風雲榜

更多

搶旗攻防制霸世界!屢獲總統接見

搶旗攻防制霸世界!屢獲總統接見

自己的能力排行在世界頂端是什麼感覺,與世界頂尖高手在資安電腦攻防的世界中廝殺,那種腦充血與腎上腺素的急速飆升夠爽快吧!資工系大四學生張元、 陳廷宇、李元魁、莊秉叡同樣都有著好勝、愛挑戰、不服輸與不容被挑釁的特點,這樣的特點也讓他們在資安世界中一路過關斬將放大招! HITCON CTF2018世界第三台灣隊伍殊榮獎、DefCamp CTF 2018 Final世界第五名、AIS3 EOF CTF Final冠軍…這些都是«DoubleSigma»戰隊獲獎的殊榮。當初因在學校計算機中心打工而認識,隊長張元從高中開始接觸資安進而產生興趣;隊員陳廷宇也是上大學之前對於駭客很嚮往,但直到大二參加的資安技能金盾獎才又喚起他的資安魂;再來是擅長密碼學的莊秉叡及對於框架有無限著迷與coding精準的李元魁。 ---------- __**被狂電 功力大增__** 四人第一次接觸到攻防的解題技巧就是在資工系許富皓教授的開的「電腦攻擊與防禦」課程,因為這門課是給高年級或是碩士選修,當初要上課時還被勸退,那時全班只有他們是大二生其他都是高年級的同學,但一股腦對於資工技術的瘋狂熱愛,他們不但把課上完,並在資安攻防上嶄露頭角。 因緣際會下大二開始了CTF一連串比賽,他們會在網路上的平台到處找比賽,若大家的時間可以湊齊就一起打,他們也期許可以每年固定打幾場國際賽。在一開始的比賽常常是一題解了48小時還解不出來(還是最簡單的那題…),但在經過大量被”電”的參賽經驗後,他們愈來愈有默契,解題能力也像他們的腎上腺素急速飆升,「在國際賽事中成長最快的方法就是被電」,陳廷宇表示。 大部分CTF的初賽都會採用解謎式(Jeopardy)的模式,在一定數量的題目中,越早回答出正確答案的隊伍,得分越高,就類似電視上的益智問答節目,解謎式CTF常見的類型包括逆向工程(Reverse)、弱點或漏洞分析(Pwnable)、加解密(Crypto)、鑑識(Forensics)以及其他難以歸類的綜合題(Misc)等。 __**精銳4人 功夫非凡**__ 隊長張元頭腦清楚有架構又有企圖心,他表示一開始組隊就以大三可以參加國際競賽並拿到優勝為目標。張元表示因為團隊人少,所以隊員擅長領域就不能重疊。 張元對打底層Pwnable與執行檔滲透相當熱愛,參賽者要透過靜態分析與動態分析來找出該程式的弱點,在遠端伺服器利用漏洞來執行任意指令,進一步取得存在遠端伺服器的金鑰,分析到漏洞後,如何進行控制漏洞並做到特定的行為。 陳廷宇主攻Reverse逆向工程類型,類似猜謎的題目,因此需要相當長的時間成本,因需層層剝解並釐清當中的邏輯關係,會讓參賽者花大量的時間在解謎,消磨意志力,因此擅長此類型的人須有大量的毅力與耐力。 莊秉叡因為喜歡數學,所以負責密碼學,密碼學是需要了解很多背景知識的一塊領域,了解後還需要分析能用在哪些題型,對於數學有超強感覺性,隊友都笑他語言表達那塊被數學敏感度吃掉了,但往往在競賽中魔鬼的細節就在密碼學中。 李元魁主要是出手打Web,簡單來說就是主辦單位下指令要你打進某個資料庫,容易即時獲得成就感也是很多人喜歡打Web的原因。這類的比賽方式入門門檻較低比較容易上手,但元魁也說其實打Web很需要實戰經驗,要從入門到頂尖,就要一直去打外部的網站。有著高濃度程式潔癖的他,對於程式寫法也相當要求精準與工整,不容任何一絲絲雜亂的結構在他寫的程式中。 __**2017 HICON 打響 «DoubleSigma»**__ «DoubleSigma»成名戰就是2017 HICON。名不見經傳的«DoubleSigma»因打進台灣前二名而一戰成名。張元表示2017年也是因為天時地利人合的幸運,主辦單位為了扶植國內戰隊,在賽制上新增台灣前兩名戰隊可直接保送決賽。若沒有這個新賽制,要在4000隊隊伍中搶得前10名才有資格打進國際賽,對於一個新的戰隊來說奪標的機率真的是微乎其微。 因此如何打進前二名關鍵就在研究敵情。張元將最有可能奪冠的前二名針對他們進行戰力分析,並研究他們之前的解題分佈與戰情評估最後擬定戰術。其實當初勝算大概只有3成,但老天真的給他們機會,而他們也把握住!這幾年參加大小戰役讓他們學到了很多,無論是在心理素質、專業技術、人脈建立甚至是團隊名聲,都讓他們學到很多。跳脫邏輯是成為駭客最基本的條件,這群大男生數理邏輯清晰、戰力無限,大小競賽一路打下來,福禍與共的連結出他們緊密的凝聚力,分工合作每個人都是關鍵。 現在,他們很享受精彩的競賽過程,未來,他們不設限一定要在資安領域發展,這樣跳脫邏輯又不按牌理出牌的他們,將會繼續在資安世界中與高手正面對決! __**BOX1: 解謎式CTF常見5種類型 資料來源:李倫銓**__ Reverse逆向工程類型 通常由主辦方給一個或多個Binary,通關所需要的Key通常加密藏在執行檔裡,要將程式逆向分析後才能找出。 Pwnable弱點或漏洞分析類型 主辦方會給一個有弱點的程式或Server執行檔,並且會開一台伺服器跑該服務,參賽者要透過靜態分析與動態分析來找出該程式的弱點。例如:Buffer overflow、命令注入等,在遠端伺服器利用漏洞來執行任意指令,進一步取得存在遠端伺服器的金鑰。 Crypto加解密類型 主辦方會給加密過的密文、加密程式,參賽者必須分析加解密演算法甚至需要找出演算法的弱點來破解出真正的明文。 Forensics鑑識類型 主辦方會要求參賽者從封包、Log、Memory、Disk Image、VM image等鑑識出隱藏在之中的金鑰。 Misc綜合類型 沒有較明確的分類,像是給個遊戲要想辦法作弊破到幾百萬分、給一個壞掉的QR code 嘗試修復或是給張圖片要找出相關的人事物等。 __**BOX2:**__ 成員戰力分析 張元: 角色:領導者 攻擊力:5顆星 智慧力:5顆星 生命力:5顆星 陳廷宇: 角色:謀略家 耐力:5顆星 防禦力:5顆星 洞察力:5顆星 李元魁: 角色:魔法師 感知力:5顆星 智慧力:5顆星 命中力:5顆星 莊秉叡: 角色:賢者 感知力:5顆星 智慧力:5顆星 攻擊力:5顆星