新台湾之光!台湾队HITCON打败中日韩俄法,夺DEFCON黑客大赛第二名


台湾黑客团队HITCON有史以来第一次,首度获得在美国拉斯维加斯举办的黑客大赛DEF CON CTF(抢旗攻防战)全球第二名,而主办单位在颁奖典礼上宣布这是来自台湾的资安队伍,名次仅次于多次夺冠的美国团队PPP,而这个PPP团队则是由天才黑客神人Geohot 、Ricky Zhou和CMU PPP战队的资安联军,虽败犹荣。第三名则是世界CTF排名第一波兰战队Dragon Sector。

HITCON先是打败上千队伍取得在美国拉斯维加斯举办的黑客大赛DEF CON CTF(抢旗攻防战),在全球20强的决赛中、打败上千队伍的最强资安顶尖高手的环伺下 首度参赛就夺下全球第二名的好成绩,

台湾黑客团队HITCON是由台湾的年轻黑客组队而成,整合包括CHROOT、台大217、交大资工等伙伴,由台湾黑客年会CTF召集人李伦铨(Alan)花了半年时间整合、受训,不论是赢得百度杯(BCTF)黑客竞赛第一名,打败全球上千队伍,在 DEF CON 22预赛获得第12名,取得决赛资格,甚至带队参与各种国际黑客竞赛,终于在8月8~10日于美国拉斯维加斯举办的美国黑客大赛中获得好成绩。

李伦铨曾在脸书表示,「这场DEF CON决赛,专家皆预测是世界CTF排名第一波兰战队Dragon Sector和美国第一战队PPP的顶尖对决,但来自台湾的HITCON团队,竟然以黑马之姿周旋在世界列强之中,令人跌破眼镜!」

惊涛骇浪的3天比赛,终于夺下第二名好成绩

在正式比赛的当天晚上,为了在比赛中争取更好的名次,HITCON台湾战队刚刚讨论战术和写程式到凌晨1点多,李伦铨说:「就是希望能顺利在不眠不休的3日战事中,顺利存活。」

CTF的比赛方式是,每个参赛团队都有自己的伺服器,每个伺服器上都有各种预先设计好的漏洞,各个参赛队伍彼此找漏洞相互攻击,甚至,先找到漏洞成功发动攻击的参赛者,还可以加分;除了攻击之外,也必须设法补强自己的漏洞,避免被攻陷。而HITCON守护的伺服器就是小小一台的ARM v7,预载了很多漏洞,HITCON不仅要巩固自己伺服器的安全,也必须攻陷其他团队的伺服器得分。

这是HITCON团队参加比赛3天以来,必须努力保护的伺服器ARM v7,HITCON不仅要强化伺服器的安全性,也必须去攻陷其他团队的伺服器得分。


第一天,HITCON的比赛战绩原本是第五名,后来发现成绩计算错误,第一天战绩高居第二名,李伦铨说:「初期防护能力决定一切,名次排名前面的队伍,几乎都是积极巩固自己系统。

HITCON第一天原本公布获得第五名,后来大会成绩计算错误,重新公布,HITCON在第一天获得第二名的好成绩。


到了第二天的比赛,HITCON曾经一度排名第一名,只不过,美国黑客战队PPP开始以好几个零时差(0 Day)漏洞横扫全场,也很快夺下第一名的宝座。而PPP战队从一刚开始就视HITCON为劲敌,并不主动攻击HITCON守护的伺服器,锁定其他团队陆续得分,就是怕HITCON知道他们的攻击手法。


HITCON在第二天的比赛中,曾经短暂的获得第一名好成绩。只不过,没多久就被美国黑客团队PPP夺得第一名的宝座。


由于主办单位每日都会更换队伍桌次,到了最后一天的比赛,主办单位便将前四强队伍,包括:美国队PPP、台湾队HITCON、波兰队Dragon Sector以及中国队Blue Lotus安排在中间的4张桌子上,其他队伍则环绕在这4队之外。「这对于首度参赛的HITCON而言,是无比的荣耀。」李伦铨说道。

