一年一度的台灣駭客界盛事,HITCON CTF(搶旗攻防賽)的決賽場於昨(15)日順利落幕,由來自中國的Tea Delivers奪冠,獲得1萬美元的高額獎金。第二名、第三名則分別由俄羅斯的LC↯BC及日本的Tokyo Westerns所拿下,取得2020年八月於美國拉斯維加斯舉辦的DEF CON CTF決賽的資格。
由台灣CTF戰隊及HITCON CTF戰隊合作舉辦的HITCON CTF賽事,今年已邁入第五年。十月辦理初賽時,有1,250個來自全球100多國的駭客隊伍參賽,選出前十名隊伍來台北參加決賽,在14到15日間舉辦的決賽,加上台灣本地戰隊及合作賽事Balsn CTF及趨勢科技CTF的冠軍隊伍,總共有14個隊伍、來自10個國家的隊伍參賽。
台灣的CTF賽事培養出了許多人才,如目前在CTF Time上排名世界第二的Basln戰隊,就是來自於台灣。他們也在今年舉辦了自己的Basln CTF比賽,希望進一步拉拔國內的資安人才。
然而,隨著台灣的CTF賽事逐漸培養出新一代資安人才,企業、政府卻還是高喊資安人才不足,問題出在哪?
現場打造美國華爾街,CTF模擬資安攻防戰
何謂CTF(Capture the Flag)搶旗攻防賽?HITCON CTF總負責人李倫銓曾撰文解釋,CTF由古代軍事戰爭演變而來。他說,軍旗在戰場上象徵兩軍戰況,當有一方軍旗被敵軍奪取或落在地上,代表該方戰敗。
「資訊安全的攻防搶旗賽也是一樣,團隊在企圖奪走對方的軍旗時,必須同時防守我方陣地的軍旗被對方奪走。演變至今不僅比拼的是駭客攻防的技術,甚至包含全方位的電腦科學技術與團隊合作能力。」競賽同時考驗包括系統安全、演算法、密碼學以及程式設計功力,這類競賽能培訓高階資安人才,讓他們有一較高下的舞台。
CTF的初賽通常以解謎式(Jeopardy)的方式進行,主辦單位會準備一定數量的題目,而越早破題的隊伍會獲得越高的分數。決賽是以攻防賽(Attack and Defense)的模式進行,每個隊伍會有數個需要防守的伺服器,在伺服器上的服務有不同種類的漏洞。參賽隊伍必須同時研究漏洞,利用它來攻擊其他隊伍,同時也要即時防禦修補。某種程度上,就是在模擬現實世界中的資安攻防情境。
歷屆HITCON CTF都有相當具有創意的主題,像是2017年的HITCON CTF就以「Capture the Food」為主題,讓發現漏洞的隊伍可以吃到台灣在地的美食。今年,決賽會場更化身美國華爾街,以「Capture the Fortune(財富)」為主題,首次將股市概念納入CTF賽事中,參賽隊伍除了攻防,還可以操作股票市場,來賺取更多分數。
「每一個隊伍都有自己的股票,得分越高股票就會上升。舉例來說,如果我發現一個漏洞,要用來攻擊別的隊伍前,我可以先買自己的股票,攻擊後股票大漲就可以買空賣空,」李倫銓說,股票的分數占總積分的一成左右。
台灣駭客實力闖出名堂,自己辦CTF賽事
HITCON CTF吸引國際目光,連DEF CON CTF主辦單位負責人Yan Shoshitaishvili也特地來台參加。事實上,台灣駭客的能力已在世界闖出名聲。除了台灣聯隊HITCON x BFKinesiS去年在DEF CON CTF中獲得亞軍殊榮以外,來自台大網路安全實驗室的Balsn也在統整世界各地CTF賽事資訊的網路平台CTF Time上維持世界第二的好成績。
Balsn並於今年十月舉辦自己的賽事「Balsn CTF」,總召陳盈伸(YSC)表示,他們除了希望培育團隊成員有能夠出題給世界各地的高手來挑戰的能力外,也想協助孕育下一代的台灣資安人才,並讓世界看到台灣的資安實力。
企業該如何吸引資安人才加入?
雖然CTF被稱作是資安人才的練兵場,但在HITCON CTF舉辦期間同時進行的論壇會議中,各界專家也提到CTF訓練出的人才不一定會願意進到資安公司內,因為許多天才型的CTF駭客更加看重自由度與工作彈性,大公司的體制對他們來說反而是一種箝制。
場內專家建議,大型資安公司若想吸引這些天才駭客,那麼他們需要彈性調整公司制度,否則他們應該把這些服務外包,而非自己在公司內養一個團隊。國際資安組織日前宣布,企業與政府單位對資安人才的需求大增,全球約40%資安職缺無人填補,亞洲去年更是有高達260萬個資安職位空缺。(5G、純網銀上路,資安風險更棘手?4大資安趨勢老闆需注意)
資安人才難覓,但要想吸引像是CTF賽事所培育出來的人才,僵化的制度,恐怕是企業及政府首先要克服的難關。
責任編輯:陳映璇
