HITBSecConf06 Reports on Nan Yang

HITBSecConf06 reports published on Nan Yang Newspaper, the title is “When Hacker meet Hacker”, to read full article get translator 😀 Mainly talk about CTF.

CTF crew from left: slave – takizo, -, King – spoonfork, Daemon King – xwings, Master – rd, Sniffer – lee chin seng. We donated the money to Makna for charity.

当骇客遇上骇客

一群平时被蒙上神秘面纱的顶尖骇客齐齐亮相,公开在吉隆坡进行一场竞技赛,只为了抓住一面标榜骇客界最高荣耀的旗帜。到底谁才是真正的骇客之王?

这是一场别开生面的竞技比赛,拼命抢攻的一方是骇客,死命防守的另一方也是骇客。

赛场内鸦雀无声,各方参赛人马一言不发,聚精会神盯着电脑屏幕,每个人手指迅速地在键盘上舞动着;赛场外人声沸扬,围观的群众捺不好奇心,无不想亲睹这些神秘骇客们卢山真面目。

这一天, 骇客全出来了

赛场的地点不是某某情报机构,或是某某军事基地,而是吉隆坡黄金三角地带某间知名酒店。时间是上周三,配合2006年第五届“骇客安全大会”(Hack In The Box Security Conference),一连两天在讲座会场外,同步举行一场骇客攻防技术的较量赛。

这项取名为“抓住旗帜””(Capture the Flag)的骇客攻防大赛,早在2002年第一届HITB安全大会的时候,就已经存在,今年已经是第五次举办类似的赛事。

十队顶尖高手比武

本届“抓住旗帜”骇客大赛一共获得十队来自国内外的骇客好手的参与,每队队员3人,其中有3支队伍更是从国外专程前来挑战,他们分别是意大利、韩国和新加坡,其余的皆是大马队伍。

这项骇客大赛的主要目的,是让人们了解骇客在现实的生活中,是如何通过互联网进行攻击和防守网络的行动,参加者只要拥有相关的电脑技能,如电脑保安、网络维护及系统管理,就有资格参加参赛。

每队参赛的队伍,都获得主办当局分配一台伺服器,以便他们进行防卫;在防守的同事,也要攻击敌对队伍的伺服器。

参赛者必须如何攻击地方伺服器的种种窍门有所认识,并尽可能在敌方的伺服器内,埋藏越多旗帜越好。参赛队伍决出胜负的方式,就是以旗帜的数量而计算的。

经过两天赛事胜出的三甲队伍,将各别获得3千令吉、2千令吉和1千令吉的现金奖。

不限使用任何工具

大会总协调美林慕汀对《资讯网》说,要胜出这场比赛,参赛的队伍必须在敌方的伺服器安置最多的“旗帜”,主办单位也不限定参赛者所使用的骇客工具。

他说,本届参赛的队伍普遍上使用的骇客工具有网络扫描、弱点扫描、“Exploit Flamework”和“debugger”,所使用的防守工具则有防火墙、反向代理伺服器(Reverse Proxy)、侵入侦察系统(IDS)等。

他说,这次赛事使用的平台跟往年一样,全是开发源码操作系统。

他表示,这只是竞赛规则的要求,加上骇客工具适用于任何操作系统,并不会对比赛的过程和结果产生任何的分别。

三甲得奖者害怕露脸

对于骇客,社会上总有太多的误解,包括他们如何神乎其技,轻易闯进和破坏一个又一个网站,促使骇客一直被视为恶名昭彰的代名词。

事实上,骇客大赛的参赛者,许多人真实身份不是学生,就是公司的系统安全人员、网络保安人员等专业人士。虽然他们大多具备了骇客的技能,不过,未必是你我想象中的那么不堪、那么邪恶。

