星期五, 1月 06, 2017

分號怎麼用

分號是介於逗號與句號之間的符號,由於有些複句意思較複雜,若用句號便會把完整的意思分割,但逗號又不能突顯各分句之間相對獨立的意思。 這時候,分號便派上用場了。 例:開心,就開懷大笑;傷心,就掩臉痛哭。 「開心,就開懷大笑」與「傷心,就掩臉痛哭」為句子結構相類的並列分句,故以分號作停頓。
分號
www.chiculture.net/0609/html/a01/0609a01_06.html

分號- 維基百科,自由的百科全書 - Wikipedia
https://zh.wikipedia.org/zh-tw/分號
Translate this page
複句內部,並列分句之間的停頓;用分號。」 「非並列關係(如轉折關係、因果關係等)的多重複句,第一層的前後兩部分之間,也用分號。」 「分行列舉的各項之間,也可以 ...

星期四, 7月 14, 2016

HoneyMe - HoneyCon 2016 crackMe

     今年是HoneyMe(HoneyCon 2016 crackMe)3屆,首先要感謝國網中心的平台、逸盈台北借予的forinet設備、台灣雲端安全聯盟及麟雲科技的工作人員、HoneyMe團隊的工作人員,包含出題的清雄、忠信,網路環境設計的勝翔、宏吉、正育、逸盈科技的工程師,以及給予眾多想法和贊助的一郎、eric


網路環境

     所有King of the Hill的機器都放在國網中心的CDX(Cyber Defense Exercise)平台當中,為了讓會場中每個人不要登入VPN就可以進到平台中,現場用了fortinet的設備與國網中心的設備建成tunnel,再使用不同的SSID區分僅參與會議的人眾與要參與HoneyMe的會眾。由於有CDX可使用,今年的題目首次設計了有內網的題目,期待未來可以真的模擬出更複雜的網路環境,並撒出大量的機器做為要被擁有的主機。不同於去年使用由中華電信贊助的雲端主機,在國網中心的平台上因為權限更大,可以設計使用的題目更加彈性,也可以完全在隔離的網路中運作。


雲端主機

     無論如何,有雲端主機可以使用實在方便許多,在這種兩三天的會議中要現場建起這些環境是很麻煩的,像在HoneyMe1屆舉時,我們事前2個月就要先借兩台2U的機器安裝Vmware,在上面部署環境測試,會議前幾天把所有設備寄送過去,在會前一天再全部設定好並開機測試,因為運轉起來太吵還要找個地方放它再牽網路線接到現場的gateway上。事後在這些機器上的比賽環境亦不能好好的保存,僅能拷備出來就要清空歸還。今年借用了國網的平台便可以在未來繼續當成題庫使用。


計分方式

     今年的評分方式一改往年使用輪詢占領時間乘上主機數的換網頁大亂鬥,計分板只使用上傳flag的簡單計分方式,或許未來都會這樣子做吧? 而擁有主機的比賽一直有個問題,真實世界的漏洞並不是完美的題目,它可能僅能使用一次,如果進去的人把密碼改了?把漏洞修了,那就少一題了。這個問題一直存在著,為了不讓出題者太過辛苦,而又可以避掉這個缺點的想法也一直還在構思當中。我們的出題者,今年弄了大地遊戲,在現場部署了有漏洞的真實設備。
     原先預計它是很好利用的,而一直以來我們也號稱都是真實環境的曾發生過的漏洞。但有時人不在家裡,常用的工具沒有帶上、手上的設備不夠強大、設計者和玩的人思路沒有對上了,方向一旦走錯了就難解了。因為第一次擺攤,原來大地遊戲是給來攤位的人玩的,沒有考慮到解題需要空間和時間,拿著NB,總不方便在走道上席地而坐。下一屆若仍有這類遊戲,應該是要讓會場的無線就可以連得到,結合到同一個SSID當中,才不會需要切來切去。然後至少會準備些椅子和延長線XD


參賽資格

     再來講講參賽資格,第1屆辦的時候很怕沒有人玩>_<,也因為遊戲的方式也和別人不同,無線網路也有問題,弄了很久才有人知道怎麼得分。第二天便把空餘的一個空間佈了有線網路、插座、桌椅,才讓參者得以舒服的進行。第2屆需要組隊並通過賽前賽才能獲得免費票進場,事實上我還是擔心沒有人參加,但是結果蠻意外的共有4個隊伍最後來到現場,現場保留的名額也有8個人左右索取進入方式,最後有3個現場報名的人排上名次。
     今年取消了賽前賽,一方面是沒時間準備另一方面是覺得多餘,但還是擔心沒人要玩。改以邀請的方式,邀請往年有來的團隊及2個未曾參與的團隊。由於會議性質並不是多數技術人會參加的,邀請團隊的意義在我來說是為了遊戲的可看性、競爭性。若能在邀請信函中提到每一個被邀請的團隊,讓大家互相知道一下對方可能會來參加也許不錯,沒有對手是不好玩的。在配分上也有做改變,去年是團隊競爭,所以把獎金做依得分比例的分配。今年定位在餘樂節目讓人人有獎,所以每人限擇一獎依得分排序優先選擇。


