新台湾之光！台湾队HITCON打败中日韩俄法，夺全球骇客大赛第二名

台湾骇客团队HITCON有史以来第一次，首度获得在美国拉斯维加斯举办的骇客大赛DEF CON CTF（抢旗攻防战）全球第二名，而主办单位在颁奖典礼上宣布这是来自台湾的资安队伍，名次仅次于多次夺冠的美国团队PPP，而这个PPP团队则是由天才骇客神人Geohot 、Ricky Zhou和CMU PPP战队的资安联军，虽败犹荣。第三名则是世界CTF排名第一波兰战队Dragon Sector。

台湾骇客团队HITCON是由台湾的年轻骇客组队而成，整合包括CHROOT、台大217、交大资工等伙伴，由台湾骇客年会CTF召集人李伦铨（Alan）花了半年时间整合、受训，参与各种国际骇客竞赛，先是赢得百度杯（BCTF）骇客竞赛第一名，接着打败全球上千骇客队伍，在DEF CON 22预赛获得第12名，首度取得全球骇客大赛DEF CON CTF（抢旗攻防战）决赛资格，终于在8月8～10日在美国拉斯维加斯全球20强的决赛中夺下全球第二名的好成绩，。

李伦铨曾在脸书表示，“这场DEF CON决赛，专家皆预测是世界CTF排名第一波兰战队Dragon Sector和美国第一战队PPP的顶尖对决，但来自台湾的HITCON团队，竟然以黑马之姿周旋在世界列强之中，令人跌破眼镜！”

惊涛骇浪的3天比赛，终于夺下第二名好成绩

在正式比赛的前一天的晚上，为了在比赛中争取更好的名次，HITCON台湾战队刚刚讨论战术和写程式到凌晨1点多，李伦铨说：“就是希望能顺利在不眠不休的3日战事中，顺利存活。”

CTF的比赛方式是，每个参赛团队都有自己的服务器，每个服务器上都有各种预先设计好的漏洞，各个参赛队伍彼此找漏洞相互攻击，甚至，先找到漏洞成功发动攻击的参赛者，还可以加分；除了攻击之外，也必须设法补强自己的漏洞，避免被攻陷。而HITCON守护的服务器就是小小一台的ARM v7，预载了很多漏洞，HITCON不仅要巩固自己服务器的安全，也必须攻陷其他团队的服务器得分。

这是HITCON团队参加比赛3天以来，必须努力保护的服务器ARM v7，HITCON不仅要强化服务器的安全性，也必须去攻陷其他团队的服务器得分。

第一天，HITCON的比赛战绩原本是第五名，后来发现成绩计算错误，第一天战绩高居第二名，李伦铨说：“初期防护能力决定一切，名次排名前面的队伍，几乎都是积极巩固自己系统。”

HITCON第一天原本公布获得第五名，后来大会成绩计算错误，重新公布，HITCON在第一天获得第二名的好成绩。

到了第二天的比赛，HITCON曾经一度排名第一名，只不过，美国骇客战队PPP开始以好几个零时差（0 Day）漏洞横扫全场，也很快夺下第一名的宝座。而PPP战队从一刚开始就视HITCON为劲敌，并不主动攻击HITCON守护的服务器，锁定其他团队陆续得分，就是怕HITCON知道他们的攻击手法。

HITCON在第二天的比赛中，曾经短暂的获得第一名好成绩。只不过，没多久就被美国骇客团队PPP夺得第一名的宝座。

 

由于主办单位每日都会更换队伍桌次，到了最后一天的比赛，主办单位便将前四强队伍，包括：美国队PPP、台湾队HITCON、波兰队Dragon Sector以及中国队Blue Lotus安排在中间的4张桌子上，其他队伍则环绕在这4队之外。“这对于首度参赛的HITCON而言，是无比的荣耀。”李伦铨说道。

DEF CON 22主办单位在美国西区时间下午5点 DEFCON 典礼的时候公布的战绩时，特别宣布由来自台湾HITCON团队获得第二名，所有的成员都非常的感动。领队李伦铨表示，台湾队伍能夺胜其实是运气加上这次的团队充分发挥默契，合作无间才勉强得胜，实在赢的非常侥幸。

雀跃之余却看到台湾资安发展的致命伤

李伦铨坦言，今年上半年的训练和比赛经验、以及提早两天来美国集训，对这次比赛很重要，其中，由中国蓝莲花举办的BCTF百度杯决赛的经验，更让台湾团队可以事先学习到这种抢旗赛相关规则和经验，有对台湾团队的成长带来很大的帮助。

台湾虽然赢得第二名，但李伦铨认为，世界上其他队伍实力实在太强，包括PPP和Dragon sector、中国蓝莲花等，尤其是PPP队伍，挖掘0day漏洞和写exploit漏洞攻击程式的能力非常快速，找到0day后可以立刻横扫全场，夺取大量分数，这便是PPP团队致胜的关键。

他强调，这种零和制的抢旗赛，每一个攻防流程都跟现实资安状况相似，可谓是考验选手在短时间内需具备漏洞分析能力、攻击程式撰写速度、全方位高端电脑知识的一种严格挑战。

虽然HITCON很侥幸获得第二名的好成绩，但看在李伦铨的眼里，对于台湾未来资安人才培育和资安产业发展前景，却充满的忧心。

他认为，这次骇客竞赛得胜，并不代表台湾骇客很厉害，反而真的见识到世界级高手挖漏洞的坚强实力，这点是台湾软件产业和资安人才非常欠缺的部分。更重要的是，“台湾几乎没有这样的蓝海市场可以留住这次的资安人才。”李伦铨说道。

或许HITCON得到全球第二名的好成绩很值得开心，但李伦铨看到韩国队的整体资安实力，却感到忧心不已。他说：“反观韩国这次共有5队进入决赛，韩国队虽然没有夺得前三名，但是这种整体资安实力的数据，才是台湾政府和民间应该要共同努力的目标，而不是看到单一团队的得名！”

李伦铨表示，由于韩国长期有制度的集训并培养资安人才，由政府带头下，这次韩国队总共培训了raon_ASRT、KAIST GoN、CodeRed、HackingForChimac，以及[SEWorks] penthack等5队，全都打进这次骇客界的世界杯DEF CON 22 CTF，“这才是我觉得值得骄傲的训练。”李伦铨感叹道。

他也说，当全部20队的DEF CON参赛团队，有四分之一的参赛团队都来自韩国，如果这个团队组成一队，实力是否会是最强的？这次参与DEF CON全球20强中，除了韩国有5队参赛外，美国3队、俄罗斯2队、法国2队，其他中国、台湾、波兰、德国、澳洲、丹麦和日本都各有1队参赛。台湾民众或许可以因为HITCON得名而感到自豪，但这并不意味着，台湾整体资安实力是亚洲第一名，大家务必看清楚得名名次背后带来的真相。

他也坦言，台湾如果不能建立培训制度与打造资安人才挥洒的舞台，资安人才迟早会出现断层，2015年不会再有这种好成绩。

最令人感慨的是，韩国由政府带头支持资安、培训资安人才，台湾这次参加美国的骇客大赛，团队却是由台湾的资安公司趋势科技提供赞助。李伦铨表示，相较于政府和民间企业对资安人才的培训与支持，已经出现不小的落差，这样长期以往，更让人忧心台湾未来的资安产业发展。

台湾骇客年会总召蔡松廷（TT）也表示，会在今年第十届骇客年会中的企业场次中，完整分享所有的攻防内容。