HITCON 戰隊隊長 Orange 經驗分享
2014 年 8 月的時候,「台灣駭客年會」的 HITCON 戰隊前往美國拉斯維加斯,參加世界級駭客競賽 DEFCON 22 CTF(搶旗攻防戰)並取得了世界第二的佳績,也爭相吸引媒體報導資安界的台灣之光。爾後 HITCON 戰隊也在各國的比賽中不斷奪下亮眼成績,今天我們要帶大家看的,並不只是錦上添花的成績報導,而是透過專訪得獎的 HITCON 戰隊隊長蔡政達 (Orange),希望邀請大家一起來思考,台灣的資安環境與資安人才的培育該怎麼更進一步?
台灣駭客不是台灣婉君
「婉君」是出現在 2014 年底,在 PTT 上被廣泛使用的一個流行用語。它其實是「網軍」的諧音。由於年底的九合一選舉,有候選人指控對手招募網軍操作輿論,因此網軍一詞受到鄉民矚目。因為有部份指控並非事實,被指稱是「網軍」的鄉民只好戲謔地說自己只是「婉君」。 真正的「網軍」能做的事情,絕對不只是在網路上發言引導輿論風向。如同字面所說,一個正規的網軍,是指有能力利用網路從事資訊安全攻防進而達到軍事目的的人,例如美國網戰司令部 (United States Cyber Command USCYBERCOM),他們隸屬美國軍方,除了維護軍方的資安之外,有時候也需要進行網路戰。網軍有可能是政府培育的專家,也有可能是藏身於民間的高手駭客。
而「駭客」一詞,透過網路和媒體報導,相信大家都已經不陌生了。
在電影、媒體的渲染之下,常給人一種「駭客愛搞破壞」的負面印象,或者駭客什麼都辦得到的神化印象。事實上,駭客有很多不同的類型,不該一概而論,一般民眾在媒體上看到為了利益去入侵、或是不分由說以破壞系統來成就自己的人,其實是所謂的「破壞者」(cracker),但也有一群善意的「白帽駭客」(white hat),以駭客技術協助企業發現程式弱點、協助改善漏洞。
台灣資安界中,正有這麼一群白帽駭客,他們認為台灣的資安人,應該團結起來。因此開始舉辦「台灣駭客年會 (Hacks in Taiwan Conference, HITCON)」,除了交流資安方面的技術之外,也希望擔負起讓大眾重視資訊安全的觀念,期許政府和企業應視資安為一種社會責任。台灣駭客年會每年固定舉辦國際交流的研討會,以及大大小小的知識分享活動,藉著自由開放與分享的精神,帶給大眾資訊安全的正確觀念,並且也導正了「駭客」一詞普遍被認為是專門搞網路破壞或是竊取機密資料的形象。最近 HITCON 更推出了具公益性質的漏洞回報平台 VulReport,希望透過群眾力量,揭發網站系統漏洞之後,扮演駭客與企業、政府的溝通橋樑,並提供資安顧問服務,促進資安意識的向上提昇。
HITCON 戰隊成員揭密
這次勇奪 DEFCON 22 CTF 亞軍的 HITCON 戰隊成員來自各方,有來自老牌資安社群 CHROOT 的成員、以及來自台大、交大等不同大學的學生。Orange 說其實這並不是他第一次參賽,因為 DEFCON 是駭客界的盛事,CHROOT 社群的朋友每年都會參加初賽,不過以前參加的心態比較像是湊個熱鬧、志在參加,一直到 2013 年的時候他們才開始覺得有機會進入決賽。
當時有一個題目與演算法有關,因此他們找了台大做演算法的高手一起研究,因此激發了台大同學對資安的興趣;交大同學的加入則是因為他們本來就對資安有興趣,參加了台灣駭客年會的比賽,最後有共同興趣的這群人就湊在一起組成戰隊。但一開始彼此並不熟悉的隊友,也花了一些時間培養默契與分工,在參加 DEFCON 之前半年的時間,他們只要看到有賽事,就揪團盡量去參加。比較大型的比賽,他們可能會在真正聚在一起參賽,而不光是遠端,方便彼此之間當面討論。
至於去美國參加 DEFCON 決賽,這麼盛大的賽事,HITCON 有沒有特別做哪些準備?
