สรุปการจัดการแข่งขัน I-SECURE CTF 2016

หลายท่านคงเคยเห็นข่าวต่างๆนาๆเกี่ยวกับการโจมตีทางด้าน Cyber หรือที่เรียกว่า Cyber Security มาในทุกๆเช้า ไม่ว่าจะเป็นข่าวการโจมตีไปยังธนาคารต่างๆ หน่วยงานรัฐต่างๆ โดยบุคคลที่สร้างความเสียหายเหล่านั้นถูกสื่อต่างๆขนานนามว่า “Hacker” นั่นเอง และหลายๆท่านอาจไม่ทราบว่าจริงๆแล้วยังมีกลุ่มคนอีกกลุ่มหนึ่งที่มีความสามารถและทักษะไม่ต่างกับ Hacker แต่เปลี่ยนจากการโจมตีและสร้างความเสียหาย เป็นการช่วยเหลือองค์กรต่างๆให้ปลอดภัยจาก Hacker มากขึ้น กลุ่มคนเหล่านั้นคือ “Security Professional” นั่นเอง

I-SECURE CTF 2016

ทางบริษัท I-SECURE จำกัด เล็งเห็นถึงความสามารถของเด็กไทยที่มีทักษะและความสามารถต่างๆในเรื่องของ Cyber Security จึงได้คิดจัดงาน I-SECURE CTF 2016 ขึ้น เพื่อให้เหล่านักเรียนและนักศึกษาแสดงความรู้ความสามารถเชิงทักษะเกี่ยวกับ Cyber Security ได้อย่างเต็มที่ จึงได้จัดการแข่งขันเป็น 2 รอบคือ

1. รอบคัดเลือก แบบ Online ตั้งแต่เวลา 09:00 น. ของวันที่ 30 กค. 2559 - 01:00 น. ของวันที่ 31 กค. 2559 คัดเหลือ 6 ทีมสุดท้ายเข้าแข่งรอบชิงชนะเลิศ โดยแต่ละทีมมีจำนวนสมาชิกไม่เกิน 3 คนโดยรอบแรกจะมีหัวข้อการแข่งขันดังนี้
   • Web
   • Reverse Engineering
   • Digital Forensic
   • Programming
   • Cryptography
   • Miscellaneous
2. รอบชิงชนะเลิศ แบบ Offline ตั้งแต่เวลา 09:00 น. - 13:00 น. ของวันที่ 17 สิงหาคม 2559 ณ E88@BTS พระโขนง

รอบคัดเลือก

รอบคัดเลือกทีมงานตั้งใจอยากจะทำโจทย์การแข่งขันที่หลากหลาย และเหมาะสำหรับการแข่งขันที่ผู้เข้าแข่งขันสามารถแสดงถึงศักยภาพความสามารถเฉพาะทางที่ถนัดได้อย่างเต็มที่ จึงเลือกที่จะจัดการแข่งขันเป็น Capture The Flag ในรูปแบบ Jeopardy ซึ่งเป็นรูปแบบการแข่งขัน Cyber Security ที่นิยมและแพร่หลายมากที่สุดในโลกการแข่งขัน Capture The Flag รูปแบบดังกล่าวจะเป็นการการแข่งขันที่ผู้เข้าแข่งขันจะเลือกโจทย์ในหมวดใดทำก็ได้ โดยคะแนนของโจทย์แต่ละข้อจะไม่เท่ากัน ขึ้นอยู่กับหลายๆปัจจัยทั้ง ความยากของโจทย์ และคะแนนที่ I-SECURE แตกต่างจากการจัดการแข่งขันอื่นๆคือ “ความใหม่” ของโจทย์นั่นเอง“ความใหม่” ของโจทย์ที่กล่าวถึง ถือเป็นสิ่งสำคัญสำหรับบริษัท I-SECURE เนื่องด้วยบริษัท I-SECURE มองว่า Cyber Security เป็นสิ่งที่มีการเปลี่ยนแปลงและใหม่อยู่เสมอ เช่น การโจมตีใหม่ๆ ลักษณะของการ bypass การป้องกันที่มีอยู่ เป็นต้น จึงไม่ใช่เพียงแค่ความรู้ความสามารถเท่านั้นที่จำเป็นต่อการแข่งขัน แต่ความกระหายที่จะเรียนรู้หรือข่าวสารทางด้าน Cyber Security ก็เป็นสิ่งสำคัญเช่นกัน ดังนั้นทางทีมงานจึงตั้งใจใส่โจทย์ที่เป็นการโจมตีใหม่ๆพร้อมกับให้คะแนนพิเศษเข้าไปด้วย เช่น Server-Side Template Injection, HTTPoxy เป็นต้น

การแข่งขันเป็นไปอย่างดุเดือดตั้งแต่เริ่มการแข่งขันและมีการเปลี่ยนแปลงอันดับตลอดการแข่งขัน ซึ่งหลังจากจบการแข่งขันรอบคัดเลือกมีทีมที่ผ่านเข้ารอบด้วยกัน 7 ทีมคือ

• อันดับ 1 asdfghjkl 430 คะแนน
• อันดับ 2 meatspin 380 คะแนน
• อันดับ 3 555plus 320 คะแนน
• อันดับ 4 ใส่รองเท้า 280 คะแนน
• อันดับ 5 Alpha 260 คะแนน
• อันดับ 6 ถอดรองเท้า 250 คะแนน
• อันดับ 7 system("halt"); 250 คะแนน

รอบชิงชนะเลิศ

รอบชิงชนะเลิศ ทีมงานตั้งใจให้โจทย์ออกมามีความลำดับซับซ้อนมากขึ้น การบริหารการจัดการคนในทีม และ”วัดด้วยการบริหารเวลา”ของทีมผู้เข้าแข่งขันเพิ่มเติม จึงตั้งใจจะทำโจทย์ให้มีจำนวนที่มากและมีการแข่งขันเปรียบเสมือนการเล่นเกมส์ทีละด่านนั่นเอง กล่าวคือแต่ละทีมจะได้รับ Mission 6 Mission ซึ่งในแต่ละ Mission จะมี 5 ด่าน ยิ่งด่านลึกมากเท่าไหร่ คะแนนก็จะยิ่งมากขึ้นเท่านั้น เปรียบเสมือนให้ผู้เข้าแข่งขันเล่นเกมส์ 6 เกมส์ให้เคลียร์ทั้งหมดภายใน 5 ชม. โดยมีสมาชิกเพียง 3 คนเท่านั้นนั่นเองโดยคะแนนแต่ละด่านในแต่ละ Mission คือ

• ด่านที่ 1 10 คะแนน
• ด่านที่ 2 20 คะแนน
• ด่านที่ 3 30 คะแนน
• ด่านที่ 4 40 คะแนน
• ด่านที่ 5 50 คะแนน

ชื่อโจทย์มีดังนี้

• The Realistic
• Deep into the jungle
• Bypassing
• On my way
• Hello User
• I Miss U

และสิ่งที่เป็นปัจจัยสำคัญที่ถูกเพิ่มเข้ามาในรอบชิงชนะเลิศคือ Firstblood point และ “คำใบ้ (Hint)” โดย Firstblood point จะเป็นคะแนนพิเศษเพิ่มเติมให้กับผู้เข้าแข่งขันทีมที่สามารถแก้ไขด่านใดๆได้ก่อนเป็นทีมแรก โดยคะแนนที่จะได้เพิ่มคือ 10% นั่นเอง และอีกส่วนที่มีความสำคัญต่อการแข่งขันเช่นกันคือ คำใบ้ โดยจะเป็นการให้ข้อมูลเพิ่มเติมเพื่อให้แก้ไขโจทย์ในด่านนั้นๆง่ายขึ้น แต่เมื่อมีการขอคำใบ้ หากผู้เข้าแข่งขันตอบได้จะถูกหักคะแนนเหลือเพียงครึ่งเดียวเท่านั้น ซึ่ง 2 สิ่งที่เพิ่มเข้ามานั้นคือสิ่งสำคัญในการตัดสินใจในการกระทำโจทย์ใดๆของผู้เข้าแข่งขัน เพราะอาจมีผลต่อการแข่งขันในช่วงสุดท้ายได้เลยทีเดียว

เนื่องจากทีมงานไม่อยากให้ผู้เข้าแข่งขันนั้นเครียดจนเกินไปจึงได้มีการนำขนมและน้ำดื่มมาบริการถึงภายในห้องการแข่งขันเลยทีเดียว อีกทั้งยังมีการพักกลางวัน ให้ผู้เข้าแข่งขันได้รับประทานอาหารอร่อยๆ เพื่อให้ผู้เข้าแข่งขันผ่อนคลายกับการแข่งขันอีกด้วย

หลังจากนั้นกลับมาแข่งขันต่อในช่วงบ่าย ซึ่งลำดับคะแนนของผู้เข้าแข่งขันมีการเปลี่ยนแปลงแทบจะทันทีที่เริ่มการแข่งขันรอบบ่ายเลยทีเดียว หลังจากนั้นมีการสลับตำแหน่งกันอีกหลายครั้งในลำดับ 2,3,4,5 และจนกระทั่งช่วง 30 นาทีสุดท้ายของการแข่งขันเป็นช่วงที่น่าตกใจมาก เมื่อทีมอันดับ 2 อย่าง asdfghjkl ได้แซงทีมอันดับ 1 อย่าง meatspin ขึ้นมาด้วยการตอบโจทย์ด่านลำดับที่ 4 และ 5 ได้อย่างต่อเนื่อง ทำให้สามารถแซงขึ้นนำเป็นอันดับ 1 ได้สำเร็จ ยิ่งใกล้หมดเวลาการแข่งขันยิ่งมีการลุ้นกันอย่างมากว่าจะมีการเปลี่ยนตำแหน่งอีกหรือไม่ แต่ทว่าหลังจากนั้นไม่มีการตอบโจทย์ใดๆเพิ่มเติม จึงทำให้หมดเวลาการแข่งขันผลลำดับคะแนนออกมาเป็นดังนี้

• อันดับ 1 asdfghjkl 226 คะแนน ได้เงินรางวัลไปทั้งสิ้น 20,000 บาท
• อันดับ 2 meatspin 188 คะแนน ได้เงินรางวัลไปทั้งสิ้น 10,000 บาท
• อันดับ 3 555plus 108 คะแนน ได้เงินรางวัลไปทั้งสิ้น 5,000 บาท
• อันดับ 4 Alpha 60 คะแนน
• อันดับ 5 ใส่รองเท้า 60 คะแนน
• อันดับ 6 ถอดรองเท้า 55 คะแนน
• อันดับ 7 system("halt"); 41 คะแนน

สรุปการแข่งขัน

การจัดแข่งขันครั้งนี้ทางบริษัท I-SECURE จำกัด มีความพยายามอย่างยิ่งที่จะจัดขึ้นเพื่อให้หน่วยงานการศึกษาต่างๆมีความสนใจใน Cyber Security มากขึ้น และเป็นช่องทางให้เหล่านิสิต นักศึกษาได้แสดงถึงศักยภาพทางด้าน Security และสนุกไปกับ Cyber Security ได้อย่างเต็มที่ครับพร้อมกันนี้หากมีความผิดพลาดประการใดก็ขออภัยมา ณ ที่นี้ด้วย และขอสัญญาว่าการจัดการแข่งขันครั้งถัดไปจะดีขึ้นกว่านี้แน่นอนครับ

ขอขอบคุณ

E88 Bangkok สำหรับการจัดการสถานที่การแข่งขันได้อย่างเรียบร้อยและการ support ที่ดีตลอดการแข่งขัน มา ณ ที่นี้ด้วยครับ