In den 70er Jahren wurde eine gewöhnliche Pfeife verwendet, um sich in Telefonnetze zu hacken, in den 90er Jahren hackte Adrian Lamo Banken über das Internet und benutzte nur die Funktionen eines Browsers. Die Welt der Cybersicherheit steht nicht still, wird immer komplexer und bleibt einer der interessantesten und aufregendsten Bereiche in der IT. Insbesondere für diejenigen, die sich bereits am Institut dafür interessieren, bieten "Rostelecom" und "Rostelecom-Solar" zum zweiten Mal in Folge die Möglichkeit, ihre Stärke in Einzelwettbewerben " Cyber Challenges " zu testen . Unter dem Strich - wie diese Wettbewerbe stattfinden werden, Beispiele für Aufgaben und Geschichten der Gewinner des letzten Jahres darüber, was sich als am schwierigsten herausstellte und wie sie zu einem ausführlichen Kurs über Informationssicherheit an die NTU "Sirius" gingen.
Was muss gehackt werden?
Nichts, aber es wird trotzdem interessant sein. Cybercall läuft in zwei Schritten online. Der Hauptspaß wird am Anfang sein: Die Teilnehmer müssen Probleme in der Kryptographie, Suche und Ausnutzung von binären Schwachstellen, Untersuchung von Vorfällen, Programmierung und Websicherheit innerhalb von zwei Tagen lösen. Und für die Fahrt wird die Site eine Anzeigetafel mit den Ergebnissen in Echtzeit haben.
Aufgaben sind in sechs Kategorien unterteilt:
- Krypto - Schutz kryptografischer Informationen;
- PWN - Suche und Ausnutzung realer Schwachstellen;
- PPC - Programmierung von Sicherheitssubsystemen (professionelle Programmierung und Codierung);
- Reverse - Reverse Softwareentwicklung und Forschung;
- WEB - Erkennung von Web-Schwachstellen;
- Forensisch - Untersuchung von Vorfällen im IT-Bereich.
Die Kategorie besteht aus 2-6 Aufgaben, bei denen Sie jeweils eine "Flagge" - einen Code-Satz von Zeichen - senden und Punkte dafür erhalten müssen. Alle Wettbewerbsflags haben das gleiche Format: CC {[\ x20- \ x7A] +}. Beispiel: CC {w0w_y0u_f0und_7h3_fl46}. Das Flag wird als geheime Information verwendet, die extrahiert werden muss, indem Schwachstellen in den analysierten Diensten gefunden oder die bereitgestellte Datei untersucht werden. Die gesendeten Flags werden automatisch überprüft und die Ausführungsergebnisse können in Echtzeit auf der Anzeigetafel angezeigt werden.
Nach der ersten Phase werden 70 Personen, die die meisten Punkte erzielt haben, zu einem Skype-Interview mit Rostelecom-Solar-Spezialisten gehen, wo sie ihr Wissen testen und Einladungen zu einem Schulungsprogramm zum Thema Cybersicherheit im Bankwesen an der NTU Sirius verteilen.
Kali Linux und WireShark herunterladen?
Nicht nur. In der Kategorie Web wurde den Teilnehmern beispielsweise ein Dienst angeboten, bei dem sie die Benutzerrechte durch Ausnutzen einer Web-Sicherheitsanfälligkeit erhöhen mussten. Bei einer anderen Aufgabe aus der Kategorie "Krypto" musste eine Nachricht entschlüsselt werden, für die der geheime Schlüssel unbekannt ist.
Bei jeder Aufgabe haben wir versucht, Empfehlungen abzugeben und die Teilnehmer vor offensichtlich schlechten Entscheidungen zu bewahren. Verwenden Sie beispielsweise keine Port-Scanner, bei denen dies im Voraus unbrauchbar ist. Gleichzeitig haben wir eine Liste von Dienstprogrammen erstellt, die sich als nützlich erweisen können:
- in der Kategorie Crypto: Cryptool, Sage, Xortool, John the Ripper;
- in der PWN-Kategorie: Suche und Ausnutzung realer Schwachstellen von OpenStego, Steghide, GIMP , Audacity ;
- PPC: Python, Sublime Text, Notepad++, Vim, Emacs;
- Reverse: GDB, IDA Pro, OllyDbg, Hopper, dex2jar, uncompyle6;
- Web: WireShark, tcpdump, netcat, nmap, Burp Suite;
- Forensic: binwalk, ExifTool, Volatility.
Alle Aufgaben des vergangenen Jahres können unter dem Link eingesehen werden . Sie wurden auf der Grundlage realer Bedrohungen und Schwachstellen erstellt, denen sich Fachleute für Informationssicherheit gegenübersehen. Für diejenigen, die beide Phasen erfolgreich abgeschlossen haben, haben wir zusammen mit der Bank von Russland einen zweiwöchigen Kurs über Cybersicherheit im Bankensektor vorbereitet.