負分題

      一直以來我們在思考著HoneyPot要怎麼放進遊戲中,放進來被打的意義不大,它本來就是設計成誘捕系統是一個很容易被進去的系統。減分題是我一直想要放的,去年想把有觸發IPS告警的做負分。但是和IPS設備的整合、設備可以借多久是個大問題。往往在會前幾個月才能借到設備、題目才設計完成,如何測試也是個問題。雖然還是想要借多家設備來做個大型的擬真競賽環境,但現場設備實在太難以實現了。
     送出HoneyPot flag負分的想法是怎麼來的哩?好像是工作人員吃飯時想到的吧?常常想到了就做了,做了也不知道好不好,第一次做,效果好的就留下來。比賽時大家都很期待有人可以送出這個flag,期待看到負分出現。而果不其然,居然真的有人送出了flag。雖然有趣,而這最後看起來只是我們說明的不夠清楚。這名參賽者後來排序第2名,絕對是超級厲害的呀。只能說很有趣。



競賽時間

      開題和競賽時間牽扯到比賽的公平性,尤其在往年用占領時間做計算的情況下,因為題目都被解完了,沒有再競爭的空間,平白多計了許多時間,造成獎金分配變少也不是我所想見到的。未來若計分和時間有關係,會更注意到題目數量的題型的設計和結束時間呀!!!
     在今年原先預計第一天最後1小時才開啟的King of the Hill就在中午後就打開了,我想未來應該不會明確的說明何時會打開,而會依現場解題的進度來開啟,當題目全都解完或許就結束比賽,其它時間可以交流,而題目繼續開著讓大家練習。


比賽結果

最後在這邊恭喜第一科大的黃同學,以及所有上到排行榜上的參賽者。

星期三, 11月 25, 2015

滑板輪 65mm 78a 滑起來的感受

我在粗粗的水泥磚上滑行。
依我的體重 78kg 78a的輪子會變型,它實在是太軟了。
變型之後滑起來有一種黏在地上的感覺,我想是接觸的地面面積過大,抓地力太強。
要怎麼形容那種感覺, 就像是戰車的履帶吧 。

70mm 80a 就沒有這一種感覺, 但因為輪子大加速度慢, 所以需要比較大的場地來滑。

星期二, 11月 24, 2015

滑板的兩三事

我滑過
28" 65mm 78a 借來的台灣製交通板

我買了
old school board
duster keen 31"
60mm 83a
滑了一陣子
DIY 改成 71mm 85a

然後我又買了
longboard
bustin maestro5 bamboo 38"
70mm 80a

我想說,
台灣所稱的交通板一點都不適合交通,千萬不要被名稱給誤導了!!
台灣所稱的交通板一點都不適合交通,千萬不要被名稱給誤導了!!
台灣所稱的交通板一點都不適合交通,千萬不要被名稱給誤導了!!

一般會被稱為交通板,大致上就是輪子比較大(60mm+)、比較軟(大約78a),
這麼軟的輪子不適合作招,但適合在粗粗的路面滑。

skate board 拿來跳呀、飛的,我這邊叫它做技術板。
板身是硬的,兩邊蹺起來方便跳,輪子是小的、硬的。
人行道絕對不可能滑,台灣的巷弄柏油路你也不會想滑這種板子的,太震了。
汽車走的柏油路除非車很少,不然太危險了。
我沒玩過。練技術的話,自家後院應該也能玩吧。

old school board
板身是硬的,單邊蹺起來也很方便跳,輪子是大的、軟的。
人行道滑起來很震,台灣巷弄的柏油路或許可以滑一下。
由於它的板身是硬的,要靠輪子的軟度來避震幾乎不可能。
汽車走的柏油路除非車很少,不然太危險了。不過滑起來蠻順暢的。
我覺得路線在200公尺左右就能玩了。

longboard 
板身有彈性比較長,單邊蹺起來或雙邊蹺起來或是完全平的,輪子是大的、軟的。
人行道稍稍可以滑,台灣的巷弄柏油路沒有太差的可以滑一下。
汽車走的柏油路挑車少的滑。
我覺得路線500公尺以上的話比較好玩。

以上幾種板子,我覺得都不適合在人車多的地方滑行。


星期一, 8月 24, 2015

HoneyMe 2015 後記

HoneyCon WarGame 今年是第二屆,仍在起步的階段。去年第二天到現場的有5個隊伍依序是,趙正宇、Hack stuff、梁偉明、inker、RAT。雖然事前準備非常多,然而因為第一屆舉辦對賽事的說明不夠清楚,遲至第一天下午才開始有人拿分。計分版最後的結果如下,解題賽與網頁置換大賽的計分版分別計分,最後才加總回來計算名次。


