ประสบการณ์งาน Hack In The Box Phuket 2023
งาน Hack In The Box Security Conference ก็ตามชื่อเลยคือเป็น conference สำหรับ security ในระดับ international จะเวียนจัดเปลี่ยนประเทศไปเรื่อยๆครับ ซึ่งหัวข้อเนี่ยเป็น Deep Knowledge แบบของแท้ๆ บางหัวข้อเอา zero-day ตัวใหม่มาพูดเลย ปีนี้เขาเลือกมาจัดที่เมืองไทย
งานจัดเมื่อวันที่ 24–25 สิงหาคม 2023 ครับที่ภูเก็ต ป่าตอง โรงแรม Four Points Sheraton Phuket แบบอยู่ตึกจัดงานหน้าโรงแรมเลย เดินนิดเดียวเข้างาน งานยิ่งใหญ่อลังการมากครับ มีสองชั้น ชั้นล่างจะเป็นโซน exhibition สำหรับโชว์ของต่างๆ รวมถึง COMMSEC track ซึ่งชั้นนี้สามารถเข้าร่วมได้ฟรีไม่เสียตัง ส่วนชั้นบนจะเป็น Conference เป็นแบบ 2 parallel session เราต้องเลือกเข้าอันใดอันนึง
รายละเอียดของ session Conference สามารถดูได้จากเว็บหลักของ HITB เองเลยครับ เนื้อหาค่อนข้างลึกครับ (ไม่มีแฮกกล้องร้านกาแฟ หรือ 50 สตางค์ แน่นอน) เนื้อหาส่วนใหญ่ไปทางด้าน offensive security เช่น ตระกูล pwn/overflow, cloud security, ML, breaking crypto, etc. แต่ก็มีสาย defensive บ้างเหมือนกัน พวก threat intelligence และก็มีสาย hardware ด้วย ด้วยความรู้ผมคงสรุปเนื้อหาไม่ไหว แต่ทางงานก็ใจดี public material ให้ด้วย https://conference.hitb.org/hitbsecconf2023hkt/materials/ ลองไปอ่านซึมซาบความรู้กันได้ครับ
ส่วนถ้าไม่ได้ซื้อบัตร conference ส่วนของ COMMSEC Track ที่เข้าฟรีเนี่ยดีไหม ผมไม่ได้เข้าเลย แต่ได้ยินว่าดีมากๆๆๆๆ มีทั้ง Reverse Flutter ของพี่เอ จาก Datafarm (คนไทยคนเดียวที่ได้ session พูดในงานนี้เลยนะ) มีทั้ง Aerospace security รู้สึกพลาดมากที่ไม่ได้เข้า แต่เวลาจำกัด เลือกได้แค่อย่างเดียว T_T
มาฝั่ง CTF บ้าง เป็นสไตล์ attack & defense ครับ คือรีบหาช่องโหว่ให้เจอ จากนั้น exploit เพื่อขโมย flag ของทีมอื่นมา submit ซึ่ง flag นี้มันจะเปลี่ยนเรื่อยๆ เราก็ต้องยิง exploit เดิมมา submit เรื่อยๆเพื่อให้คะแนนมันเพิ่ม (แปลว่าต้องเขียน script) ถ้าโดนทีมอื่นยิงแตก ก็โดนหักคะแนนแทน มีทั้ง online และ onsite คะแนนคิดรวมกัน แต่ตอนให้รางวัลแยกกัน
ทีมไทยมีหลายทีมอยู่ ส่วนทีมของเพื่อนผมเป็นทีมที่หนีลูกค้ามาทำงานจากภูเก็ต 55555 (ส่วนผมไม่ได้ลงเล่นครับ อ่อนเกิ๊น)
โจทย์เป็น Web ล้วนๆเลย แถมเป็นประเภทให้ source code ทุกอย่างด้วย ไม่มีเดาบ้าๆบอๆ ใช้สกิลล้วนๆ อ่านโค้ดแล้วเจอคือเจอ ไม่เจอก็ต้องศึกษาเพิ่ม มันดูน่าสนุกมากเลย พอจบงานเขา public โจทย์ทั้งหมดให้ https://github.com/HITB-CyberWeek/hitbsecconf-ctf-2023 ขอบคุณ author ทุกคนสำหรับโจทย์เทพๆ เปิดโลกเพิ่มเยอะเลย ไว้งานหน้าถ้ามาจัดไทยอีก จะลงเล่นนะคับ :3
ภาพรวมของงานก็รื่นเริงดีครับ มีของแจก มีบูธต่างๆให้เยี่ยมชม บางบูธเอา hardware ตระกูล RFID/flippers มาขายด้วย ส่วนอาหารของว่างก็มีตลอดทั้งวัน ตอนเย็นก็มี party เพิ่ม connection ถ้าใครชอบพบปะเจอผู้คนใหม่ๆ ผมว่างานนี้ยิ่งกว่าคุ้มครับ
โดยรวมแล้วเป็นงานที่ดีมากๆเลยครับ ขอบคุณทาง HITBSecConf มากที่ให้โอกาส cybersecurity community ของไทยในการไปเข้าร่วมงาน คิดว่าทุกคนน่าจะได้แนวคิดอะไรดีๆกลับมาต่อยอด community ในเมืองไทยต่อไปด้วย แล้วแอบหวังว่าทีมงาน HITB จะกลับมาจัดเมืองไทยใหม่ด้วยนะครับ (ค่าที่พักเมืองไทยถูกนะ 5555)
1 Sept 2023