Und was wird interessant sein?
Wir haben die Gewinner des letzten Jahres angerufen, und sie haben TRUE zurückgegeben und gleichzeitig das Protokoll über das, was beim letzten Cyber Call passiert ist, verworfen.
Vasily Brit: "Im Sommer, nach meinem Abschluss im ersten Studienjahr, habe ich mit Freunden Dota2 gespielt, und dann wurde ein Link zu meinem Chat über" Cyber Challenge "geworfen. Ich hatte noch nie an CTF teilgenommen und glaubte nicht, dass es wirklich möglich ist, einen Preis zu gewinnen." beweisen Sie sich und allen anderen, dass "Sie nicht einfach nach Sotschi gehen können".
Ich habe Probleme aus den Kategorien Crypto, Web, Forensic und PPC gelöst. Die schwierigste Kategorie war Reverse. Fast niemand hat es gelöst, weil die Aufgaben von Fachleuten erstellt wurden und nicht genügend Zeit für sie vorhanden war. Die Honggfuzz- und Wfuzz-Phaser sowie die F12-Taste halfen bei der Lösung des Web. Krypto-Aufgaben wurden mit xortool und cyberchief gelöst. Tatsächlich wurden die Dienstprogramme in den Aufgaben angegeben, und Sie konnten keine Zeit damit verschwenden, nach geeigneten Werkzeugen zu suchen. Die coolste Aufgabe stellte sich als forensisch heraus - es wurde ein RAM-Speicherauszug erstellt, und es musste herausgefunden werden, was im Browser auf dem Desktop geöffnet war, und alle Daten abgerufen werden.
Die Reise nach Sotschi war diese hektischen 24 Stunden mit der Lösung von Aufgaben wert - die Lehrer von Sirius sprachen zwei Wochen lang über Informationssicherheit, vom Web bis zu binären Schwachstellen mit Tools, um sie zu finden. Sie erzählten alles sehr prägnant, mit Übung und Beispielen. Dieses Jahr werde ich definitiv teilnehmen. "
Dmitry Zotov: "Es ist nicht mein erstes Mal, dass ich CTF spiele, und die Aufgaben von Cyber Challenge schienen mir sehr interessant, aber ziemlich schwierig. Ich mochte die Aufgaben aus den Kategorien Web und Reverse, obwohl ich sie nicht gelöst habe. Dank dynamischer Wertung konnte ich sie während des Wettbewerbs sehen. Wer hat welche Aufgaben gelöst? Je mehr Leute die Aufgabe gelöst haben, desto weniger Punkte wurden dafür vergeben, aber Sie konnten sie aufspüren und schwierigere Aufgaben auswählen. So geschah es mit einer der Aufgaben in der Kategorie Web - außer mir haben nur ein paar Leute sie gelöst. Das nützlichste Tool zum Lösen des Webs ist meistens die Entwicklerkonsole in Chrome und die einfachsten Konsolendienstprogramme: Curl, Wget und Python. Die coolste Aufgabe war jedoch die Kategorie "Umkehren" - Windows-Dienste wurden bereitgestellt, bei denen auf den ersten Blick nichts klar war.Ich konnte ihn auch nach dem Ende des Wettbewerbs nicht verlassen und beendete die Lösung danach.
Bei Sirius erhielten wir unzählige nützliche Informationen zur Cybersicherheit, die von den verschiedenen Standards in diesem Bereich bis hin zur Funktionsweise von Malware unter Windows und deren Erkennung reichen. Ich habe coole Leute getroffen und mich großartig ausgeruht. Ich werde mich dieses Jahr auf jeden Fall versuchen und ich kann es jedem empfehlen. "
Roman Nikitin: "Ich nehme regelmäßig an CTF-Wettbewerben teil, und bei Cyber Challenge gab es viele nützliche und neue Aufgaben für mich, denen ich zuvor noch nicht begegnet war. Meiner Meinung nach waren die interessantesten Aufgaben in den Kategorien Reverse, Forensic und Web. Im Web Es war notwendig, die Sicherheitslücke XXE zu finden, und dies war eine der "teuersten" Aufgaben für das dynamische Entsperren. Die schwierigste Kategorie war Reverse: Das Niveau der Aufgaben war viel höher als in anderen Kategorien - es war unerwartet und es gab nicht genug Zeit. Aber das Coolste im ganzen Wettbewerb war natürlich der Preis in Form einer Reise nach Sirius, und ich werde definitiv auch dieses Jahr dafür kämpfen. “