HITCON網路攻防搶旗賽結果出爐,韓國隊連續三年奪得HITCON CTF冠軍



來自韓國的Cykorkinesis駭客隊伍今年第三度獲得HITCON CTF冠軍,第二名則是來自俄羅斯的LC?BC,第三名是德國的Eat Sleep Pwn Repeat。(攝影/黃彥棻)。

舉辦為期兩天的HITCON CTF搶旗攻防賽決賽的比賽結果出爐,雖然天才駭客Lokihardt因為工作沒有參賽,但是,由韓國隊組成的Cykorkinesis則是連續第三年贏得冠軍資格,第二名則是來自俄羅斯的LC?BC團隊,也是去年HITCON CTF的亞軍;第三名則是來自德國,首度參加HITCON CTF的Eat Sleep Pwn Repeat團隊。

HITCON CTF領隊李倫銓表示,連續三年獲得冠軍的韓國隊,在這次比賽中拿下了三個服務的First Blood,這也證明韓國對應用程式漏洞分析能力和逆向工程能力很強,過去有計畫的培訓資安菁英人才已經開始展現成效。

另外,為了鼓勵傳承資安經驗,在三隊參賽的的臺灣隊伍中,由兩名臺大資工碩二學生與兩名臺大資工大三學生組成Balsn,則是三隊中比賽成績最佳的隊伍,也獲得臺灣之星(HITCON Taiwan STAR)的榮耀。

這次的CTF比賽創新型態,首度加入了臺灣小吃等文化意涵,讓這次參賽的14隊駭客團隊印象深刻。參賽隊伍普遍認為,這次HITCON CTF的題目出的很有水準,也大為讚賞「Capture the Food」的比賽創意,甚至有連續第三年來臺灣參賽、美國加州聖塔芭芭拉大學組成的Shellphish,該隊隊長資工系博士生Chris Salls認同,飢餓感是很好的解題動能,但他對於沒有順利解開小籠包題目,而錯失這道臺灣美食感到相當懊惱。

HITCON戰隊CTF題目,兼具趣味與深度

這次HITCON CTF題目維持過往參賽隊伍要挖掘五個服務的漏洞,也必須同時做好各自隊伍的相關防禦,以避免被其他隊伍找到漏洞攻陷。因為CTF比賽搭配臺灣美食,第一天十點正式開賽後,出題團隊也費盡巧思,怎麼讓各隊可以解開服務卻又不是放水,讓各隊可以在第一天中午有美食可以吃。

李倫銓表示,出題團隊設計了一個Web題目,剛開始由出題方提供防火牆防護每隊的服務,但這個主辦方的防火牆在十一點鐘就會準時下線。所以,每一個參賽隊伍都必須要在十一點前,寫好防禦程式去防禦其他隊伍的攻擊,但是,要寫出好的防禦程式其實很難,加上這次大家都可以看到其他隊伍的防禦程式,寫的不好就會被其他隊伍繞過防禦、遭到猛烈的攻擊,攻防相當激烈。來自日本的Tokyo Westerns,在準時十一點時發動攻擊得分,取得First Blood,也是第一隊拿到牛肉麵和珍珠奶茶的上菜菜單,可以順利吃到午餐。

其中,在14個隊伍中,有7個隊伍沒有解開的小籠包題目,其實是一個SECCOMP Tools的題目。由中國騰訊科恩實驗室組成的eee團隊,該隊隊長謝天憶表示,這個題目的解法並不是他們自己想出來的,反而是他們在觀察其他隊伍的攻擊流量中,看到一些從Side Channel洩漏的關鍵資訊,才知道怎麼解題。謝天憶認為,該團隊過往擅長Pwn的攻防路線,但這次則透過參加CTF解題,還可以學到不一樣的駭客思路,是參賽帶來很大的收穫。

臺灣新生代參賽隊伍,普遍缺乏CTF攻防實戰經驗

不管是臺大二名資工系碩二生、二名資工系大三生組成的Balsn,或者是四名中央資工系大三生組成的DoubleSigma,或者是交大資安社團BambooFox成員組成的隊伍,現場參與比賽所面臨的共通困難點都是「缺乏實際參加攻防競賽的經驗」。

DoubleSigma隊長、資工系大三生張元表示,團隊成員都是第一次參加這樣的攻防比賽,第一天其實搞不太清楚到底要怎麼一邊防禦還可以一邊攻擊,隊員之間如何分工、如何溝通都需要時間慢慢摸索,是到第二天比賽才真正進入比賽狀況。

Balsn隊長、臺大資工系碩二生陳威甯則指出,因為沒有這樣的經驗,第一天比賽時,搞不清楚狀況就用了不能使用的工具,後來是主辦單位立即協助修正,才可以繼續比賽。

BambooFox隊長、電機資訊學士班大三生趙偉捷認為,模擬解題和實際比賽時有極大不同,面對比賽的時間壓力下,要能夠快速學會看封包流量,是到現場才學得到的經驗。

《全文請見iThome(https://www.ithome.com.tw/news/119379)》