捷报！韩国队再度夺冠，台湾HITCON战队获得DEF CON CTF第三名成绩！,,不过，因为DEF△C

原标题：捷报！韩国队再度夺冠，台湾HITCON战队获得DEF CON CTF第三名成绩！

图片来源: 黄彦棻摄 [美国拉斯维加斯现场直击]经历过激烈的竞赛后，2018年由全新主办单位O.O.O.（Order-of-the-Overflow）的骇客抢旗攻防赛（CTF）的名字终于揭晓，由韩国队DEFKOROOT获得冠军，美国队PPP获得第二名，...

图片来源:

黄彦棻摄

[美国拉斯维加斯现场直击]

经历过激烈的竞赛后，2018年由全新主办单位O.O.O.（Order-of-the-Overflow）的骇客抢旗攻防赛（CTF）的名字终于揭晓，由韩国队DEFKOROOT获得冠军，美国队PPP获得第二名，台湾HITCON战队获得第三名的好成绩。不过，因为DEF△CON△CTF比赛在当天只揭晓前三名的名次，另外一位台湾资安新血战队BFS的成绩表现，则必须在完整统计成绩后才会揭晓。

韩国队杰出表现是BoB专案最佳呈现，台湾有资安新血投入才是重点

曾经获得2015年DEF△CON△CTF比赛冠军的韩国队，今年以DEFKOROOT为名参赛，比赛过程中，成绩相对稳定，到第二天比赛结束前，都维持第一位的好成绩，而已经在美国工作的韩国天才骇客Lokihardt，也再度到场和团队成员共同奋战。

iThome现场采访DEFKOROOT团队时，负责韩国资安菁英人才培育计划的Best△of△the△Best（简称BoB）中心经理Cho△Kyu△Hyung表示，这是韩国BoB计划培养资安人才一个好的成果展现，未来这样资安人才培训的计划将不会停止，让更多的人才可以投入资安领域。

一起参赛的Lokihardt则表示，这次可以获胜，主要是团队中每一个人都发挥应有的实力，并且扮演好彼此的角色，“这是一场通过团体合作、协同作业赢得的比赛成绩。”他说。

至于美国历史强队PPP（Plaid△Parliament△of△Pwning），由卡内基美隆大学学生组成的队伍，一直是DEF△CON△CTF常胜军，也是2017年CTF比赛的冠军。参赛成员指出，这次主办方有一些服务系统不是很稳定，的确有一点影响得分，但韩国队的确表现杰出。

台湾HITCON△CTF领队李伦铨表示，因为第三天主办方的服务中断，原本HITCON战队在前一天晚上准备的攻击工具都没有办法发挥，战队并没有预期可以获得第三名的好成绩。但最后可以得到第三名，李伦铨推测，应该是有一个King△of△the△Hill的题目获得好成绩，找到主办方没有找到的漏洞，写出了11个ShellCode，一路从第一天的第9名追赶到第3名，并且维持第三名的优势到第三天。

李伦铨认为，今天不管战队得到第几名，更重要的是，台湾这次有两队团队有机会参加DEF△CON△CTF的决赛，让这些年轻人有机会见识到国际场面，慢慢的历练，都会成为这群资安新血未来投入资安产业最好的养分。

新的主办单位提供新挑战，King△of△the△Hill加上攻防新赛制

身为这次主办单位O.O.O.成员之一的Zardus（本名Yan△Shoshitaishvili）不仅担任多年美国圣塔芭芭拉组成的CTF战队Shellphish的队长，也曾多次来台湾参加HITCON演讲。这次DEF△CON△CTF比赛的赛制和过往有些不同，不再是单纯的网络攻防（Attack△and△Defense），而是混合King△of△the△Hill的赛制，Zardus认为，由新的主办单位举办比赛，也应该在赛制上有一些创新，因此首度将King△of△the△Hill和Attack△and△Defense的比赛方式混合，考验参赛队伍除了挖漏洞的能力外，也同样考验防守的能力。

这次比赛释出的题目中，第一题就是King△of△the△Hill的题目，类似抢滩游戏，主要的得分方式，是以占领服务的时间多寡来决定分数高低，可以占领伺服器的服务时间越久，得分也越高。第一天比赛中，比赛成绩互有高下，包括PPP、DEFKOROOT和Sauercloud都曾经名列前茅。

第二天之后的赛制，则以攻防的题目为主，重点是要保护自己的伺服器不被攻陷，也必须要研究伺服器的漏洞并写成攻击程式，然后队其他参赛队伍发动攻击（Exploit），取得其他队伍伺服器中的金钥（Token）或旗帜（Flag）后，并将攻击成功的讯息（Flag）提交给主办单位计分。