DEF CON 22主办单位在美国西区时间下午5点 DEFCON 典礼的时候公布的战绩时,特别宣布由来自台湾HITCON团队获得第二名,所有的成员都非常的感动。领队李伦铨表示,台湾队伍能夺胜其实是运气加上这次的团队充分发挥默契,合作无间才勉强得胜,实在赢的非常侥倖。

雀跃之馀却看到台湾资安发展的致命伤
李伦铨坦言,今年上半年的训练和比赛经验、以及提早两天来美国集训,对这次比赛很重要,其中,由中国蓝莲花举办的BCTF百度盃决赛的经验,更让台湾团队可以事先学习到这种抢旗赛相关规则和经验,有对台湾团队的成长带来很大的帮助。

台湾虽然赢得第二名,但李伦铨认为,世界上其他队伍实力实在太强,包括PPP和Dragon sector、中国蓝莲花等,尤其是PPP队伍,挖掘0day漏洞和写exploit漏洞攻击程式的能力非常快速,找到0day后可以立刻横扫全场,夺取大量分数,这便是PPP团队致胜的关键。

他强调,这种零和制的抢旗赛,每一个攻防流程都跟现实资安状况相似,可谓是考验选手在短时间内需具备漏洞分析能力、攻击程式撰写速度、全方位高端电脑知识的一种严格挑战。

虽然HITCON很侥倖获得第二名的好成绩,但看在李伦铨的眼裡,对于台湾未来资安人才培育和资安产业发展前景,却充满的忧心。

他认为,这次黑客竞赛得胜,并不代表台湾黑客很厉害,反而真的见识到世界级高手挖漏洞的坚强实力,这点是台湾软体产业和资安人才非常欠缺的部分。更重要的是,「台湾几乎没有这样的蓝海市场可以留住这次的资安人才。」李伦铨说道。

或许HITCON得到全球第二名的好成绩很值得开心,但李伦铨看到韩国队的整体资安实力,却感到忧心不已。他说:「反观韩国这次共有5队进入决赛,韩国队虽然没有夺得前三名,但是这种整体资安实力的数据,才是台湾政府和民间应该要共同努力的目标,而不是看到单一团队的得名!」

李伦铨表示,由于韩国长期有制度的集训并培养资安人才,由政府带头下,这次韩国队总共培训了raon_ASRT、KAIST GoN、CodeRed、HackingForChimac,以及[SEWorks] penthack等5队,全都打进这次黑客界的世界盃DEF CON 22 CTF,「这才是我觉得值得骄傲的训练。」李伦铨感叹道。

他也说,当全部20队的DEF CON参赛团队,有四分之一的参赛团队都来自韩国,如果这个团队组成一队,实力是否会是最强的?这次参与DEF CON全球20强中,除了韩国有5队参赛外,美国3队、俄罗斯2队、法国2队,其他中国、台湾、波兰、德国、澳洲、丹麦和日本都各有1队参赛。台湾民众或许可以因为HITCON得名而感到自豪,但这并不意味着,台湾整体资安实力是亚洲第一名,大家务必看清楚得名名次背后带来的真相。

他也坦言,台湾如果不能建立培训制度与打造资安人才挥洒的舞台,资安人才迟早会出现断层,2015年不会再有这种好成绩。

最令人感慨的是,韩国由政府带头支持资安、培训资安人才,台湾这次参加美国的黑客大赛,团队却是由台湾的资安公司趋势科技提供赞助。李伦铨表示,相较于政府和民间企业对资安人才的培训与支持,已经出现不小的落差,这样长期以往,更让人忧心台湾未来的资安产业发展。

台湾黑客年会总召蔡松廷(TT)也表示,会在今年第十届黑客年会中的企业场次中,完整分享所有的攻防内容。
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