【專訪 HITCON 】領隊李倫銓:日韓的駭客人才培育方式值得學習!

駭客年會其實就是一個「社群」,現在裡面的人都是自願性參與,大家都有自己的正職工作,對於駭客、對於資訊安全他們都有比別人更多的熱誠,也願意付出。

2015/02/24 出處:財訊趨勢特刊 第 0 期 作者:Techorange科技報橘

上週,我們跟大家分享過一則令人振奮的好消息:日本最大駭客比賽,台灣隊伍「HITCON」拿下第二!

這對於台灣資安圈來說,是非常興奮的消息,同時對於參賽台灣駭客年會來說也是一個相當大的肯定。從之前我們訪問過國際刑警資安顧問,還有分享過許多文章,如《美議員揭露:全球 16 家知名車廠,只有兩家有能力面對駭客攻擊》、《捍衛網路安全,美國資安專家呼籲我們需要再一個曼哈頓計劃》等,皆一再告訴我們「資安」的重要性。

不管是從個人保護,還是到國家級的國防資安安全;如何在現今這股資訊浪潮中妥善保護自己,已經成了極為重要的議題。也因此,各國都在積極培養自己的資安人才,其中日、韓的發展不可小覷。台灣要怎麼在這一股人才培育競賽中保有一席之地,十分重要。

為此,我們特別訪問了台灣駭客年會副總召,同時也是戴夫寇爾創辦人的翁浩正,以及這次 HITCON 參賽隊伍的領隊李倫銓。

以下是幾點訪談重點:

  • 駭客年會 HITCON 為什麼會參加這次的比賽?

翁浩正:

台灣駭客年會 HITCON 一直以來都是希望能夠凝聚國內的資安實力,並且多與國際資安專家、駭客們交流。HITCON 這幾年陸續積極參與國際 CTF 賽事,希望台灣的資安實力能夠在國際間嶄露頭角,終於在 2014 年 DEFCON 22 CTF 競賽中獲得第二名的佳績。

但獲獎只是一時,我們希望能夠長期的培育資安人才,就好比電競選手一樣,可以藉由資安的 CTF 競賽來培育選手,並且讓學生可以持續往這條路成長。

今年 (2015) 年 HITCON 團隊同樣也計畫參與國際各大賽事,在這次日本最大的 SECCON 的比賽中也很幸運的獲得第二名,這代表台灣的實力確實能夠站上國際舞台。另一方面,我們也希望能夠將重點放在傳承,如何讓台灣能夠有第二隊、第三隊站上國際舞台的 CTF 隊伍,是團隊的下個課題。因此後續 HITCON 團隊也努力設立培訓的制度,讓更多的有心人士可以參與。

  • 這次的 HITCON 所參與的日本 SECCON 是怎樣的比賽?

李倫銓:

SECCON 不僅是駭客比賽,同時也有資安人才發展研討會,日本也由官員發表 keynote 強調年輕人才培育的重要,另外也介紹女性 CTF 訓練課程、學生 CTF 入門、規則說明、讓更多年輕人能有興趣。

此外,駭客比賽是高級電腦技術人才發揮的舞台,日本各大企業支持 SECCON 競賽也有育才與獵才的目的。

這次 SECCON 預賽 12 隊,台灣 HITCON 戰隊就是通過預賽參加的。另外加上日本大大小小駭客競賽冠軍隊伍 12 隊(因此日本國內有保障 12 隊名額),共 24 隊到日本東京電機大學參加決賽。

而這些大大小小的日本駭客競賽,包括資安夏令營、ARP 網路競賽、DNS 攻防競賽等等,年齡層與技術領域均不同;日本透過幾週的 workshop 或 camp 就可以辦出一個競賽或者活動,這樣的形式能讓日本年輕隊伍與國際知名駭客隊伍競技,這對技術成長非常有幫助,也是台灣值得學習的執行方式。

此外談到這次 SECCON 的比賽模式:

SECCON 決賽是 king of the hill 賽制(有點類似搶攤頭堡),主辦單位總共給了六台主機,上面有特別設計的漏洞和題目,首先參賽隊伍要搶先入侵主機,之後更要想辦法做好防護或完成特定條件,讓其他隊伍進不來才能持續得分。

