DEF CON CTF主办人在HITCON CTF论坛，首度公开PWN Collage开源课程

到底要怎么透过现在流行的CTF（抢旗攻防赛），吸引更多对资安有兴趣的资安人才呢？DEF CON CTF主办单位O.O.O.（Order of the Overflow）主办者，也同时是美国亚历桑纳州立大学资工系教授Yan Shoshitaishvili（网络昵称Zardus）于日前参加HITCON CTF论坛时，他正式对外公开PWN Collage的开源课程，这是他用来培养美国对资安有兴趣入门基础课程，透过开源方式释出，希望可以作为全世界培育资安人才的入门教材。

而台湾从2014年开始的“跨校资安实务课程”，参与的学校包括台大、交大和台科大，负责相关课程规划的老师，台大资工系副教授萧旭君、交大资工系教授黄俊颖、台科大资工系副教授郑欣明都认为，可以引进PWN Collage开源课程，作为培训资安人才的教材。

CTF是吸引资安人才入门的管道之一

Yan Shoshitaishvili本身也曾经担任美国圣塔芭芭拉CTF战队多年的队长，先前也曾经多次来台在HITCON发表演说。这一次，则是他任教美国亚历桑纳州立大学，并组成O.O.O.团队承办DEF CON CTF比赛后，再度来台参加HITCON CTF活动。

面对外界质疑到底CTF是否是一个好的培育资安人才的入门管道呢？Yan Shoshitaishvili表示，CTF的确不是最好的资安入门方式，但CTF容易吸引学生的注意力；而相较常见的Wargame，容易恍神、不专注，CTF有其吸引人的优点。

他也说，以美国各个大学组成的CTF战队而言，通常都是需要对资安有经验的专业人才，必须要招募具有即战力的成员，而且各个CTF队伍，都需要持续有新血投入。但他在任教时则发现，如何创造一个CTF队伍，确保有源源不绝得资安和CTF新血投入，其实是更重要的事情。

打造开源PWN Collage，作为资安入门课程教材

因此，Yan Shoshitaishvili有一个全新的想法，希望将打CTF需要的各种能力分类分级，每一种类别和能力规划成一个基本课程，在亚历桑纳州立大学开了一门ASU CSE 466：Computer System Security的课程，也称之为“PWN Collage”，课程内容将打CTF具备的各种基本能力，仿效电影“小子难缠”练空手道一样，区分成四种程度：白带就是入门级的程度，黄带则是一般资安人才需要的基本能力，棕带则是具有进阶CTF攻击破解能力，黑带则是顶级的CTF人才。

PWN Collage仿效电影“小子难缠”的空手道分级制度，分成白带、黄带、棕带和黑带等四个层级，CTF选手至少需要具备棕带和黑带的能力才行。

在经过一个学期逐步的调整，他将整个PWN Collage课程分成九个模组，包括二进制和逆向工程等课程，都有渐进的学习曲线，每一个课程都有不同程度的大量关卡，以写Shellcode为例，每一个阶层都会比上一个阶层关卡更难一点，通过这样的关卡挑战，都可以慢慢增进自己的程度能力。

Yan Shoshitaishvili也说，像在学习Binary二进制法时，课程的内容除了有上课的演讲，参考书目，还有PWN Collage中大量的闯关关卡，其中的关卡模组内容包括：SUID abuse in Linux（SUID在Linux操作系统的权限误用）；Shellcoding；Sandboxing（沙箱）；逆向工程（包含Keygens和Crackmes）；Simple Memory Corruption（内存崩溃）：包含Buffer Overflow（缓冲区溢位）；NX and Return Oriented Programming；Format String Attacks（格式化字串攻击）；Heap Exploitation；以及Kernel Security（操作系统核心安全）。

他说，这个课程上这门课没有任何考试，CTF闯关就是成绩，从开始授课以来，学生最常遇到的问题就是“时间不够”，每周要花十小时到四十小时学习，这门课也被称之为“亚历桑纳州立大学最难的一门课。”。为了避免不必要的误解，他也解释，这个PWN Collage模组并没有网络连线，只能在自己的内部环境闯关，就不会不小心攻击到别人。

因为这是给资安初学者的入门学习课程，每个学生在Github也有自己的模组，Yan Shoshitaishvili希望透过这样的入门学习课程，把学生的资安能力从入门的白带提升到进阶的黄带阶段。

目前，PWN Collage只有三十台机器，建置在Container的平台上，未来会持续升级，这个开源专案用在教育是可以授权免费使用，但如果有企业有兴趣用来作内部的资安基础训练课程，则可以有企业授权方案使用。

PWN Collage目前释出Beta版，教育授权免费，企业可以付授权费使用。