中央大學Admin'--團隊，獲得芬安全首屆資安競賽第一名 http://www.ithome.com.tw/news/93069 當你參加一個資安競賽，看到第一個關卡的題目，只有給你幾組數字「R1C1、R2C2、 R3C11和R3C4」，提示F1，就要你猜出電腦的開機密碼時，你第一個反應是如何？這是資 安公司芬安全（F-Secure）首度在臺灣舉辦第一屆資安競賽時，給比賽考生的第一道難題 。資安界傳奇人物病毒獵人芬安全首席研究長米戈˙希伯能（Mikko Hyppönen），也為 了擔任此次資安競賽總評審再度來臺。 米戈˙希伯能曾經關閉在2003年引發全世界病毒恐慌的Sobig_f worm病毒；也是2004年第 一位向全球提出「殺手病毒」警告的專家；擔任國際刑警資安顧問，長年協助美國、歐洲 、亞洲法務部門處理數位犯罪；經常受邀TED演講資安相關議題，並在2011年與美國總統 歐巴馬並列為全球百大教育思想家。他更因為美國國安局要求RSA公司在軟體中放後門一 事，宣布取消2014年RSA大會的演講，並發起抵制參與RSA公司舉辦的RSA資安大會，引起 網路上廣泛的共鳴。 米戈˙希伯能全程參與整個競賽過程指出，臺灣參賽學生的資安技術能力比他看到其他亞 洲國家學生好，尤其普遍都熟悉組合語言並懂得逆向工程的攻擊手法。他認為，臺灣學生 有機會在資安技能上深度鑽研，找到有興趣的領域，成為世界級的資安專家。芬安全大中 華區總代理翔偉資安營運長杜世鵬表示，該公司也希望透過協助舉辦這樣的資安競賽，能 找到適合的對象投入資安產業。 此次，總計有10組學生隊伍參加總決賽，參賽學生曾有參加金盾獎和代表臺灣駭客年會 HITCON到美國參加DefCon競賽的成員；參賽學校包括南部的成功大學、虎尾科技大學，北 部的臺灣大學、交通大學、輔仁大學、實踐大學以及協辦的臺北醫學大學學生組隊參加， 由中央大學Admin'--獲得第一名，交通大學DSNSLab獲得第二名，第三名則是輔仁大學的 NISRA-YUN。 臺灣學生擅長組合語言，有機會專研成世界級高手 負責協助此次資安競賽出題的芬安全亞洲實驗室惡意程式分析師Mangesh Fasale表示，多 數參賽學生都可以闖過第二關、第三關，顯見這些學生都有寫組合語言的能力，才能順利 過關斬將。他說，相較於在馬來西亞的比賽，多數學生隊伍因為缺乏基礎組合語言能力， 很難持續答題。 已經在馬來西亞舉辦4屆資安競賽，芬安全亞洲安全實驗室技術顧問吳樹謙補充表示，馬 來西亞大學資訊相關科系多只教導學生高階的Java或Python等高階應用語言，反倒是臺灣 資訊相關課程，還是會要求學生學習基本的C語言、組合語言等，「可以累積基礎實力， 面對複雜難題時，才有能力化繁為簡，解決問題。」吳樹謙說。 從比賽第一關的題目來看，有許多的學生一開始就把這個題目想的很複雜，不是當成 Excel的欄、列，就是想成是SQL Server的內容，只有冠軍隊伍中央大學Admin的楊安傑曾 經一瞬間想過，這些欄列資訊會不會與鍵盤相關，但因為太簡單，這樣的念頭立馬就被打 消了。 事實上，這個題目的解答其實很簡單，只要考生看著所使用筆記型電腦的鍵盤，輸入直欄 、橫列交集的鍵盤按鍵，就可以得到開機密碼。也因為有許多學生想的太複雜，耽誤至少 二、三十分鐘，導致後面的題目來不及解題。 吳樹謙表示，這也反應，其實很多資安攻擊的方式，往往是用你想不到最簡單的方法，就 可以入侵成功。他說，芬安全在其他資安比賽也曾出現類似的考題，當時參賽學生的反應 和臺灣參賽學生雷同，都把問題想的太複雜，根本忽略最簡單的解答方式，其實就在眼前 。 他指出，芬安全亞洲實驗室這次出題，前後修改過幾次，並且都請實習生測驗多次後才納 入題庫中。雖然整體題目偏難，但該公司希望透過這樣「Out of Box」的出題模式，可以 擴展參賽學生不同的國際視野，並打破以往侷限在框框的思維模式。 只有技術能力還不夠，廣泛涉獵資安議題也是實力的累積 這次比賽分成技術競技以及資安問答兩大類，相較於其他技術競賽，吳樹謙表示，除了希 望從學生團隊的技術能力比出高低，也希望督促學生能更廣泛的涉獵相關的資安議題，畢 竟，資安範疇無遠佛屆，許多資安事件發生是息息相關，攻擊手法也都彼此參照，有一定 的資安事件和範疇的涉獵，也是一種資安實力的累積。 問答有兩輪，第一輪總共有15題，前10題是選擇題，後5題是填空題，吳樹謙說，這樣題 型的設計，也和臺灣不是以英文為母語國家有關，降低語言對參賽學生的門檻。第一輪的 選擇題中，從攻擊核電廠的惡意程式是哪一個，到什麼樣的行為是後門程式（Backdoor） ，甚至是判斷哪些工具「不是」攻擊套件等；在填空題的部份，首先考倒許多參賽考生的 就是臉書的即時通訊（IM）使用哪一個通訊埠？有不少隊伍直接以問號和空白顯示答案。 當然也有送分題，那就是先前iThome委由芬安全亞洲資安實驗室檢測的中國手機是哪一款 型號？ 第二輪的問答是即時抽籤問答，有參賽團隊因為看不懂題目中的Ransomware（勒索軟體） 指的是什麼，無法回答正確答案而錯失奪冠的機會。參賽學生事後也指出，目前學校使用 的教科書中，都是二、三年前的課本，老師連上課講義PPT都已經做好，像是曾經在2013 年造成軒然大波的勒索軟體CryptoLocker，都不在老師上課的範圍內。 獲得第二名交通大學DSNSLab的陳仲寬認為，即席問答的比賽方式很少見，但也很刺激。 他們抽到的就是在今年4月發生的OpenSSL的Heartbleed（心臟淌血）漏洞的問題，包括這 個漏洞影響到哪些平臺？駭客如何攻擊？可以利用這個漏洞取得哪些資訊等。因為陳仲寬 回答的很完整，總評審的米戈˙希伯能甚至在滿分10分外，多加1分。也因著這一分之差 ，順利打敗第三名輔仁大學的NISAR-YUN。 此次擔任協辦單位的臺北醫學大學醫學資訊研究所所長劉建財表示，政府部門打造越來越 多醫療相關的雲端服務，對該校而言，除了理解醫院的系統架構和運作外，因為醫院運作 時，涉及許多病人的隱私和敏感性資料，資訊安全也成為越來越重要的環節。此次藉由協 辦競賽的方式，鼓勵學生組隊參賽、增廣視野，雖然只有一隊進入總決賽，但「這總是一 個好的開始。」他說。 資安界傳奇人物病毒獵人、也是Ted資安演說家：芬安全首席研究長米戈˙希伯能（ Mikko Hyppönen）來臺舉辦資安競賽，稱讚臺灣學生資安技術基礎實力佳，有機會深化 ，成為世界級資安專家。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.167.159 ※ 文章網址: http://www.ptt.cc/bbs/SENIORHIGH/M.1418890434.A.69B.html