http://www.ithome.com.tw/news/93069
當你參加一個資安競賽,看到第一個關卡的題目,只有給你幾組數字「R1C1、R2C2、
R3C11和R3C4」,提示F1,就要你猜出電腦的開機密碼時,你第一個反應是如何?這是資
安公司芬安全(F-Secure)首度在臺灣舉辦第一屆資安競賽時,給比賽考生的第一道難題
。資安界傳奇人物病毒獵人芬安全首席研究長米戈˙希伯能(Mikko Hyppönen),也為
了擔任此次資安競賽總評審再度來臺。
米戈˙希伯能曾經關閉在2003年引發全世界病毒恐慌的Sobig_f worm病毒;也是2004年第
一位向全球提出「殺手病毒」警告的專家;擔任國際刑警資安顧問,長年協助美國、歐洲
、亞洲法務部門處理數位犯罪;經常受邀TED演講資安相關議題,並在2011年與美國總統
歐巴馬並列為全球百大教育思想家。他更因為美國國安局要求RSA公司在軟體中放後門一
事,宣布取消2014年RSA大會的演講,並發起抵制參與RSA公司舉辦的RSA資安大會,引起
網路上廣泛的共鳴。
米戈˙希伯能全程參與整個競賽過程指出,臺灣參賽學生的資安技術能力比他看到其他亞
洲國家學生好,尤其普遍都熟悉組合語言並懂得逆向工程的攻擊手法。他認為,臺灣學生
有機會在資安技能上深度鑽研,找到有興趣的領域,成為世界級的資安專家。芬安全大中
華區總代理翔偉資安營運長杜世鵬表示,該公司也希望透過協助舉辦這樣的資安競賽,能
找到適合的對象投入資安產業。
此次,總計有10組學生隊伍參加總決賽,參賽學生曾有參加金盾獎和代表臺灣駭客年會
HITCON到美國參加DefCon競賽的成員;參賽學校包括南部的成功大學、虎尾科技大學,北
部的臺灣大學、交通大學、輔仁大學、實踐大學以及協辦的臺北醫學大學學生組隊參加,
由中央大學Admin'--獲得第一名,交通大學DSNSLab獲得第二名,第三名則是輔仁大學的
NISRA-YUN。
臺灣學生擅長組合語言,有機會專研成世界級高手
負責協助此次資安競賽出題的芬安全亞洲實驗室惡意程式分析師Mangesh Fasale表示,多
數參賽學生都可以闖過第二關、第三關,顯見這些學生都有寫組合語言的能力,才能順利
過關斬將。他說,相較於在馬來西亞的比賽,多數學生隊伍因為缺乏基礎組合語言能力,
很難持續答題。
已經在馬來西亞舉辦4屆資安競賽,芬安全亞洲安全實驗室技術顧問吳樹謙補充表示,馬
來西亞大學資訊相關科系多只教導學生高階的Java或Python等高階應用語言,反倒是臺灣
資訊相關課程,還是會要求學生學習基本的C語言、組合語言等,「可以累積基礎實力,
面對複雜難題時,才有能力化繁為簡,解決問題。」吳樹謙說。
從比賽第一關的題目來看,有許多的學生一開始就把這個題目想的很複雜,不是當成
Excel的欄、列,就是想成是SQL Server的內容,只有冠軍隊伍中央大學Admin的楊安傑曾
經一瞬間想過,這些欄列資訊會不會與鍵盤相關,但因為太簡單,這樣的念頭立馬就被打
消了。
事實上,這個題目的解答其實很簡單,只要考生看著所使用筆記型電腦的鍵盤,輸入直欄
、橫列交集的鍵盤按鍵,就可以得到開機密碼。也因為有許多學生想的太複雜,耽誤至少
二、三十分鐘,導致後面的題目來不及解題。
吳樹謙表示,這也反應,其實很多資安攻擊的方式,往往是用你想不到最簡單的方法,就
可以入侵成功。他說,芬安全在其他資安比賽也曾出現類似的考題,當時參賽學生的反應
和臺灣參賽學生雷同,都把問題想的太複雜,根本忽略最簡單的解答方式,其實就在眼前
。
他指出,芬安全亞洲實驗室這次出題,前後修改過幾次,並且都請實習生測驗多次後才納
入題庫中。雖然整體題目偏難,但該公司希望透過這樣「Out of Box」的出題模式,可以
擴展參賽學生不同的國際視野,並打破以往侷限在框框的思維模式。
只有技術能力還不夠,廣泛涉獵資安議題也是實力的累積
這次比賽分成技術競技以及資安問答兩大類,相較於其他技術競賽,吳樹謙表示,除了希
望從學生團隊的技術能力比出高低,也希望督促學生能更廣泛的涉獵相關的資安議題,畢
竟,資安範疇無遠佛屆,許多資安事件發生是息息相關,攻擊手法也都彼此參照,有一定
的資安事件和範疇的涉獵,也是一種資安實力的累積。
問答有兩輪,第一輪總共有15題,前10題是選擇題,後5題是填空題,吳樹謙說,這樣題
型的設計,也和臺灣不是以英文為母語國家有關,降低語言對參賽學生的門檻。第一輪的
選擇題中,從攻擊核電廠的惡意程式是哪一個,到什麼樣的行為是後門程式(Backdoor)
,甚至是判斷哪些工具「不是」攻擊套件等;在填空題的部份,首先考倒許多參賽考生的
就是臉書的即時通訊(IM)使用哪一個通訊埠?有不少隊伍直接以問號和空白顯示答案。
當然也有送分題,那就是先前iThome委由芬安全亞洲資安實驗室檢測的中國手機是哪一款
型號?
第二輪的問答是即時抽籤問答,有參賽團隊因為看不懂題目中的Ransomware(勒索軟體)
指的是什麼,無法回答正確答案而錯失奪冠的機會。參賽學生事後也指出,目前學校使用
的教科書中,都是二、三年前的課本,老師連上課講義PPT都已經做好,像是曾經在2013
年造成軒然大波的勒索軟體CryptoLocker,都不在老師上課的範圍內。
獲得第二名交通大學DSNSLab的陳仲寬認為,即席問答的比賽方式很少見,但也很刺激。
他們抽到的就是在今年4月發生的OpenSSL的Heartbleed(心臟淌血)漏洞的問題,包括這
個漏洞影響到哪些平臺?駭客如何攻擊?可以利用這個漏洞取得哪些資訊等。因為陳仲寬
回答的很完整,總評審的米戈˙希伯能甚至在滿分10分外,多加1分。也因著這一分之差
,順利打敗第三名輔仁大學的NISAR-YUN。
此次擔任協辦單位的臺北醫學大學醫學資訊研究所所長劉建財表示,政府部門打造越來越
多醫療相關的雲端服務,對該校而言,除了理解醫院的系統架構和運作外,因為醫院運作
時,涉及許多病人的隱私和敏感性資料,資訊安全也成為越來越重要的環節。此次藉由協
辦競賽的方式,鼓勵學生組隊參賽、增廣視野,雖然只有一隊進入總決賽,但「這總是一
個好的開始。」他說。
資安界傳奇人物病毒獵人、也是Ted資安演說家:芬安全首席研究長米戈˙希伯能(
Mikko Hyppönen)來臺舉辦資安競賽,稱讚臺灣學生資安技術基礎實力佳,有機會深化
,成為世界級資安專家。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.167.159
※ 文章網址: http://www.ptt.cc/bbs/SENIORHIGH/M.1418890434.A.69B.html
中央大學Admin'--團隊,獲得芬安全首屆資安競賽第一名