       整體來說,今年與去年最大的不同之處在於去年我們搬了兩部2U的HP Server到現場,今年的機器通通放在hicloud上。去年遲至第二天才提供專屬場地以及有線網路,在第一天因為無線網路的不順暢使得許多人放棄參賽。無線網路採匿名制,只要有kktix報名的QRCODE就能參賽。獎品是iPad、iPad mini、Air port。

       今年是採兩階段報名及邀請,現場仍可索取帳號密碼參賽,有經過預賽而來的參賽者依得分比例分配獎金共6萬,現場報名參賽者大會準備了十份獎品。題目的型式依舊是置換網頁以及解題賽,計分版即時顯示各隊累計獎金,並同時將會場內的計分版播送到公開的網址上,讓無法連進比賽現場的人也可觀賽。

       今年的賽事通過第一階段解題的隊伍進入第二階段的有3隊,分別是Hack stuff、nkfust、百岳不是問題。另外,我們也邀請了3隊,分別是交大的BambooFox、 TDOH、HITCON girl、很可惜的最後僅有BambooFox到場,現場分獎金的隊伍僅有4隊。現場報名的隊伍為求公平就不分享同一份獎金,可以說是同一份題目但分成了兩組在進行。
      HoneyME的換網頁大賽是以佔領機器數乘上佔領時間(每十秒一個單位)做計分,解題型有6題各600點。以兩天的賽事做計算,完全的佔領一台機器可以得到8*60*6=2880點,共有8台機器可以被佔領,若是解題型全數解出可獲得3600點,若完全不解題至少要佔領兩台機器,若完全不佔領機器的話靠這3600點的積分絕對無法獲得第一。


賽況回顧

第一天
一開場BambooFox即取得600點的分數,在那幾小時內獨得6萬元獎金。

2015.08.18 11:41
BambooFox與Hack stuff短暫的同分。

2015.08.18 12:59
Hack stuff第一次取得第一名。


2015.08.18 13:25
Hack stuff 與 BambooFox 又重回平手


2015.0818 14:06
在短暫的平手之後BambooFox拿下了主機193,開始有隻金雞在下蛋累計分數


2015.08.18 14:38
在第一天的下午2點,BambooFox把解題型題目全破


2015.08.18 15:44
在第一天快結束前來自南部的百岳不是問題首度得分


2015.08.19 10:06
開始搶主機,主機194、193被BambooFox擁有,Hack stuff短暫取得主機195。隨著擁有主機數量的增加,開始把分數拉開


2015.08.19 10:19
出題者給出提示,後來想想這個提示似乎給得太早了些,還有很多時間可以用


2015.08.19 10:41
因為在官網上公告是打到中午,但競賽網頁中是到下午,特別再公告一次,但這段時間卻讓比賽結果,產生了巨大的變化。下次應該要特別提醒

2015.08.19 11:22
百岳不是問題再解一題600點題目,在第二天上半場快結束時,仍𡚒力解題


2015.08.19 11:25
由公開提示到拿下主機,僅1個小時多真是恐怖的得分能力呀


2015.08.19 11:35
BambooFox已佔領大多數主機,8台中的5台,其中扣掉被Hack stuff弄壞1台,被打到當機2台,明年會採用當機自動重開機制


2015.08.19 11:51
第二天上半場,比賽結果第1、2名已確定,下次主辦單位會準備更多題目的


2015.08.19 13:04
來到第二天下半場,先公告一下會後交流時間,以及頒獎時間


2015.08.19 15:27
剩最後1小時了,有兩隊人已經聊開了,看著不斷成長的累計獎金,以及不斷減少的累計獎金,大家在意的都不是錢


2015.08.19 15:47
最後倒數了,會有人再送答案嗎?


2015.08.19 15:59
最後倒數了,會有人再送答案嗎?


2015.08.19 16:14
發現nkfust又送了一題答案出來,可以增加2000元左右的獎金,但是超過時間了,真的是𡚒戰到超過最後一刻呀 ^_^


感謝大家的參與,希望明年可以再看到舊面孔增加新面孔

在最後要感謝,
ISDA以及陳忠信出題
網路組提供的穩定網路
Fortinet提供的大量設備
場地組準備的場地
以及場務組給的一盤水果
大會提供的獎金
hicloud提供的10台雲端主機

IPS log -> splunk 截圖,可看出有個IP不斷的在掃弱點  ^_^

星期五, 8月 21, 2015

開放資料

開放資料開放的應該是自己單位的資料
去抓別人的資料來開放應該要再制成有意義的應用或展示,而不是抓了別人的資料寄望別人的應用?我認為要應用的人自然會去抓,這不是技術難或不難的問題,而是為什麼要抓既「不知道是誰要用的資料」、「也不知道要做什麼的資料」呢?

星期五, 5月 08, 2015

筆記工具以及它適合的用途


  evernote, 長久收錄
  simple note, 簡單即時查詢
  hackpad, 協作編輯
  instapaper, 方便閱讀、不方便整理找舊資料