HoneyMe — HoneyCon 2017 後記
HoneyMe 總是舉辦在一年當中研討會最多的時候,每年的籌備總是穿插在各種雜事當中。今年不只是沒有時間準備而以,也因為中心本身的的成果展也需要題目,所以沒有辦法再擠出腦汁來了,舉辦活動的本身真是名副其實的血肉果菜機。還好有了歷年的活動經驗,在 HoneyCon 的活動當中不需要考量經費、行政、成果報告有沒有符合長官期望,只要好玩就好了。我們今年就把好玩當成最高的指導原則,定位在參加研討會之餘的娛興節目,從來也沒有想過要把它當成一個主要的活動來經營。不過人生總是充滿了許多的意外,也或許是幾年下來的累積或宣傳得當?我也不知道,就是意外。
先由題目說起吧,以 CTF Time 網站的分類看來,CTF 分做解題型、攻擊與防守型,以及我們最常玩的KotH型。以往年我們舉辦的活動看來也不脫這三類,但是呀但是。我們就是有那麼一點點的不同,因為沒空,所以找現𢦓的弱點,就像是寫考古題一樣,也是會有些變化的唷。因為已經沒有腦汁的關係想要依去年的方式把有弱點的設備拿來用,放個 flag 打進去就帶回家,但是設備很少,每一台都要花時間去做,花時間去把該做的環境,應要執行的SOP 都按步就班的做完了,然後你可以拿到 flag,不知道在比什麼。是在比熟悉度嗎?還是在比耐心呀?

因為題數的不足,雄哥把主意打到放在桌上閒置很久的透明鎖身上,不如就來解鎖吧,有些鎖看起來超級難的呀。看起來就是只有簡單的才會被開?後來的結果印證了我的想像力缺乏,以及手指不夠靈活。幾乎所有的鎖都被開了,現場嚴然變成了一場開鎖大賽了,坐滿了人。原來人氣這麼好匯集?
既是無腦再出更多方向一樣的題目,也沒有人有心有力來比賽,那還是娛樂吧。CTF 的題目常常要通𩆜才能解,以我們自己團隊的人在出題也是免不了的有猜的部分。太多的創意和資訊的不對等,本身就是一個Gate,許多不常玩的人常常一卡時間就過了,而比賽多隨研討會開始結束,若不是長年爭戰各處,對此有研究有心得的人,怕是無法有系統及效率的解題。出題者也為了太多的創意和資訊該如何正確的用念力傳到頻率對上的參賽者身上而想破頭。
今年雖然是意外,不過不出我們設下的原則。好玩最重要,定位在研討會之餘的娛興節目,在有趣的主題演講時就離開去專心的聽。有經驗的人不一定能拿大獎,年年改變題型今年完全不適合競賽,只適合來玩。
目的
搭配資安研討會的性質,提供些許讓人動手的與資安有關的小遊戲,讓參與者知道其實安全沒有離你很遠,很可能你平常在用的東西跟本就不安全,讓會議上的技術、產品,這些個離人很遠而沒有溫度的東西,在玩樂之下因為有人的互動而增加溫度。並在這中間把我們想要傳達的概念讓與會者都可以接收到。而這個要傳達的概念就是,不安全的東西就在你身邊,其實你不知道你家的門鎖一分鐘就可以開了,多花幾分鐘挑選,你可以比你的鄰居更安全,疑?好像那裡怪怪的?

題目及獎項
大地遊戲:獎項就是題目 1 Bay NAS一台、ASUS AP x 2、D-link IP CAM、Android 手機一台、透明鎖一組。好了,這些都是有弱點的題目,那當成獎項究竟是要怎麼使用呢?不如就當成玩具吧。試想把獎項改成,會讓您春光外洩的網路攝影機一台、讓您的情書與照片被人抓光光的NAS、想認識你的駭客鄰居嗎?請用這台可進入的無線分享器。或許更為貼切唷?那麼又該要如何運用這些獎品呢?拿來送給心誼已久的男男女女可能是個不錯的選擇。主機題目: by pass 兩台人工智慧的防毒軟體。

遊戲規則很簡單,就是拿到 flag 後上傳到計分版上,若同分時以最早上傳的人排序較前,時間以秒為最小單位,過往未曾發生過同分的情況,但今年有人同分了,若在競爭更為激烈下應會有更多的同分。怎麼區分是誰呢?很多賽事都要註冊和登入,而我礙於技術能力不好,都沒有在做登入的,自從有kktix 之後,很開心的大家都有一組有價的 QR-CODE,也不可能分享給別人的一張票。就用那張票來代表自己是最適合不過了,也可以用於確認是有報名某些個活動的人,用以限制廠商或講師等人的參賽權利。
網路
這一切都要感謝天,以 tunnel 的方式回連到 CDX 當中,使用那兩台沒有人要打的機器。只要連上現場主辦單位提供的 Wifi 就可以直接進入到 CDX 裡,也可以看得到計分版。全都有賴 IPS 廠商的給力支援,和優質的同事。另外一提一個可以省下許多功夫的重點是場地的壁孔完全可以自由的使用,自由的使用就是進到會場的網路機房,然後把我們要用的壁孔網路線插到我們自帶的交換器上,這少掉了非常多的佈線時間。
賽況
一開賽,第一科大的虫人就打算拿主機,然後高中生尤先生、洪先生、陳先生一來就在開鎖,資安界常見的朋友,LW大大、BlueT、三泰先生、Walter、旁邊很愛資安的TWCert工作人員。沒幾分鐘人潮就把我們小小的攤位團團圍住了,連隔避的廠商都來玩,可惜沒有報名序號不能參賽。以上計有 TDOH、UCCU、ISDA,以及已故 Zuso 社群等。

結果
結果呢?如果解完了所有的透明鎖,就可以第一囉。可以完全不碰電腦就贏得資安競賽唷。



