天才骇客Lokihardt领军韩国队HITCON CTF夺冠，率先取得DEFCON种子赛资格

为期两天的HITCON CTF抢旗攻防赛决赛结果出炉，由韩国天才骇客Lokihardt领军的Cykorkinesis获得冠军，也率先赢得2017年在美国拉斯维加斯举办的全球骇客攻防赛DEF CON CTF的种子赛参赛资格。第二名由比赛一开始就表现杰出的俄罗斯联队LC↯BC获得第二名，美国队PPP获得第三名。

闭幕典礼时，行政院院长林全也莅临致词，他表示，资讯科技已经明显改变人民生活，上网已经是人民的基本权利。他个人过往也曾经经历过，邮件被骇客锁定，也有电脑中毒的经历，他相信，这些已经是许多人的共同经验。林全承诺，资安等于国安的政策方针已经确定，未来行政院的工作重点也将以确保关键基础设施系统（CIIP）的安全，并且要促进资安产业发展，以及对资安人才落实质与量共同提升。

总统府国安会咨询委员李德财致词时指出，从日前才发生旧金山市区公车系统被勒索软件加密，居民可以“享有”免费搭乘巴士福利，以及德国电信公司的路由器，遭到恶意软件攻击、瘫痪两天的资安事件来看，即使欧美国家的资安法规和政策都相对台湾健全，仍难避免类似资安事件攻击，更何况是资安意识薄弱的亚洲和台湾。

尤其是台湾，李德财进一步指出，面对严峻的网络攻击之际，更应该以高标准看待资讯安全，并将资安置于国家安全的架构内看待，确认资安就是国安的思维，并将资安视为数位国家的基础，做为国家创新经济的后盾。

参赛队伍的解题思维模式，就是出题者最好的老师

参赛队伍对于主办单位 HITCON的出题水准都表示肯定，而HITCON CTF领队李伦铨则表示，出题虽然很辛苦，但是这些世界级的骇客团队，在比赛过程中都展现出不一样的骇客思维，更有许多让人意想不到的解题模式，对于出题团队的成员而言，都是很大的学习。

这次Web题目中有一题WebRop，出题者Orange Tsai以PHP语言开发的开源软件SugarCRM作为基础，以此架设一个真实环境，他过去曾经利用软件特性挖掘到一些软件漏洞，希望借由出题抛砖引玉，找到更多漏洞利用方法。

Orange Tsai表示，令人惊奇的是，LC↯BC在这个过程中，率先找到一个零时差漏洞，接着PPP和Cykorkinesis也陆续找到其他的漏洞，透过出题方式让其他团队也可以找到其他漏洞，这是出题者的骄傲也是荣耀。

李伦铨进一步指出，对这次出题者的惊奇则是，LC↯BC在某题释出后一分钟内就率先得分，这根本不可思议。他说，主办单位立刻分析LC↯BC手法后发现，该团队在其他队伍植入后门后，还用系统PS指令，尝试一直刷新来偷看在内存中其他题目flag资讯，虽然要看概率，但也能顺利拿到flag得分。他说，这是他们曾经想尝试的攻击手法，没想到竟然在自己的比赛看到参赛队伍实做成功，但后来主办方也立刻找出方式修补，但先前得分仍然有效，因为的确是很棒的一招。办比赛不但长知识，还训练自己短时间内要找出应变方法，主办方等于是一队打十四队，真的是非常刺激。

此外，李伦铨表示，在第二天下午的比赛中，PPP展开新一轮抢攻，先找到可以利用的零时差漏洞后，攻打其他参赛者的服务得分，再利用他们对赛制的了解，进而关闭参赛者的服务，关闭服务参赛者的得分就会平均分给服务还存活的参赛者。PPP施展出这个招式后，利用两倍得分大幅追分，后来LC↯BC发现PPP的企图后，修复自家服务，其他服务当机的分数立刻就平分给PPP和LC↯BC。PPP因此失去大幅得分优势，否则第二第三的位子还真有可能改变。

这次前三名的分差大幅领先第四之后的队伍，显示韩国俄罗斯美国队伍实力非常坚强，而且第一名韩国队得分几乎是第二名的1.5倍，的确就是当时2015年DEFCON夺冠的气势。

他指出，这次出题的类型包括Pwnable、逆向工程（Reverse）、Web、鉴识（Forensic）、加解密（Cryptography）和MISC等领域。

韩国队夺冠，各参赛队伍肯定出题程度

获得第一名的Cykorkinesis也是去年HITCON CTF决赛的冠军，领队Lokihardt原本无法参赛，此次现身比赛现场是大会意料之外的惊喜，也让整个比赛有不一样的预期。Lokihardt表示，韩国队擅长挖掘漏洞的Pwn题目，相较Web题目显得略微苦手，但整个参赛过程也有很多学习。

第二名的LC↯BC、则是去年的第三名，相较于去年意外获得第三名，今年则从开赛就展现夺冠企图心，领队Vlad Roskov表示，该队刚好有2人擅长Web、2人擅长Pwn，彼此分工获得好成绩。第三名PPP中唯一的女生Corolina Zarate今年才20岁，她说，该队成员擅长漏洞挖掘，Web比较不擅长，但是有这样的CTF实战经验，都是很棒的学习。

另外一队美国参赛队伍Shellphish是由美国加州大学圣塔芭芭拉分校学生组成，成员之一王若愚（Fish）直言，该队平常的训练偏重漏洞挖掘，遇到Web题目很容易就会跳过。他认为这次的出题，很有“亚洲CTF”风格，题目需要花点头脑思考，但又不至于太刁钻、不合理。他肯定HITCON CTF团队的整体表现，更允诺明年还要再来。

唯一入围的中国队0ops则是上海交通大学组成的，队长肖子彤表示，该队擅长的仍是漏洞挖掘，但是从这次Web的出题，也获得很多不一样的学习。去年同样入围前十名，由北京清华大学组成的中国队伍蓝莲花，此次因为原本参赛成员都毕业了所以没有派员参赛，但肖子彤表示，0ops仍有继续维持CTF参赛的传承，希望可以持续下去。

在世界超强CTF比赛团队的环伺下，获得HITCON Taiwan Star奖项的队伍，就是由暑期资安课程AIS3成员组队的Dispwnable获得。这个团队分别来自交大网工和新竹教育大学，参赛队员虽然对资安有兴趣，但是在面对未来的职涯规划时，资安的工作是否有好的薪资和服务，也是他们在思考是否会继续投入资安领域的考量。

另外，参加“经济部2016智慧电表渗透测试竞赛”获得冠军的Hacker Forge，是由中正大学通讯工程系学生组成，透过这次的实战经验，他们发现，实战和在学校模拟环境有极大的差异，加上对于各种资安工具使用的熟悉度，这是一次很好的学习经验。