HITBSecConf06 Reports on Nan Yang

HITBSecConf06 reports published on Nan Yang Newspaper, the title is “When Hacker meet Hacker”, to read full article get translator 😀 Mainly talk about CTF.

CTF crew from left: slave – takizo, -, King – spoonfork, Daemon King – xwings, Master – rd, Sniffer – lee chin seng. We donated the money to Makna for charity.

当骇客遇上骇客

一群平时被蒙上神秘面纱的顶尖骇客齐齐亮相，公开在吉隆坡进行一场竞技赛，只为了抓住一面标榜骇客界最高荣耀的旗帜。到底谁才是真正的骇客之王？

这是一场别开生面的竞技比赛，拼命抢攻的一方是骇客，死命防守的另一方也是骇客。

赛场内鸦雀无声，各方参赛人马一言不发，聚精会神盯着电脑屏幕，每个人手指迅速地在键盘上舞动着；赛场外人声沸扬，围观的群众捺不好奇心，无不想亲睹这些神秘骇客们卢山真面目。

这一天， 骇客全出来了

赛场的地点不是某某情报机构，或是某某军事基地，而是吉隆坡黄金三角地带某间知名酒店。时间是上周三，配合2006年第五届“骇客安全大会”（Hack In The Box Security Conference），一连两天在讲座会场外，同步举行一场骇客攻防技术的较量赛。

这项取名为“抓住旗帜””（Capture the Flag）的骇客攻防大赛，早在2002年第一届HITB安全大会的时候，就已经存在，今年已经是第五次举办类似的赛事。

十队顶尖高手比武

本届“抓住旗帜”骇客大赛一共获得十队来自国内外的骇客好手的参与，每队队员3人，其中有3支队伍更是从国外专程前来挑战，他们分别是意大利、韩国和新加坡，其余的皆是大马队伍。

这项骇客大赛的主要目的，是让人们了解骇客在现实的生活中，是如何通过互联网进行攻击和防守网络的行动，参加者只要拥有相关的电脑技能，如电脑保安、网络维护及系统管理，就有资格参加参赛。

每队参赛的队伍，都获得主办当局分配一台伺服器，以便他们进行防卫；在防守的同事，也要攻击敌对队伍的伺服器。

参赛者必须如何攻击地方伺服器的种种窍门有所认识，并尽可能在敌方的伺服器内，埋藏越多旗帜越好。参赛队伍决出胜负的方式，就是以旗帜的数量而计算的。

经过两天赛事胜出的三甲队伍，将各别获得3千令吉、2千令吉和1千令吉的现金奖。

不限使用任何工具

大会总协调美林慕汀对《资讯网》说，要胜出这场比赛，参赛的队伍必须在敌方的伺服器安置最多的“旗帜”，主办单位也不限定参赛者所使用的骇客工具。

他说，本届参赛的队伍普遍上使用的骇客工具有网络扫描、弱点扫描、“Exploit Flamework”和“debugger”，所使用的防守工具则有防火墙、反向代理伺服器（Reverse Proxy）、侵入侦察系统（IDS）等。

他说，这次赛事使用的平台跟往年一样，全是开发源码操作系统。

他表示，这只是竞赛规则的要求，加上骇客工具适用于任何操作系统，并不会对比赛的过程和结果产生任何的分别。

三甲得奖者害怕露脸

对于骇客，社会上总有太多的误解，包括他们如何神乎其技，轻易闯进和破坏一个又一个网站，促使骇客一直被视为恶名昭彰的代名词。

事实上，骇客大赛的参赛者，许多人真实身份不是学生，就是公司的系统安全人员、网络保安人员等专业人士。虽然他们大多具备了骇客的技能，不过，未必是你我想象中的那么不堪、那么邪恶。