Orange 想了一下,給了一個我意想不到的答案:他覺得對選手來說最重要的是「休息」。因為時差的關係,要先適應當地的時區、也因為賽程長達兩天半,這中間選手都完全沒有辦法休息。因此,讓身體得到充分的休息,才能保持在最佳的狀態應戰。其次就是,請 HITCON 團隊的成員各自準備好比賽可能會用到的工具,之後再把所有工具都整合起來,這樣就準備萬全了。但是這次比賽到了當地有出現一點小狀況,因此他們一直到比賽前,其實都還在準備工具的程式,硬體部份的網路環境和他們預想的情況也不太一樣,所以也花了一些時間在調整設備。
那麼,比賽進行中他們又是怎麼分工的呢?Orange 解釋,DEFCON 的決賽形式是各隊互相攻防,隊友間的分工也可以分成攻擊、防禦和支援。攻擊手主要負責找漏洞和攻擊,防禦的工作也如同字面上所示,看到別人正在攻擊的時候就儘速防禦與修補。支援要負責的事情就比較多,他們會寫一些輔助性的程式,舉例來說,示警系統就是他們負責的,一旦被攻擊就立刻送出警報;又或者是負責追蹤整個隊伍在哪個地方失分與在哪個地方加分,對隊伍接下來的行動其實很重要;再來錄下敵方的攻擊,去分析對方的攻擊也是重要工作。在這三個主要工作外,其實還有一個攸關選手性命的工作,就是負責飲食。當選手一心投入攻防,真的是進入「廢寢忘食」的境界,期間若沒有人定時塞食物給他們,說不定賽程還沒結束選手都要因為血糖過低而送醫了!
台灣的資安人才培育
HITCON 戰隊成員其實非常年輕,大部分都還是學生。當然一定很多人好奇他們是怎麼磨練自己的技巧,要成為駭客該具備哪些條件?資安人才是怎麼培育出來的呢?這些問題我們也不免俗地問了 Orange,不過有些問題的答案,我們可以先從回顧韓國的資安教育中得出來。
曾有韓國的知名駭客到台灣駭客年會,從韓國政府、企業及社群三個面向來分享韓國的資安人才培育模式。由於南北韓關係的影響,韓國政府十分重視資安,除了政府內有資安單位做危機處理、開發資安技術以及培育資安人才之外,在法律上制定了企業受駭須對客戶賠償的規範,並在大學中設置資訊安全系所提昇整體資安素質。不過資安教育進入大學也不是一開始就有的,在此之前也是先由社群自發的擔起教育責任,到現在韓國已有超過十所的大學有資安學系,每年也有十多場的資安研討會。Orange 表示,這代表政府一定有相當程度的重視,才有辦法到大學去開設相關的的系所或課程。
台灣目前也越來越重視資訊安全,「科技部雲端暨資安暨自由軟體專案」所補助的「自由軟體鑄造場」計畫,近年也藉由協助「台灣駭客年會」的活動舉辦,對國內的資訊安全生態盡一份心力。科技部也透過該專案計畫,補助了不少雲端資安相關的研究計畫。但是,學術界理論的研究,與資安業界所需的實務經驗,畢竟是不盡相同。Orange 以自身的經驗,談起目前台灣的資安駭客,大部分都是自學而成。一來是因為台灣並沒有系統化的資安教育體系,二來是因為駭客所需的「直覺」比較難藉著傳授而得,有時候需要一點點的天才,再加上不斷嘗試累積的經驗而來。
如何在教育上,能夠確實銜接理論與實務的差距,是未來大家可以共同思考的方向之一。
好奇心和勇於挑戰的駭客精神
如果你認同駭客精神,要如何起手呢?我們希望給 Orange 可以給還在就學但是對資安有興趣的同學一些建議。
Orange 表示,雖然學校沒有正規教育提供駭客實務經驗,但是學校的社團、或是資安相關的社群,可以帶來一些助益,例如他過去是經由前輩的介紹,參與輔大研究資安的社團 NISRA,台大也有新成立的駭客攻防社。另外、TDOHacker 社群也有固定舉辦聚會,都可以去認識人,互相交流。另外,2014 年底時,也有一群對資安有興趣的女生,和台灣駭客年會一起舉辦了第一屆專屬於女性的資安工作坊 HITCON GIRLS,也希望能夠引領更多女性對於資訊安全的重視及研究。
最後,Orange 他自己心中的駭客是什麼樣子的呢?
他認為「駭客」不光是資訊安全領域,而是充滿在各行各業,各個角落,駭客是充滿好奇心的一群人,因為對某一個特定領域,想要了解的更多更廣,所以勇於研究和挑戰,而且不斷嘗試、永不放棄。
相關連結: