台学生程式底子 具世界级潜力

（图／取自网路)

当你参加一个资安竞赛，看到第一个关卡的题目，只有给你几组数字「R1C1、R2C2、R3C11和R3C4」，提示F1，就要你猜出电脑的开机密码时，你第一个反应是如何？这是资安公司芬安全（F-Secure）首度在臺湾举办第一届资安竞赛时，给比赛考生的第一道难题。资安界传奇人物病毒猎人芬安全首席研究长米戈˙希伯能（Mikko Hyppönen），也为了担任此次资安竞赛总评审再度来臺。

米戈˙希伯能曾经关闭在2003年引发全世界病毒恐慌的Sobig_f worm病毒；也是2004年第一位向全球提出「杀手病毒」警告的专家；担任国际刑警资安顾问，长年协助美国、欧洲、亚洲法务部门处理数位犯罪；经常受邀TED演讲资安相关议题，并在2011年与美国总统欧巴马并列为全球百大教育思想家。他更因为美国国安局要求RSA公司在软体中放后门一事，宣布取消2014年RSA大会的演讲，并发起抵制参与RSA公司举办的RSA资安大会，引起网路上广泛的共鸣。

米戈˙希伯能全程参与整个竞赛过程指出，臺湾参赛学生的资安技术能力比他看到其他亚洲国家学生好，尤其普遍都熟悉组合语言并懂得逆向工程的攻击手法。他认为臺湾学生有机会在资安技能上深度钻研，找到有兴趣的领域，成为世界级的资安专家。芬安全大中华区总代理翔伟资安营运长杜世鹏表示，该公司也希望透过协助举办这样的资安竞赛，能找到适合的对象投入资安产业。

此次，总计有10组学生队伍参加总决赛，参赛学生曾有参加金盾奖和代表臺湾骇客年会HITCON到美国参加DefCon竞赛的成员；参赛学校包括南部的成功大学、虎尾科技大学，北部的臺湾大学、交通大学、辅仁大学、实践大学以及协办的臺北医学大学学生组队参加，由中央大学Admin'--获得第一名，交通大学DSNSLab获得第二名，第三名则是辅仁大学的NISRA-YUN。

臺湾学生擅长组合语言，有机会专研成世界级高手

负责协助此次资安竞赛出题的芬安全亚洲实验室恶意程式分析师Mangesh Fasale表示，多数参赛学生都可以闯过第二关、第三关，显见这些学生都有写组合语言的能力，才能顺利过关斩将。他说，相较于在马来西亚的比赛，多数学生队伍因为缺乏基础组合语言能力，很难持续答题。

已经在马来西亚举办4届资安竞赛，芬安全亚洲安全实验室技术顾问吴树谦补充表示，马来西亚大学资讯相关科系多只教导学生高阶的Java或Python等高阶应用语言，反倒是臺湾资讯相关课程，还是会要求学生学习基本的C语言、组合语言等，「可以累积基础实力，面对复杂难题时，才有能力化繁为简，解决问题。」吴树谦说。

从比赛第一关的题目来看，有许多的学生一开始就把这个题目想的很复杂，不是当成Excel的栏、列，就是想成是SQL Server的内容，只有冠军队伍中央大学Admin的杨安杰曾经一瞬间想过，这些栏列资讯会不会与键盘相关，但因为太简单，这样的念头立马就被打消了。

事实上，这个题目的解答其实很简单，只要考生看着所使用笔记型电脑的键盘，输入直栏、横列交集的键盘按键，就可以得到开机密码。也因为有许多学生想的太复杂，耽误至少二、三十分钟，导致后面的题目来不及解题。

吴树谦表示，这也反应，其实很多资安攻击的方式，往往是用你想不到最简单的方法，就可以入侵成功。他说，芬安全在其他资安比赛也曾出现类似的考题，当时参赛学生的反应和臺湾参赛学生雷同，都把问题想的太复杂，根本忽略最简单的解答方式，其实就在眼前。

他指出，芬安全亚洲实验室这次出题，前后修改过几次，并且都请实习生测验多次后才纳入题库中。虽然整体题目偏难，但该公司希望透过这样「Out of Box」的出题模式，可以扩展参赛学生不同的国际视野，并打破以往侷限在框框的思维模式。

只有技术能力还不够，广泛涉猎资安议题也是实力的累积

这次比赛分成技术竞技以及资安问答两大类，相较于其他技术竞赛，吴树谦表示，除了希望从学生团队的技术能力比出高低，也希望督促学生能更广泛的涉猎相关的资安议题，毕竟，资安范畴无远佛届，许多资安事件发生是息息相关，攻击手法也都彼此参照，有一定的资安事件和范畴的涉猎，也是一种资安实力的累积。

问答有两轮，第一轮总共有15题，前10题是选择题，后5题是填空题，吴树谦说，这样题型的设计，也和臺湾不是以英文为母语国家有关，降低语言对参赛学生的门槛。第一轮的选择题中，从攻击核电厂的恶意程式是哪一个，到什么样的行为是后门程式（Backdoor），甚至是判断哪些工具「不是」攻击套件等；在填空题的部份，首先考倒许多参赛考生的就是脸书的即时通讯（IM）使用哪一个通讯埠？有不少队伍直接以问号和空白显示答案。当然也有送分题，那就是先前iThome委由芬安全亚洲资安实验室检测的中国手机是哪一款型号？

第二轮的问答是即时抽籤问答，有参赛团队因为看不懂题目中的Ransomware（勒索软体）指的是什么，无法回答正确答案而错失夺冠的机会。参赛学生事后也指出，目前学校使用的教科书中，都是二、三年前的课本，老师连上课讲义PPT都已经做好，像是曾经在2013年造成轩然大波的勒索软体CryptoLocker，都不在老师上课的范围内。

获得第二名交通大学DSNSLab的陈仲宽认为，即席问答的比赛方式很少见，但也很刺激。他们抽到的就是在今年4月发生的OpenSSL的Heartbleed（心脏淌血）漏洞的问题，包括这个漏洞影响到哪些平臺？骇客如何攻击？可以利用这个漏洞取得哪些资讯等。因为陈仲宽回答的很完整，总评审的米戈˙希伯能甚至在满分10分外，多加1分。也因着这一分之差，顺利打败第三名辅仁大学的NISAR-YUN。

此次担任协办单位的臺北医学大学医学资讯研究所所长刘建财表示，政府部门打造越来越多医疗相关的云端服务，对该校而言，除了理解医院的系统架构和运作外，因为医院运作时，涉及许多病人的隐私和敏感性资料，资讯安全也成为越来越重要的环节。此次藉由协办竞赛的方式，鼓励学生组队参赛、增广视野，虽然只有一队进入总决赛，但「这总是一个好的开始。」他说。

【101创业大小事／整理报导】

免责声明：

部分图片、观点，来源于网际网路及其他网路平台，主要目的在于分享讯息，让更多人获得需要的资讯，其版权归原作者所有。如涉及侵权请告知，我们会在24小时内删除相关内容。