或许正是碍于社会的压力,许多“抓住旗帜”骇客大赛的参赛者,都不让真名曝光,也对其骇客这个身份保持低调。

而成功进入三甲名次的得奖骇客更担心自己样子对外曝光后,会招惹不必要的麻烦,因此纷纷要求本报记者绝对保密其本身和队员的照片。

韩国骇客团技高夺冠

经过两天激烈的赛事,三支来自海外的骇客挑战团技高一筹,击败国产骇客夺走了三甲名次。

来自韩国的“Dokdo-Kor”以高人一等的骇客技术荣获本届赛会冠军。意大利队“zone-h”夺得亚军,以及新加坡“Qb1T”队则位居第三名。

在颁奖的那一刻,众得奖者纷纷表态捐出所赢取的奖金于国家癌症中心,显示此行来马纯粹为名,而非求利,充份表现出骇客本色。

与本地骇客进行切磋

不愿披露姓名的冠军队“Dokdo-Kor”队长在赛后匆忙中受访时表示,队员都是一群刚完成学业的大专生,而且也曾经参与韩国本土举行的Padocon骇客组织举行的骇客大会。

他坦言,该队成员在韩国属于高等级骇客,此次目的是前来我国与本地骇客进行切磋,得到冠军对他们而言只是一项额外的惊喜。

“Dokdo-Kor”队另一名成员史提夫和坚持只用化名K3R7上阵的队友异口同声的说,这是他们第一次来马,希望能够从中学习,和结交更多的同道中人。

史提夫表示,他们的策略是专注在防卫的部份,然后在防守中寻求反击,他们希望这个战略可以奏效,在这为期两天的赛事中旗开得胜。

互联网没有百分安全

第一次前来参赛的意大利队“zone-h”,其领队罗伯托也是这次大会的主讲人之一。他表示此次带领三人队伍前来参赛,志在参与,不在胜负。

他也认为现今的互联网世界,没有所谓的100%安全,甚至可以说是没有任何东西是安全的。

“这是因为系统越来越复杂,但是也越来越容易破解。”他说,在这场骇客与系统安全的竞赛中,骇客永远是胜利的一方。

骇客群中一点红

现年26岁的李瑞婉是“抓住旗帜”骇客大赛中罕见女性参赛者,自然成为了全场注目焦点之一。

比起其他闪躲的男骇客,她更乐意接受本报记者的采访。她表示,本身持有资讯工艺学位,第一份工作就是在一家网络保安公司任职。

连续第二年参赛的她坦言,身边从事这份行业或热爱骇客活动的女性朋友少之又少,而且对于男性占大多数的骇客世界,不会因为本身是女生而有着不一样的看法。

由于工作性质原因,经常需要利用“骇客手段”进行网络安全或产品的测试活动,个中带来的挑战让李瑞婉爱上了这份工作。她说,这也成为她的最大兴趣,同时骇客也代表着自由自在,能把这个兴趣当成一份正职让她对工作充满激情和满足感。

新加坡骇客专程取经

首次前来我国参加HITB安全大会的萧其伟和廖明吉,是任职于新加坡一家学术机构。此次,他们利用个人名义与另两队来自新加坡代表前来参与这项盛会。

廖明吉指出,在新加坡也有一个由许多骇客组成的非盈利机构,不过当地并没有我国来得开放,欲进行类似的大会并不容易。因此,他们借此机前来我国与其他骇客进行交流以及接受各种挑战。

许多人认为骇客常在夜间上网活动,萧其伟表示,由于学术机构内拥有本身的实验室,可以进行闭门式网络安全测试,可借此互相学习与研究,而非上网进行各种不法活动。

网络小辞典:黑白帽骇客有别

其实骇客和黑客都一样,都是称呼那些试图破解或破坏某种程序、系统及网络安全的人,在港、台一般称为“骇客”,在中国则叫“黑客”。

“黑客”的英文应是“Hacker”,原意是“开辟、开创”的意思,也即是说,“黑客”应该是开辟道路的人。由于“黑客”一词取自英文“Hack”(砍),它的普遍含义是电脑系统的非法入侵者。而现时一般所说的“骇客”是指“Cracker”,意思是“解密、破译”的意思。

由于现在这两个词语已经被普遍混用为“骇客”,所以再强调“黑客和骇客”的分别,也已经没有任何实际的意义了。

在网络世界中,骇客也有所谓的好坏之分。那些恶意破坏网络,并从中获得利益的人,通常被称为“黑帽骇客”,而试图破解某系统或网络,以便提醒该系统拥有者关于其网络安全漏洞的人,则称之为“白帽骇客”,这些人大多是电脑安全公司的雇员,在安全合法的情况下攻击某系统。

3 Replies to “HITBSecConf06 Reports on Nan Yang”

Comments are closed.