隨著網路應用普及,資安議題也越來越受到關注,日前在南京舉辦的第一屆「百度盃」網路安全技術對抗賽(BCTF),共有468隊參加初賽,來自台灣的學生隊伍HITCON217,在468隊參賽隊伍中,以總積分17685.12分,拿下冠軍,並創下大會紀錄,遙遙領先第二名上海交大Oops的5437.68分,甚至比第二名至第七名的總積分還高,被稱為「秦掃六國」。他們到底怎麼做到的?數位時代獨家專訪帶隊參賽的Alan,解析HITCON217以壓倒性勝利拿下百度盃BCTF冠軍的四大獲勝關鍵。
去年中國隊伍藍蓮花(Blue lotus)以預賽第四名打進全世界最大的網路攻防競賽 DEF CON ,所以藍蓮花找百度贊助他們到拉斯維加斯比賽,獲取CTF的經驗。一年後,藍蓮花就以舉辦BCTF比賽的方式分享他們的戰術和經驗。
這次百度盃採取的就是攻防賽制,參賽者的比賽環境皆相同,每個隊伍都有一台主機,一台主機有6個服務,每個服務都以旗子表示,各有2至10個漏洞不等。不過,參賽者不知道自己和別人的漏洞在哪裡,只能跟時間賽跑,不僅要找出漏洞修補自己,保護自己的服務,同時還要攻擊別人。
只要找到漏洞,把某個服務攻下,就可以搶下對方的分數,並插上自已的旗子。每五分鐘一輪算成績,計分板上的分數一直加減,每一隊都會知道隊伍彼此攻擊的情況。此外,比賽規定不能阻擋對方,主辦單位會測試選手的通訊埠是否可以使用,如果阻擋就會扣分。
比賽現場架設計分板、各戰隊搶旗狀況、即時攻擊監控面板等投影畫面,將一般人無法理解的網路攻防化為視覺畫面。
1、 隊員基本功紥實
HITCON217雖然從未參與過CTF形式的現場攻防競賽,卻仍然可奪冠,最重要的關鍵就是隊員的基本功紮實。HITCON217團隊成員中,四個是台大,一個是台科大,全部都是資工背景,隊員都很聰明,能迅速撰寫攻防程式。CTF必須精通駭客攻擊技術,更要在時間內完成系統防護與修補。而過去半年,成員參加大小Jeopardy競賽,雖然與CTF的賽制不同,但兩種比賽所使用的逆向工程、漏洞分析互相可參照。
2、 第一天就修補完所有漏洞
由於基本功紮實,也讓HITCON217得以率先找到其他隊伍也沒發現的漏洞。第一天HITCON217只被零星攻擊10至20次,拿下第一個0DAY(已被公開但尚未被修補的漏洞)之後,分數開始飆高。
Alan說,「我們把第一天的流量帶回去分析,整夜沒睡,除了看封包、分析流量之外,還找出所有漏洞並修補完畢。」也因為HITCON217利用時間找出漏洞,第二天占盡優勢,開始對其他隊伍發動第二波攻擊,得分持續跳。更厲害的是,HITCON217連續創下四次大會記錄,除了創下大會最高得分,還以100分、140分、200分打破單局(五分鐘一輪)最高記錄。
記分板中,骷髏頭表示打下對方的服務並插旗,綠色表示服務存活,紅色表示終止服務。台灣戰隊在第三個關卡把另外七大戰隊的服務都打下。
3、 具備以流量分析漏洞的能力
Alan丟出一個問題:如果今天你是排名第三名的隊伍,找到一個漏洞的時候,為什麼只會攻擊第四、五、六名,而不攻擊前面一、兩名?因為前兩名分析漏洞的能力或技術比較強,若是你去攻擊前兩名,對方有能力透過流量分析去發現你的漏洞所在,等於給對方找到漏洞的機會。反過來說,競賽期間,別的隊伍只要攻擊HITCON217,位居第一名的他們就有辦法透過分析流量,進而知道對方如何攻擊,甚至找到對方的漏洞所在。
4、 戰術運用得宜
網路攻防競賽,合法運用戰術技巧的力量不容小覷。Alan舉其中一個戰術為例,製造假漏洞或置入後門,當別的隊伍以為自己發現漏洞攻擊時,卻反而讓自己的主機資料被刪掉。
或者,故意用犯規避免其他隊伍超越自己的分數。舉例來說,當第一名跟第二名的分數差距很接近的時候,第二名只要找到漏洞,就會讓第一名扣20分,甚至翻轉名次,這時候,第一名就可以選擇「違規」關閉服務,失分將會分散給其他七個隊伍。以下收錄精采問與答:
Q:網路上有一說法,指出此次比賽是中國故意探測台灣駭客的實力,您的想法是?
A:首先,大家會有這種疑問是因為對「駭客」一詞有誤解,其實駭客是一種你會研究到底的精神。駭客有分三種:第一種是組織型駭客,也就是國家級網軍,也是政府和資安公司常常在阻擋攻擊的對象。第二種是黑產,也就是臉書「賣包包」那種的詐騙集團。第三種則是「白帽駭客」,也就是資訊安全技術交流的社群,像是台灣駭客年會(HITCON),就是讓資安人有舞台發揮攻防實力,而不要誤入黑產或去打網戰。此次百度盃 網路攻防競賽就是高階資訊安全技術的比武大會。
其次,每年的漏洞是日新月異,對應的戰術所發酵的效果也不同。我們去比賽,他們當然會探測實力,但比賽很公正、賽制完整,辦得也很精采,我們是去見習和觀摩。此外,中國網站所分享的競賽技術文章,甚至比台灣還多,所有的資訊和解題都完整寫出來。而我們把題目和賽制的經驗帶回台灣,其實是我們收穫比較多。
照片來源:Alan提供
