2016 金盾獎初賽心得

October 15, 2016

1 minute read

本篇會介紹金盾獎，還有分享我第一次參加的一些心得。注意這是「初賽」心得，決賽心得在此

文章也有列出初賽的出題方向，雖然不是很完整的題目 + 選項，但我認為這足以讓未來想參加比賽的隊伍，能比較有系統的準備。

2016 金盾獎

主辦是政府機構，資策會、資通會，所以賽制非常奇怪，要先通過初賽的筆試，才能參加複賽的 CTF ，所以網路上都說金盾獎最難的在初試，初試沒過連 CTF 都沒得打。

既然是政府辦的，想當然冗長複雜的手續是不可避免，首先報名就要寄信（不是 email ），相關文件就要簽好幾份，找系辦蓋章……，一番波折後才等到主辦單位回 email 確認報名成功，這裡感謝小胖替我們隊伍完成這像艱辛的工作！

初賽共有 139 組報名，主辦會取 30 隊晉級複賽。

CTF 常客也都有在現場XD:

主辦單位在官方網站上表示：

試題範圍包含通訊網路與系統安全、通訊網路安全技術、系統安全技術、密碼學原理與應用、雲端安全、BYOD行動設備管理、電腦鑑識及個資保護等項，試題設計著重理論與實務

所以就往這些方向準備囉！但是因為網路上找不到歷屆試題，只能從出題方向的關鍵字下去 Google 海底撈針，因此沒有花很多心思準備初賽，只有隨意瀏覽而已。

初賽地點在 致理科技大學，交通很方便，坐個捷運走五分鐘就到了。報到手續弄完之後，開始觀看測驗說明，看來主辦方或政府寫了一個電子評答系統，想當然爾…….

總之 UI 不甚美觀，視窗很小，附圖還要自行點開，不過還不至於到不能使用的地步，政府開發的程式有這樣的表現，我認為還不錯啦 XD

還有監考人員態度不是很友善，有點兇，這樣是好是壞就看每個人的想法囉～

因為不能帶紙張進出，手機更不可能，要偷題目出來有困難度，所以以下簡述一下大致的題目、方向。

Iaas 、Paas、Saas 的差異，似乎是每年必考
數位簽章，有一題好像是選「數位簽章不具有可用性 (availability)」
IPsec
HTTPS, SSH, SSL, SSLv2, TLS
VPN: PPTP, SSL, Hybrid
標準與協會：NIST, ISO, OCED, P-mark，有一題竟然問 P-mark 是那一國
Switch 的一些常見設定：QoS, VLAN, Port-security, SNMP, DNS, DHCP snooping
沒聽過的軟體們：Tripwire, Kerberos
常見攻擊：DDoS, Land attack, SYN flood, IP spoofing, dns reflection attack
無線安全：WPA2 enterprise, 802.1X, LDAP, Radius, EAP, EAP-TLS, PKI , PEAP
Firewall, IDS(intrusion detection system), IPS (intrusion prevention system), anomaly-based detection, signature -based detection,
密碼學: hash, md5, AES, RSA, SHA, MAC, HMAC，只要知道這些名詞在幹麻就好，不怎麼考細節
個資的原則：OCED, APEC
背 port: TCP/UDP, HTTPS, HTTP, syslog, 某題它考了一個奇怪的協定是用哪個 port
failover, single point of failure, 即時備援機制, cluster, least privilege, default deny
apache server: .htaccess, AllowOverwrite
虛擬化：vm theft, VM jumping, vm superabundance

題目偏難，而且我覺得很多題目沒什麼道理，正常人不會背一大堆 port 還有 ISO 標準，很多題也出的不好，例如 A 選項屬於 C 選項這種，又不能直接用邏輯：假設 A 對 C 就對而無腦選 A，官方一定是回覆請選擇一個最適當或最佳的答案。

因為我們賽前沒有多做準備，100 題裡面我看大約 30% 的題目是猜的吧，有把握的不到一半 QQ，反正很慘，就當作學一次經驗吧。

P.S. 多報一點資安金句比較實在！

「資安競賽 NO NO NO！資安金句 GO GO GO！」

最後竟然不可思議的進了決賽，非常感謝我 carry 的隊友 Laurice 跟小胖 > <

本次初賽的成績是 108分(晉級分數為95分)

附上晉級決賽的隊伍名單：