IT業界資訊媒體

【獨家專訪】香港「真‧公開」奪旗賽

還有不足一個月,香港首個全公開的 Capture The Flag(CTF)奪旗賽即將在 10 月 19 日舉行。這個由香港奪旗賽協會舉辦的黑客大賽,與過往在香港舉辦的 CTF 賽事有很大分別,該會的 COO 梁國基(Frankie)表示,他們今次將會同時舉辦學生組及公開組,而不再各有各玩,「雖然賽事定位會影響部分贊助商的決定,例如賽事有學生組會減低商業性;但我們認為不應這麼極端,既然要推廣 CTF,就應讓全部人一齊參與。」為何要在此時此刻在香港力推 CTF 賽事,就由綽號「資安長老」的 Frankie,拉下神秘面紗為大家講解。

形式進化更講策略

CTF 奪旗賽,牽涉到很多不同類型的賽事,例如戶外運動、wall game 等等,但在網絡安全界別,就是一種讓黑客比併電腦技術的活動。Frankie 說 CTF 賽事,最早起源於 1993 年 DEF CON 全球黑客大會。當時黑客 Jeff Moss 為了跟朋友送行,於是便邀請黑客及朋友去到美國拉斯維加斯,參與這場歡送大會。活動期間,Jess 跟黑客朋友曾舉辦網絡安全挑戰競賽,讓大家一展身手,這場賽事便成為了 CTF 奪旗賽的雛型。經歷二十多年發展,Frankie 說現時的 CTF 賽事內容及形式都豐富了很多,規則亦有很多變化,例如傳統參賽者會分別扮演 Red、Blue Team,在賽事中各自進行攻擊與防守,「但現時最流行的玩法是同時兼任 Red、Blue Team 角色,各隊參賽隊伍會在相同條件下競賽,隊伍可選擇鬥快發掘漏洞,然後發動攻擊癱瘓其他隊伍的電腦系統,在對手可重新運作前修復自己的漏洞及解答題目得分。」他說較弱的隊伍亦可聯手攻擊敵人,令到賽事氣氛更加緊湊。

積極推廣 CTF 奪旗賽,Frankie 說全為了網絡安全業界著想。「不單只我自己的公司,其他行家現時面對的最大困難,一定是人手不足。」他說香港一直缺乏網絡安全學士課程,不單難以培養人材,學生在升讀大學時亦無法選擇。反觀英國,學生早在高中時已在學習網絡安全課程。早前 Frankie 在「資安長老」專欄介紹的 HKUSPACE 和普利茅斯大學合作的電腦及資訊保安(榮譽)理學士課程便屬少數。「為了吸引更多人加入網絡安全界,推動 CTF 賽事是其中一個辦法,而且參賽者的表現亦可讓雇主物色人材,比起睇 CV 更能了解對方的實力。」

在 CTF 成績方面,Frankie 說台灣的技術很高,例如台灣隊伍曾在 DEF CON 的 CTF 賽事上闖入三甲,同時人材輩出及年輕,「亞洲地區以中國、台灣、南韓、北韓等地方的實力最強,台灣因為政治因素經常受到網絡攻擊,所以在網絡安全技術上發展很快,台灣舉辦的 HIT CON 網絡安全大會亦是業內的盛事。」

CTF 賽事發展多年,比賽形式愈見精密,但 Frankie 指出由於今是香港奪旗賽協會首次舉辦,旨在讓參賽者吸收經驗,所以採取了較簡單的方法,以 Jeopardy 形式舉行,以參賽者破解題目所得的總分數定勝負,不用參賽者花心思攻擊其他隊伍或決定搶答題目的策略。題目方面分為 Trivia、Recon、Web、Reversing、Exploitation、Crypto 及 Miscellaneous 等。「協會希望通過 CTF 賽事提升業內的技術,期望三至五年內可以有香港隊殺入 HIT CON 的 CTF 決賽。」長遠而言,自然是為業界培育更多專材,應付日益壯大的人手需求。

有關 Hong Kong CTF Open 2019

組別:公開組、學生組(每隊 2 至 4 人)

參賽條件:學生組只限香港全日制本科生參加,各組別晉身決賽的隊伍必須親臨 10 月 19 日比賽場地

賽事進程

半準決賽

日期:5-6 / 10 /2019

時限:30 小時

參賽隊伍:學生組(25隊)、公開組(35隊)

形式:網上解答

決賽

日期:19 / 10 /2019 (10 am 至 4pm)

時限:6 小時

參賽隊伍:學生組(8隊)、公開組(8隊)

形式:現場解答(Deloitte 35/F, One Pacific Place, 88 Queensway, HK)

網址:www.hkctf.org

Privacy Preference Center