今年是Global Cybersecurity Camp第一屆,由韓國、日本、台灣和新加玻各資安培訓單位共同組織,目的為促成交流並建立跨國資安社群。營隊為期一週,各國需負責規劃其中一天的課程內容,之後每年也會由各國輪流主辦。這次參與單位包括:
- South Korea: Korea Information Technology Research Institute (KITRI) — Best of the Best (BoB) Programme (https://www.kitribob.kr/)
- Japan: Security Camp (https://www.security-camp.or.jp/)
- Taiwan: Advanced Information Security Summer School (AIS3) (https://ais3.org/)
- Singapore: Division Zero (Div0) (https://www.div0.sg/)
參與學員大多為二十歲左右的大學生,但也不乏表現出色的高中生!參與方式各國機制不同,台灣今年為邀請制,依照ais3 final ctf成績並綜合考量後決定,而全部經費由教育部資安培育計畫補助。
整體上規劃地極為用心!所有交通、食宿、保險等都由台灣和主辦方安排妥當了,而議程大致如下:
課程規劃上,由於學員程度不一,曾學習過的模塊也不同,因此課程大多都由淺入深,在下面也簡單摘要。
Day 2
Offensive Security (Hacking) Big Picture (by Kyounggon Kim)
課程難度:★★☆☆☆
介紹Crypto(encryption、hash)、Network(wireshark、track ip)、Web Hacking(Burp Suite、SQL injection),雖然課程內容本身有難度,但因大部分僅概要性帶過且練習也多是重現投影片所附程式和熟悉工具,因此操作基本上沒什麼問題。
Day 3
Binary Exploitation (by Angelboy) 6 hr
課程難度:★★★☆☆ — ★★★★★..??(超出能力無法估計><
從基本知識、Buffer Overflow、Protection等到Return-oriented programming。若有修三校資安課,大概是pwn兩堂課內容濃縮,講解一段有相應練習題,對於已會課程內容和速度快者,也有許多其他題目可練習。
Hacking Java Web (by Orange) 1hr
為講座性質,從Web security開始介紹再聚焦在Java Web Hacking,最後是實際的case study和demo。
Day 4 Applied Cybersecurity (by Emil)
課程難度:★★☆☆☆
與第一天課程性質相似,為概要性的介紹,包括總覽Cybersecurity Industry的服務和方法、工具熟習(P0f、Snort、Shockpot、Cowie)、舉例ML如何應用在cybersecurity。
Day 5 The Hunt for Attackers with Incident Response (by Hiroshi Suzuki & Hisao Nashiwa)
課程難度:★☆☆☆☆ — ★★★★★..??(超出能力無法估計><
虛構情境下分組解題,目標是藉由解答大大小小題目串成完整攻擊故事,主題涵蓋incident response, digital forensics and malware analysis。對於想學forensic者,是難得學習機會。由於簽署了保密契約,詳細使用工具等資訊就無法分享了。
由於時間限制,課程偏向瀏覽性帶過某個主題,對於初學者是塊入門磚,而對於已接觸許久者,則是有機會看看除了平常熟悉以外的領域。所以想較系統性學,還是仰賴平常修課(三校的課或Bamboofox等,請左轉大神們)和解題的累積。此外因營隊目的主要為促成交流和建立社群,因此還有設計簡單的小組和個人報告讓大家能討論和認識彼此。用餐時間和最後一天的郊遊也是很好的交流機會,晚上也可自主開派對玩遊戲聊天。
因此整體而言,覺得是個很難得也難忘的學習經驗,即使大家又回到各自的現實xD,但相信建立起了的社群未來將會持續鼓勵和推動大家成長 :D
最後附上照片集: