menu-icon
anue logo
熱門時事鉅亨號鉅亨買幣
search icon

科技

HITCON 2016駭客競賽一天竟挖出三個真實世界0day漏洞

鉅亨網新聞中心 2016-12-05 13:49


香港,中國 - Media OutReach- 2016 年 12 月 5 日 - HITCON CTF 2016 決賽在為期兩天激烈的駭客攻防戰,冠軍隊伍終於出爐。 Cykorkinesis (韓國) 奪下國際駭客級資安競賽 HITCON CTF 2016 冠軍,獲得獎金 10,000 美元,並將直接晉級美國 DEFCON2017 決賽。第二、三名為 LC↯BC (俄羅斯) 與 PPP (美國),分別獲得 5,000 美元與 2,000 美元獎金。競賽獎金由聯發科技、東博資本與和沛移動共同贊助。同時,為鼓勵台灣資安人才,台灣 Dispwnable 隊伍也因表現優異,榮獲 HITCON TAIWAN STAR 獎,予以頒發 1,000 美元獎金,希望吸引更多人才投入台灣軟體與資安產業。

 


競賽負責人李倫銓表示,這次競賽有三個特點,1) 台灣連續兩年舉辦國際現場攻防賽,2) 台灣連續兩年獲選 DEFCON 種子賽,3) 初賽選拔獲世界各國選手肯定,評價逼近滿分。這次決賽隊伍有:美國 PPP、俄羅斯聯隊 LC↯BC、韓國 Cykorkinesis、美國 Shellphish、日本 TokyoWesterns、越南 CLGT、匈牙利! SpamAndHex、羅馬尼亞 PwnThyBytes、韓國 KAIST Gon、中國 0ops、台灣 Dispwnable、台灣 Hacker Forge、波蘭 p4。「第二天上午戰況激烈,各隊都將熬夜研發的攻擊武器施展出來,美國 PPP 不但打出首殺,更追上俄羅斯 LCBC 暫居第二,整個追分過程緊張萬分。」李倫銓表示。

 

另外,本次賽事更出現「一個軟體、三個 0-Day」的精彩現象。Web 出題者 Orange 說明,他出了一題 WEBROP,是以 Opensource 軟體 SugarCRM 為基礎所設計,他曾經因為某些特性挖到該軟體的漏洞,因此做出這題 WEBROP 的設計,是直接用 SugarCRM 真實環境架設,希望拋磚引玉出更多的漏洞利用方法及 0-Day,結果首先 LCBC 率先在這題挖出一個 0day 漏洞,接著 PPP 及 Cykorkinesis 也挖出不同的漏洞,這樣神奇的現象,Orange 說:「這種出題的過程,只要自己確定題目能夠解,接著就能拋磚引玉讓參賽隊伍找出不同利用方式或是 0-Day,是最棒的出題方式。」

 

根據現場觀察員的觀察,這次比賽不但主辦單位設計即時宇宙戰場動畫顯示即時戰況,每個隊伍還有一個燈箱,結合物聯網開發板控制燈光效果,被攻擊之隊伍之燈箱會亮閃爍紅燈,增加觀眾與隊伍臨場感。而此次題目有深度,涵蓋範圍廣泛,顯現出題者有豐富的比賽經驗,關卡類型包括 Pwnable、Reverse、Web、Forensic、Cryptography、MISC 等領域。參賽選手們必須謹慎細心,發揮臨場機智,才能順利解題、突破各個關卡。

 

這次的 CTF 競賽與 HITCON Pacific 同步舉行,邀請全球資安專家與駭客共同參與,為台灣創造國際技術交流與接軌平台,加速點亮台灣資安人才國際化腳步。亦希望透過舉辦競賽刺激台灣校園或民間資安駭客資安社群蓬勃發展,藉此激盪出資安新創人才!

 

獲勝隊伍簡介

決賽隊伍

國家

名次

簡介

Cykorkinesis

韓國

冠軍,獎金 10,000 美元;直接晉級美國 DEF CON 2017 決賽。

2015 HITCON CTF 冠軍。

LC↯BC

俄羅斯

亞軍,獎金 5,000 美元。

由一群熱愛研究資安技術與參加 CTF 比賽的成員所組成。

PPP

美國

季軍,獎金 2,000 美元。

由卡內基美隆大學 (Carnegie Mellon University) CTF 隊伍所組成,成軍超過六年。

Dispwnable

台灣

HITCON TAIWAN STAR,獎金 1,000 美元。

「教育部 AIS3」冠軍,由不同學校組成。

 

關於台灣駭客協會

台灣駭客年會邁入第 12 年,獲得關心各界人士的支持與重視,為了加速我們成長的腳步,我們已於 2015 年獲准正式成立為協會組織【台灣駭客協會】今年已滿週年。台灣駭客協會透過各種技術活動、競賽、與其他多元的方式,希望持續提供資安舞台讓台灣資安人才有更多的發揮空間,也期許吸引和喚起企業對資安的重視,傳達正確的資安觀念,讓企業、政府、駭客社群能共同來提升國家的資安實力。

 

 

 


Empty