題目雖然與 DEFCON 賽制不同,但也設計的非常有趣,例如有一題,每隊要設計一支加解密的程式,依照程式碼越短的會排的順位越高,而美國 PPP 的程式碼僅有 38bytes,就排名第一,可以持續獲得分數,而其他隊伍為了要把它擠下來,除了寫出更短的程式碼,就只能破解該加解密程式,把第一順位的隊伍踢掉。

這就變成很有挑戰,你程式必須寫的很短,但卻不能被破解。 類似的題目都是考驗這些電腦天才的臨場反應,而台灣隊伍從這次比賽過程中的觀察,頭腦靈活度不輸其他國家,這也是這次能得名的關鍵

  • 透過這次與其他國好手競賽,我們和其他國家的資安人才培育有何差別? 

翁浩正:

他國的資安人才多半是很有系統的培訓,台灣這邊目前腳步尚緩,還有待追上他國。而目前其他國家的企業、政府都對於這樣的活動是大力贊助的,台灣這邊目前比較少。

李倫銓:

亞洲地區各國,韓國是以國家與企業的規格來支持資安技術人才的培育,連日本都沒有像韓國這麼積極,但是日本也意識到年輕人才的重要性,同時也希望縮短與各國資安落差,並且與企業合作。

台灣資安人才不差,能凝聚力量的話可以表現的很好,但是就像台灣企業留才的問題一樣,總不能一直靠熱誠理想來凝聚力量,最終還是得面臨現實。

  • 台灣的資安未來,需要更多人參與

談到這邊,其實可以看到就跟台灣其他問題一樣,在很多的「人才培育」議題上,我們的國家、企業都缺席;或者是說不願意有更多實質的投入。

對此,李倫銓告訴我,以他們現階段能做、希望做的,就是之後 HITCON 將與其他台灣社群合作,舉辦 HITCON Junior,期望讓更多年輕學生或社群發揮。當然或許還會有其他的形式,不過都是希望可以讓大眾更加了解這一方面的資訊。

駭客年會其實就是一個「社群」,現在裡面的人都是自願性參與,大家都有自己的正職工作,對於駭客、對於資訊安全他們都有比別人更多的熱誠,也願意付出。

李倫銓在與我聊天時曾說,這次在日本的比賽中,雖然這本就是沒有限制年齡的比賽,可是看到日本有那麼多十幾歲的年輕人參賽,他就愈發覺得台灣需要更加加油;他覺得在這次的比賽中,可以看到日本他們對於資安人才培養的在乎,在這樣一場國際級的比賽中,日本讓他們的資安人才有機會從小就可以接觸到這樣高規格的比賽,遇到一群高規格的對手,加速、促進他們的成長。

所以,李倫銓說就算這些人現在還都不能上台領獎又怎樣呢?他們會一直回來這個舞台,然後在現在這些得獎隊伍的年紀時,有更了不起的成就。所以這是可怕的地方,也是台灣需要警醒、加油的地方;也是為什麼他們(駭客年會)更加努力,希望能夠持續下去深耕台灣駭客社群。

但是現在我們看到的這群人只是一群自願、志願者,在沒有外界的幫助,政府、企業的關注下,他們單打獨鬥,也是會累會疲倦。要這樣一群人支撐台灣資安的未來,未免有些賴皮的過分,因此儘管老生常談,我還是得說「台灣的人才很棒,我們擁有一群很棒的人在耕耘、在幫忙,但我們還是需要整個社會、政府更多的關心與培養」,只有國家的力量投入,才有辦法在中、日、韓這些國家機器投資源培養人才的競賽中占有一席之地。

關注創新教育的臺大電機系副教授葉丙成曾說過「我們是一個不花錢栽培人才的社會!」他更說過希望企業捫心自問,不花錢,哪來的人才?而這就是台灣要創新最大的問題所在,也是我們需要一再提醒、呼籲的。

可參考 SECCON 此次比賽相關影片:

Add to Flipboard Magazine.
踢爆無良老闆搬錢內幕
財訊雙週刊第517期
出賣強勢股名單
財訊趨勢特刊第63期
熱門文章
中國肥咖條款來了 台商台幹剉咧等

中國肥咖條款來了 台商台幹剉咧等
境內金融機構資料全面清查 「非居民」全不放過

北京公布中國版的「肥咖條款」,從明年起,境內各金融機構須向稅務總局申報非居民客戶金融資料,濃濃的查稅烏雲已籠罩在台商頭上。

more


TOP