不过，这次因为参赛队伍众多，包括网络和出题的伺服器都出现服务中断的现象。Zardus说，当初因为是新的主办团队，所以广开参赛大门，但他们发现，邀请世界第一流骇客参赛时，有许多事情都会和想像中不一样，明年应该只会维持过往12～15个队伍参赛的传统。

BFS参赛团队有助累积经验、提升自信

负责台湾资安菁英人才培训计划（AIS3）的三位老师，包括台科大资工系副教授郑欣明、交通大学资工系副教授黄俊颖和台湾大学资工系助理教授萧旭君也和多数由AIS3学生成员组成的资安新血战队BFS一起来参赛。黄俊颖表示，学生们的心理素质和抗压性很棒，非常享受在这样的比赛当中，这样的比赛经验都会是参赛学生和选手们很好的养分。

萧旭君则认为，通过这样的比赛，不仅可以提升选手个人的攻防实力，因为需要团队合作，彼此也会知道该如何配合、一起截长补短，打出好成绩。甚至于，她也说，CTF参赛选手通过这样的国际比赛，虽然没有获得前三名，但根据前几天表现维持中间名次，不仅增强学生们的自信，赛后与其他国家的选手交流，连解题都有不同的新刺激和想法。

许多BFS参赛的学生选手，比赛一结束，立刻跑到HITCON团队的位置，积极询问相关题目的解法，交换解题心得，通过交流就是立马提升资安实力最好方式。

资安人才培育应该看长线，切记短视近利

长期观察HITCON战队的不具名资安专家表示，这次因为挑战形式改变，第一天HITCON战队的得分并不突出。但他说：“老将不愧是老将，面对挫折可以做到宠辱不惊，可以平常心看待，才能够在第二天的比赛后来居上。”这样的韧性的确是HITCON战队的优势。

整体而言，这次比赛主办方出题方向，比较不是台湾HITCON战队擅长的领域，例如Orange在第二天晚上，有针对Web△Service题目写出可以通杀的攻击工具，但因为主办方的服务不稳定，后来就把这个题目拿掉了，台湾队伍也丧失很好的得分契机。但是，因为大家过往有良好的合作默契，也让大家可以很快的彼此互补，追赶失分。

这次DEF△CON△CTF主办方扩大参赛团队的资格，台湾也首度资安新血战队BFS有机会实际体验国际比赛的紧张刺激。有人曾经询问台湾HITCON战队成员说：“到底怎么样才能培养像HITCON战队成员这么样的资安实力？”当时的战队成员回答：“打CTF比赛是培养资安实力最快的方式。”该名资安专家也赞同，通过“以战养战”的方式，让选手们在短期间内快速学习，也学会快速解决问题的能力。通过这样的压力，也培养出打CTF比赛选手们面对任何问题与困难时，都具有良好的抗压性，通过不同比赛的出题方向，快速累积多方面的资安实力。

这次BFS战队成员中，有许多是通过AIS3（新型态暑期资安培训课程）慢慢培养训练出来的学生，第一次出国比赛即便不见得有好的名次，但可以有机会出国，通过比赛的机会磨练自己的资安实力，就是培养资安人才实力最好的方式之一。

只不过，因为之前HITCON表现杰出，所以开始有很多企业愿意赞助团队出国比赛，但同样的，这些企业期待选手可以有好的名次，难免也成为一种无形的压力。如何让包括HITCON、AIS3以及未来的选手们，可以在台湾企业的支持下，安心的以战养战、培养实力，并将资安火苗传承下去，则是许多关心台湾资安人才培育的资安专家们，心中最大的期待。

最后，政府部门愿意提升资安政策的位阶，揭櫫“资安等于国安”当然是好事，但是，该名资安专家也说，政府过往在政策执行上，最喜欢设定各种短期可见的KPI作为施政绩效，但资安人才的养成，包括资安产业的发展，都不是一蹴可即、可以短期见效的政策，如果政府施政只看短期KPI，只在乎政策是否可以有对外说嘴的成效，对长期的资安人才培育以及资安产业发展，都只会造成揠苗助长的效果而已。

?

iThome△Security

橙山网（Csnd.net）简评：不过，因为DEF△CON△CTF比赛在当天只揭晓前三名的名次，另外一位台湾资安新血战队BFS的成绩表现，则必须在完整统计成绩后才会揭晓。韩国队杰出表现是BoB专案最佳呈现，台湾有资安新血投入才是重点曾