Category: HITBSecConf06

I have uploaded photos of HITBSecConf06. It can be view here.

HITBSecConf06 reports published on Nan Yang Newspaper, the title is “When Hacker meet Hacker”, to read full article get translator 😀 Mainly talk about CTF.

CTF crew from left: slave – takizo, -, King – spoonfork, Daemon King – xwings, Master – rd, Sniffer – lee chin seng. We donated the money to Makna for charity.

当骇客遇上骇客

一群平时被蒙上神秘面纱的顶尖骇客齐齐亮相，公开在吉隆坡进行一场竞技赛，只为了抓住一面标榜骇客界最高荣耀的旗帜。到底谁才是真正的骇客之王？

这是一场别开生面的竞技比赛，拼命抢攻的一方是骇客，死命防守的另一方也是骇客。

赛场内鸦雀无声，各方参赛人马一言不发，聚精会神盯着电脑屏幕，每个人手指迅速地在键盘上舞动着；赛场外人声沸扬，围观的群众捺不好奇心，无不想亲睹这些神秘骇客们卢山真面目。

这一天， 骇客全出来了

赛场的地点不是某某情报机构，或是某某军事基地，而是吉隆坡黄金三角地带某间知名酒店。时间是上周三，配合2006年第五届“骇客安全大会”（Hack In The Box Security Conference），一连两天在讲座会场外，同步举行一场骇客攻防技术的较量赛。

这项取名为“抓住旗帜””（Capture the Flag）的骇客攻防大赛，早在2002年第一届HITB安全大会的时候，就已经存在，今年已经是第五次举办类似的赛事。

十队顶尖高手比武

本届“抓住旗帜”骇客大赛一共获得十队来自国内外的骇客好手的参与，每队队员3人，其中有3支队伍更是从国外专程前来挑战，他们分别是意大利、韩国和新加坡，其余的皆是大马队伍。

这项骇客大赛的主要目的，是让人们了解骇客在现实的生活中，是如何通过互联网进行攻击和防守网络的行动，参加者只要拥有相关的电脑技能，如电脑保安、网络维护及系统管理，就有资格参加参赛。

每队参赛的队伍，都获得主办当局分配一台伺服器，以便他们进行防卫；在防守的同事，也要攻击敌对队伍的伺服器。

参赛者必须如何攻击地方伺服器的种种窍门有所认识，并尽可能在敌方的伺服器内，埋藏越多旗帜越好。参赛队伍决出胜负的方式，就是以旗帜的数量而计算的。

经过两天赛事胜出的三甲队伍，将各别获得3千令吉、2千令吉和1千令吉的现金奖。

不限使用任何工具

大会总协调美林慕汀对《资讯网》说，要胜出这场比赛，参赛的队伍必须在敌方的伺服器安置最多的“旗帜”，主办单位也不限定参赛者所使用的骇客工具。

他说，本届参赛的队伍普遍上使用的骇客工具有网络扫描、弱点扫描、“Exploit Flamework”和“debugger”，所使用的防守工具则有防火墙、反向代理伺服器（Reverse Proxy）、侵入侦察系统（IDS）等。

他说，这次赛事使用的平台跟往年一样，全是开发源码操作系统。

他表示，这只是竞赛规则的要求，加上骇客工具适用于任何操作系统，并不会对比赛的过程和结果产生任何的分别。

三甲得奖者害怕露脸

对于骇客，社会上总有太多的误解，包括他们如何神乎其技，轻易闯进和破坏一个又一个网站，促使骇客一直被视为恶名昭彰的代名词。

事实上，骇客大赛的参赛者，许多人真实身份不是学生，就是公司的系统安全人员、网络保安人员等专业人士。虽然他们大多具备了骇客的技能，不过，未必是你我想象中的那么不堪、那么邪恶。

或许正是碍于社会的压力，许多“抓住旗帜”骇客大赛的参赛者，都不让真名曝光，也对其骇客这个身份保持低调。

而成功进入三甲名次的得奖骇客更担心自己样子对外曝光后，会招惹不必要的麻烦，因此纷纷要求本报记者绝对保密其本身和队员的照片。

韩国骇客团技高夺冠

经过两天激烈的赛事，三支来自海外的骇客挑战团技高一筹，击败国产骇客夺走了三甲名次。

来自韩国的“Dokdo-Kor”以高人一等的骇客技术荣获本届赛会冠军。意大利队“zone-h”夺得亚军，以及新加坡“Qb1T”队则位居第三名。

在颁奖的那一刻，众得奖者纷纷表态捐出所赢取的奖金于国家癌症中心，显示此行来马纯粹为名，而非求利，充份表现出骇客本色。

与本地骇客进行切磋

不愿披露姓名的冠军队“Dokdo-Kor”队长在赛后匆忙中受访时表示，队员都是一群刚完成学业的大专生，而且也曾经参与韩国本土举行的Padocon骇客组织举行的骇客大会。