或许正是碍于社会的压力，许多“抓住旗帜”骇客大赛的参赛者，都不让真名曝光，也对其骇客这个身份保持低调。

而成功进入三甲名次的得奖骇客更担心自己样子对外曝光后，会招惹不必要的麻烦，因此纷纷要求本报记者绝对保密其本身和队员的照片。

韩国骇客团技高夺冠

经过两天激烈的赛事，三支来自海外的骇客挑战团技高一筹，击败国产骇客夺走了三甲名次。

来自韩国的“Dokdo-Kor”以高人一等的骇客技术荣获本届赛会冠军。意大利队“zone-h”夺得亚军，以及新加坡“Qb1T”队则位居第三名。

在颁奖的那一刻，众得奖者纷纷表态捐出所赢取的奖金于国家癌症中心，显示此行来马纯粹为名，而非求利，充份表现出骇客本色。

与本地骇客进行切磋

不愿披露姓名的冠军队“Dokdo-Kor”队长在赛后匆忙中受访时表示，队员都是一群刚完成学业的大专生，而且也曾经参与韩国本土举行的Padocon骇客组织举行的骇客大会。

他坦言，该队成员在韩国属于高等级骇客，此次目的是前来我国与本地骇客进行切磋，得到冠军对他们而言只是一项额外的惊喜。

“Dokdo-Kor”队另一名成员史提夫和坚持只用化名K3R7上阵的队友异口同声的说，这是他们第一次来马，希望能够从中学习，和结交更多的同道中人。

史提夫表示，他们的策略是专注在防卫的部份，然后在防守中寻求反击，他们希望这个战略可以奏效，在这为期两天的赛事中旗开得胜。

互联网没有百分安全

第一次前来参赛的意大利队“zone-h”，其领队罗伯托也是这次大会的主讲人之一。他表示此次带领三人队伍前来参赛，志在参与，不在胜负。

他也认为现今的互联网世界，没有所谓的100％安全，甚至可以说是没有任何东西是安全的。

“这是因为系统越来越复杂，但是也越来越容易破解。”他说，在这场骇客与系统安全的竞赛中，骇客永远是胜利的一方。

骇客群中一点红

现年26岁的李瑞婉是“抓住旗帜”骇客大赛中罕见女性参赛者，自然成为了全场注目焦点之一。

比起其他闪躲的男骇客，她更乐意接受本报记者的采访。她表示，本身持有资讯工艺学位，第一份工作就是在一家网络保安公司任职。

连续第二年参赛的她坦言，身边从事这份行业或热爱骇客活动的女性朋友少之又少，而且对于男性占大多数的骇客世界，不会因为本身是女生而有着不一样的看法。

由于工作性质原因，经常需要利用“骇客手段”进行网络安全或产品的测试活动，个中带来的挑战让李瑞婉爱上了这份工作。她说，这也成为她的最大兴趣，同时骇客也代表着自由自在，能把这个兴趣当成一份正职让她对工作充满激情和满足感。

新加坡骇客专程取经

首次前来我国参加HITB安全大会的萧其伟和廖明吉，是任职于新加坡一家学术机构。此次，他们利用个人名义与另两队来自新加坡代表前来参与这项盛会。

廖明吉指出，在新加坡也有一个由许多骇客组成的非盈利机构，不过当地并没有我国来得开放，欲进行类似的大会并不容易。因此，他们借此机前来我国与其他骇客进行交流以及接受各种挑战。

许多人认为骇客常在夜间上网活动，萧其伟表示，由于学术机构内拥有本身的实验室，可以进行闭门式网络安全测试，可借此互相学习与研究，而非上网进行各种不法活动。

网络小辞典：黑白帽骇客有别

其实骇客和黑客都一样，都是称呼那些试图破解或破坏某种程序、系统及网络安全的人，在港、台一般称为“骇客”，在中国则叫“黑客”。

“黑客”的英文应是“Hacker”，原意是“开辟、开创”的意思，也即是说，“黑客”应该是开辟道路的人。由于“黑客”一词取自英文“Hack”（砍），它的普遍含义是电脑系统的非法入侵者。而现时一般所说的“骇客”是指“Cracker”，意思是“解密、破译”的意思。

由于现在这两个词语已经被普遍混用为“骇客”，所以再强调“黑客和骇客”的分别，也已经没有任何实际的意义了。

在网络世界中，骇客也有所谓的好坏之分。那些恶意破坏网络，并从中获得利益的人，通常被称为“黑帽骇客”，而试图破解某系统或网络，以便提醒该系统拥有者关于其网络安全漏洞的人，则称之为“白帽骇客”，这些人大多是电脑安全公司的雇员，在安全合法的情况下攻击某系统。