駭客比賽到底在比什麼?
競賽考驗包括系統安全、演算法、密碼學以及程式設計功力,這類競賽能培訓高階資安人才,讓他們有一較高下的舞台,發展自今有兩種較常見的比賽模式 Jeopardy 和 Attack and Defense。
Jeopardy 名稱來自美國 1960 年代的智力問答節目,在有限的題目中,所有隊伍比賽解題的數量與速度,常見的題目類型有: Reverse、 Pwnable、 Crypto、 Forensics、 Misc。
Reverse 逆向工程類型:通常由主辦方給一個或多個Binary, 過關所需要的Key通常加密藏在執行檔裡,要將程式逆向分析出後才能找出。
Pwnable 分析弱點或漏洞類型:主辦方會給一個有弱點的程式或 Server 執行檔,主辦方自己會開一台伺服器跑該服務,參賽者要透過靜態分析與動態分析來找出該程式的弱點。例如: Buffer overflow、命令注入等,在遠端伺服器利用漏洞來執行任意指令,進一步取得存在遠端伺服器的金鑰。
Crypto 破譯類型:意指主辦方會給加密過的密文、加密程式,參賽者必須分析加解密演算法甚至需要找出演算法的弱點來破解出真正的明文。
Forensics 鑑識類型:表示主辦方會要求參賽者從封包、 log、 memory dump、 disk image、 VM image 鑑識出隱藏在之中的金鑰。
Misc 主要沒有較明確的分類:像是給個遊戲要想辦法作弊破到幾百萬分、給一個壞掉的 QR code 嘗試修復,或是給張圖片要找出相關的人事物等。
Attack and Defense 相較於 Jeopardy 就殘酷許多,主辦單位會為所有參加的隊伍準備需要守護的伺服器,這台伺服器上會有網頁,遊戲或其他特殊用途的服務。每個服務都有數個漏洞,漏洞可能只是簡單的資訊泄露,阻斷服務; 也可能是一個嚴重的漏洞讓客戶端可以在伺服器上執行任意指令。
參賽的隊伍需要做的事情,就是守護好自己的伺服器,然後打進對手的伺服器偷取 Token。守護好自己的伺服器必須要能正常提供服務。若服務沒有正常運作,每一回合都會扣分,扣的分數平均分配給服務正常的隊伍。而正常運作的服務若沒有將漏洞補上,就會被其他隊伍利用來偷取伺服器上的檔案 – token。 只要被搶走 token,該回合一樣被扣分,由搶到該 token 的隊伍平分。
每種服務都會獨立計算,所以如果同時數個服務都被打穿,一回合掉的分數是極為驚人的。通常這種形態的比賽都是現場賽,持續兩到三天。長時間的比賽除了比拼技術實力外,還要拼體力與意志力。
參考文章:
https://www.bnext.com.tw/article/37765/BN-2015-10-24-182518-77
http://www.ithome.com.tw/news/103878
Jeopardy 名稱來自美國 1960 年代的智力問答節目,在有限的題目中,所有隊伍比賽解題的數量與速度,常見的題目類型有: Reverse、 Pwnable、 Crypto、 Forensics、 Misc。
Reverse 逆向工程類型:通常由主辦方給一個或多個Binary, 過關所需要的Key通常加密藏在執行檔裡,要將程式逆向分析出後才能找出。
Pwnable 分析弱點或漏洞類型:主辦方會給一個有弱點的程式或 Server 執行檔,主辦方自己會開一台伺服器跑該服務,參賽者要透過靜態分析與動態分析來找出該程式的弱點。例如: Buffer overflow、命令注入等,在遠端伺服器利用漏洞來執行任意指令,進一步取得存在遠端伺服器的金鑰。
Crypto 破譯類型:意指主辦方會給加密過的密文、加密程式,參賽者必須分析加解密演算法甚至需要找出演算法的弱點來破解出真正的明文。
Forensics 鑑識類型:表示主辦方會要求參賽者從封包、 log、 memory dump、 disk image、 VM image 鑑識出隱藏在之中的金鑰。
Misc 主要沒有較明確的分類:像是給個遊戲要想辦法作弊破到幾百萬分、給一個壞掉的 QR code 嘗試修復,或是給張圖片要找出相關的人事物等。
Attack and Defense 相較於 Jeopardy 就殘酷許多,主辦單位會為所有參加的隊伍準備需要守護的伺服器,這台伺服器上會有網頁,遊戲或其他特殊用途的服務。每個服務都有數個漏洞,漏洞可能只是簡單的資訊泄露,阻斷服務; 也可能是一個嚴重的漏洞讓客戶端可以在伺服器上執行任意指令。
參賽的隊伍需要做的事情,就是守護好自己的伺服器,然後打進對手的伺服器偷取 Token。守護好自己的伺服器必須要能正常提供服務。若服務沒有正常運作,每一回合都會扣分,扣的分數平均分配給服務正常的隊伍。而正常運作的服務若沒有將漏洞補上,就會被其他隊伍利用來偷取伺服器上的檔案 – token。 只要被搶走 token,該回合一樣被扣分,由搶到該 token 的隊伍平分。
每種服務都會獨立計算,所以如果同時數個服務都被打穿,一回合掉的分數是極為驚人的。通常這種形態的比賽都是現場賽,持續兩到三天。長時間的比賽除了比拼技術實力外,還要拼體力與意志力。
參考文章:
https://www.bnext.com.tw/article/37765/BN-2015-10-24-182518-77
http://www.ithome.com.tw/news/103878
留言
張貼留言