他坦言，该队成员在韩国属于高等级骇客，此次目的是前来我国与本地骇客进行切磋，得到冠军对他们而言只是一项额外的惊喜。

“Dokdo-Kor”队另一名成员史提夫和坚持只用化名K3R7上阵的队友异口同声的说，这是他们第一次来马，希望能够从中学习，和结交更多的同道中人。

史提夫表示，他们的策略是专注在防卫的部份，然后在防守中寻求反击，他们希望这个战略可以奏效，在这为期两天的赛事中旗开得胜。

互联网没有百分安全

第一次前来参赛的意大利队“zone-h”，其领队罗伯托也是这次大会的主讲人之一。他表示此次带领三人队伍前来参赛，志在参与，不在胜负。

他也认为现今的互联网世界，没有所谓的100％安全，甚至可以说是没有任何东西是安全的。

“这是因为系统越来越复杂，但是也越来越容易破解。”他说，在这场骇客与系统安全的竞赛中，骇客永远是胜利的一方。

骇客群中一点红

现年26岁的李瑞婉是“抓住旗帜”骇客大赛中罕见女性参赛者，自然成为了全场注目焦点之一。

比起其他闪躲的男骇客，她更乐意接受本报记者的采访。她表示，本身持有资讯工艺学位，第一份工作就是在一家网络保安公司任职。

连续第二年参赛的她坦言，身边从事这份行业或热爱骇客活动的女性朋友少之又少，而且对于男性占大多数的骇客世界，不会因为本身是女生而有着不一样的看法。

由于工作性质原因，经常需要利用“骇客手段”进行网络安全或产品的测试活动，个中带来的挑战让李瑞婉爱上了这份工作。她说，这也成为她的最大兴趣，同时骇客也代表着自由自在，能把这个兴趣当成一份正职让她对工作充满激情和满足感。

新加坡骇客专程取经

首次前来我国参加HITB安全大会的萧其伟和廖明吉，是任职于新加坡一家学术机构。此次，他们利用个人名义与另两队来自新加坡代表前来参与这项盛会。

廖明吉指出，在新加坡也有一个由许多骇客组成的非盈利机构，不过当地并没有我国来得开放，欲进行类似的大会并不容易。因此，他们借此机前来我国与其他骇客进行交流以及接受各种挑战。

许多人认为骇客常在夜间上网活动，萧其伟表示，由于学术机构内拥有本身的实验室，可以进行闭门式网络安全测试，可借此互相学习与研究，而非上网进行各种不法活动。

网络小辞典：黑白帽骇客有别

其实骇客和黑客都一样，都是称呼那些试图破解或破坏某种程序、系统及网络安全的人，在港、台一般称为“骇客”，在中国则叫“黑客”。

“黑客”的英文应是“Hacker”，原意是“开辟、开创”的意思，也即是说，“黑客”应该是开辟道路的人。由于“黑客”一词取自英文“Hack”（砍），它的普遍含义是电脑系统的非法入侵者。而现时一般所说的“骇客”是指“Cracker”，意思是“解密、破译”的意思。

由于现在这两个词语已经被普遍混用为“骇客”，所以再强调“黑客和骇客”的分别，也已经没有任何实际的意义了。

在网络世界中，骇客也有所谓的好坏之分。那些恶意破坏网络，并从中获得利益的人，通常被称为“黑帽骇客”，而试图破解某系统或网络，以便提醒该系统拥有者关于其网络安全漏洞的人，则称之为“白帽骇客”，这些人大多是电脑安全公司的雇员，在安全合法的情况下攻击某系统。

Hack In The Box Conference Day 1

• I stay in Westin, when I woke up only realized I don’t bring jean. Went back and changed, stucked in jam.
• Sheep In The Box was not able to work on the first day, a little bit dissappointed and thanks to Suresh for helping me on connection routing. In the end it’s not working well and I decided to bring my own Wireless AP tomorrow.
• This year really suck because am not able to enjoy any speaker’s talk on the first day cause it’s due to the sheep is sleeping and not willing to wake up.

That’s it man, so freaking tired and come early tomorrow to feed the sheep.

HITBSecConf06 Conference Session is going to kick off tomorrrow, if you haven’t buy your ticket, visit us and grab your conference ticket during the day. Training tracks on day 1 and day 2 are doing well, excellent! All the speakers have arrived here and here are some snapshot during day 1 and day 2. Don’t miss the coolest security conference on earth, see you all tomorrow.

Jim and RD on left, xwings doing some hack?

itu dia spoonfork

On left, spoonfork & geek00L. On right, RD & xwings

War Driving Training

When you see this bus, mean you have to turn off your wireless device. War Driving means wireless hacking!

Load the machine, setting the target route and go!

HITBSecConf06 Training Tracks in Westin

CTF Setup

The last picture says, you are rooted! Drop by Westin Hotel, Kuala Lumpur tomorrow meet l33t hackers around the world.

Look at the picture, the starfux people should hate us a lot. Switch, power cable… We just turned their coffee house into our work place…