的Dispwnable获得。这个团队分别来自交大网工和新竹教育大学,参赛队员虽然对资安有兴趣,但是在面对未来的职涯规画时,资安的工作是否有好的薪资和服务,也是他们在思考是否会继续投入资安领域的考量。
另外,参加「经济部2016智慧电表渗透测试竞赛」获得冠军的Hacker Forge,是由中正大学通讯工程系学生组成,透过这次的实战经验,他们发现,实战和在学校模拟环境有极大的差异,加上对于各种资安工具使用的熟悉度,这是一次很好的学习经验。
相关:
2017年DEF CON CTF第一场种子赛事开打,第一天韩国领先、俄罗斯居次
第一天HITCON CTF决赛名单,由天才骇客Lokihardt领军的韩国队维持第一名好成绩,率先攻下服务得分的俄罗斯联队LC?BC紧追在后,美国DEF CON CTF世界冠军PPP暂居第三名。 图片来源: HITCON CTF战队提供 由台湾骇客协
节气来到大雪,意味着寒冬将至,正是泡汤的季节。台湾因地质环境独特,从北到南皆有温泉资源,旅游网搜罗全台各地最热门温泉地图,并列出国人最爱泡汤地点前6名。其中,苗栗泰安温泉从16个知名温泉胜地中脱颖而出,而
今年被视为经济寒冬年,在不景气当中哪些企业最赚钱?年终发最多?台北万豪酒店以尾牙春酒场次调查推估,科技业仍可夺下年终奖金王,流通零售业员工也可寄望过个丰厚好年。台北万豪酒店指出,由于明年过年提早,1月
恶意程式“雪崩”危害全球,包括我国调查局在內,共三十一个国家派员在荷兰海牙欧洲刑警组织成立专案小组,前天在全球同步执行收网,共逮获五名外籍人士,搜索三十七个处所,扣押伺服主机三十九部,强制离线伺服主机
彰化建国科大学生参加澳门纸飞机大赛,就读自动化工程学系3年级的宋振雄自制纸飞机飞45米,拿下最远距离冠军。参赛学生指出,纸飞机要飞得远的关键在于射纸飞机的角度以及臂力,也很开心这次比赛的表现不错。彰化建国