天才駭客Lokihardt領軍韓國隊HITCON CTF奪冠，率先取得DEFCON種

william77

行政院長林全指示，確保關鍵基礎設施系統安全是未來施政重點之一；總統府國安會諮詢委員李德財則強調，資安是數位國家的基礎，更是國家創新經濟的後盾。

由韓國天才駭客Lokihardt（圖右一）領軍的Cykorkinesis獲得HITCON CTF決賽冠軍，也率先成為2017年DEF CON CTF種子賽事隊伍。

為期兩天的HITCON CTF搶旗攻防賽決賽結果出爐，由韓國天才駭客Lokihardt領軍的Cykorkinesis獲得冠軍，也率先贏得2017年在美國拉斯維加斯舉辦的全球駭客攻防賽DEF CON CTF的種子賽參賽資格。第二名由比賽一開始就表現傑出的俄羅斯聯隊LC↯BC獲得第二名，美國隊PPP獲得第三名。
閉幕典禮時，行政院院長林全也蒞臨致詞，他表示，資訊科技已經明顯改變人民生活，上網已經是人民的基本權利。他個人過往也曾經經歷過，郵件被駭客鎖定，也有電腦中毒的經歷，他相信，這些已經是許多人的共同經驗。林全承諾，資安等於國安的政策方針已經確定，未來行政院的工作重點也將以確保關鍵基礎設施系統（CIIP）的安全，並且要促進資安產業發展，以及對資安人才落實質與量共同提升。
總統府國安會諮詢委員李德財致詞時指出，從日前才發生舊金山市區公車系統被勒索軟體加密，居民可以「享有」免費搭乘巴士福利，以及德國電信公司的路由器，遭到惡意軟體攻擊、癱瘓兩天的資安事件來看，即使歐美國家的資安法規和政策都相對臺灣健全，仍難避免類似資安事件攻擊，更何況是資安意識薄弱的亞洲和臺灣。
尤其是臺灣，李德財進一步指出，面對嚴峻的網路攻擊之際，更應該以高標準看待資訊安全，並將資安置於國家安全的架構內看待，確認資安就是國安的思維，並將資安視為數位國家的基礎，做為國家創新經濟的後盾。
參賽隊伍的解題思維模式，就是出題者最好的老師
參賽隊伍對於主辦單位 HITCON的出題水準都表示肯定，而HITCON CTF領隊李倫銓則表示，出題雖然很辛苦，但是這些世界級的駭客團隊，在比賽過程中都展現出不一樣的駭客思維，更有許多讓人意想不到的解題模式，對於出題團隊的成員而言，都是很大的學習。
這次Web題目中有一題WebRop，出題者Orange Tsai以PHP語言開發的開源軟體SugarCRM作為基礎，以此架設一個真實環境，他過去曾經利用軟體特性挖掘到一些軟體漏洞，希望藉由出題拋磚引玉，找到更多漏洞利用方法。
Orange Tsai表示，令人驚奇的是，LC↯BC在這個過程中，率先找到一個零時差漏洞，接著PPP和Cykorkinesis也陸續找到其他的漏洞，透過出題方式讓其他團隊也可以找到其他漏洞，這是出題者的驕傲也是榮耀。
李倫銓進一步指出，對這次出題者的驚奇則是，LC↯BC在某題釋出後一分鐘內就率先得分，這根本不可思議。他說，主辦單位立刻分析LC↯BC手法後發現，該團隊在其他隊伍植入後門後，還用系統PS指令，嘗試一直刷新來偷看在記憶體中其他題目flag資訊，雖然要看機率，但也能順利拿到flag得分。他說，這是他們曾經想嘗試的攻擊手法，沒想到竟然在自己的比賽看到參賽隊伍實做成功，但後來主辦方也立刻找出方式修補，但先前得分仍然有效，因為的確是很棒的一招。辦比賽不但長知識，還訓練自己短時間內要找出應變方法，主辦方等於是一隊打十四隊，真的是非常刺激。
此外，李倫銓表示，在第二天下午的比賽中，PPP展開新一輪搶攻，先找到可以利用的零時差漏洞後，攻打其他參賽者的服務得分，再利用他們對賽制的了解，進而關閉參賽者的服務，關閉服務參賽者的得分就會平均分給服務還存活的參賽者。PPP施展出這個招式後，利用兩倍得分大幅追分，後來LC↯BC發現PPP的企圖後，修復自家服務，其他服務當機的分數立刻就平分給PPP和LC↯BC。PPP因此失去大幅得分優勢，否則第二第三的位子還真有可能改變。
這次前三名的分差大幅領先第四之後的隊伍，顯示韓國俄羅斯美國隊伍實力非常堅強，而且第一名韓國隊得分幾乎是第二名的1.5倍，的確就是當時2015年DEFCON奪冠的氣勢。
他指出，這次出題的類型包括Pwnable、逆向工程（Reverse）、Web、鑑識（Forensic）、加解密（Cryptography）和MISC等領域。
韓國隊奪冠，各參賽隊伍肯定出題程度
獲得第一名的Cykorkinesis也是去年HITCON CTF決賽的冠軍，領隊Lokihardt原本無法參賽，此次現身比賽現場是大會意料之外的驚喜，也讓整個比賽有不一樣的預期。Lokihardt表示，韓國隊擅長挖掘漏洞的Pwn題目，相較Web題目顯得略微苦手，但整個參賽過程也有很多學習。
第二名的LC↯BC、則是去年的第三名，相較於去年意外獲得第三名，今年則從開賽就展現奪冠企圖心，領隊Vlad Roskov表示，該隊剛好有2人擅長Web、2人擅長Pwn，彼此分工獲得好成績。第三名PPP中唯一的女生Corolina Zarate今年才20歲，她說，該隊成員擅長漏洞挖掘，Web比較不擅長，但是有這樣的CTF實戰經驗，都是很棒的學習。
另外一隊美國參賽隊伍Shellphish是由美國加州大學聖塔芭芭拉分校學生組成，成員之一王若愚（Fish）直言，該隊平常的訓練偏重漏洞挖掘，遇到Web題目很容易就會跳過。他認為這次的出題，很有「亞洲CTF」風格，題目需要花點頭腦思考，但又不至於太刁鑽、不合理。他肯定HITCON CTF團隊的整體表現，更允諾明年還要再來。
唯一入圍的中國隊0ops則是上海交通大學組成的，隊長肖子彤表示，該隊擅長的仍是漏洞挖掘，但是從這次Web的出題，也獲得很多不一樣的學習。去年同樣入圍前十名，由北京清華大學組成的中國隊伍藍蓮花，此次因為原本參賽成員都畢業了所以沒有派員參賽，但肖子彤表示，0ops仍有繼續維持CTF參賽的傳承，希望可以持續下去。
在世界超強CTF比賽團隊的環伺下，獲得HITCON Taiwan Star獎項的隊伍，就是由暑期資安課程AIS3成員組隊的Dispwnable獲得。這個團隊分別來自交大網工和新竹教育大學，參賽隊員雖然對資安有興趣，但是在面對未來的職涯規畫時，資安的工作是否有好的薪資和服務，也是他們在思考是否會繼續投入資安領域的考量。
另外，參加「經濟部2016智慧電表滲透測試競賽」獲得冠軍的Hacker Forge，是由中正大學通訊工程系學生組成，透過這次的實戰經驗，他們發現，實戰和在學校模擬環境有極大的差異，加上對於各種資安工具使用的熟悉度，這是一次很好的學習經驗。

panups