Dans les années 70, un sifflet ordinaire était utilisé pour pirater les réseaux téléphoniques; dans les années 90, Adrian Lamo piratait des banques sur Internet, en utilisant uniquement les capacités d'un navigateur. Le monde de la cybersécurité ne s'arrête pas, devient de plus en plus complexe et reste l'un des domaines les plus intéressants et passionnants de l'informatique. Surtout pour ceux qui s'y intéressent déjà à l'institut, "Rostelecom" et "Rostelecom-Solar" pour la deuxième année consécutive donnent l'occasion de tester leur force dans des compétitions individuelles " Cyber ​​Challenges ". Donc, sous la coupe - sur la façon dont ces concours seront organisés, des exemples de tâches et d'histoires des gagnants de l'année dernière sur ce qui s'est avéré être le plus difficile et comment ils sont allés à NTU "Sirius" pour un cours approfondi sur la sécurité de l'information.
Qu'est-ce qui devra être piraté?
Rien, mais ça restera intéressant. Cybercall fonctionne en ligne en deux étapes. Le plaisir principal sera au début: les participants doivent résoudre des problèmes de cryptographie, de recherche et d'exploitation de vulnérabilités binaires, d'enquête sur les incidents, de programmation et de sécurité Web dans les deux jours. Et pour le drive, le site disposera d'un tableau de bord avec les résultats en temps réel.
Les tâches sont divisées en six catégories:
- Crypto - protection des informations cryptographiques;
- PWN - recherche et exploitation de vulnérabilités réelles;
- PPC - programmation de sous-systèmes de sécurité (programmation et codage professionnels);
- Développement et recherche de logiciels inversés;
- WEB - détection des vulnérabilités Web;
- Forensic - EnquĂŞte sur les incidents dans le domaine informatique.
La catégorie se compose de 2-6 tâches, dans chacune desquelles vous devez envoyer un "drapeau" - un jeu de caractères de code - et obtenir des points pour cela. Tous les drapeaux de compétition ont le même format: CC {[\ x20- \ x7A] +}. Exemple: CC {w0w_y0u_f0und_7h3_fl46}. L'indicateur est utilisé comme information secrète qui doit être extraite en trouvant des vulnérabilités dans les services analysés ou en examinant le fichier fourni. Les drapeaux envoyés sont vérifiés automatiquement et les résultats de l'exécution sont visibles en temps réel sur le tableau de bord.
Après la première étape, 70 personnes ayant obtenu le plus de points se rendront à un entretien Skype avec des spécialistes de Rostelecom-Solar, où elles testeront leurs connaissances et distribueront des invitations à un programme éducatif sur la cybersécurité bancaire à NTU Sirius.
Télécharger Kali Linux et WireShark?
Pas seulement. Par exemple, dans la catégorie Web, les participants se sont vus offrir un service dans lequel ils devaient augmenter les privilèges des utilisateurs en exploitant une vulnérabilité Web. Dans une autre tâche de la catégorie Crypto, il était nécessaire de décrypter un message dont la clé secrète est inconnue.
Dans chaque mission, nous avons essayé de fournir des recommandations et de sauver les participants de décisions manifestement mauvaises. Par exemple, n'utilisez pas de scanners de ports là où cela ne sert à rien à l'avance. Et en même temps, nous avons préparé une liste des utilitaires qui peuvent être utiles:
- dans la catégorie Crypto: Cryptool, Sage, xortool, John the Ripper;
- dans la catégorie PWN: recherche et exploitation de vulnérabilités réelles d'OpenStego, Steghide, GIMP , Audacity ;
- PPC: Python, Sublime Text, Notepad++, Vim, Emacs;
- Reverse: GDB, IDA Pro, OllyDbg, Hopper, dex2jar, uncompyle6;
- Web: WireShark, tcpdump, netcat, nmap, Burp Suite;
- Forensic: binwalk, ExifTool, Volatility.
Toutes les tâches de l'année écoulée peuvent être consultées sur le lien . Ils ont été créés sur la base de menaces et de vulnérabilités réelles auxquelles sont confrontés les professionnels de la sécurité de l'information. Pour ceux qui ont réussi les deux étapes, nous avons préparé, avec la Banque de Russie, un cours de deux semaines sur la cybersécurité dans le secteur bancaire.
Et qu'est-ce qui sera intéressant?
Nous avons envoyé un ping aux gagnants de l'année dernière, et ils ont renvoyé VRAI, et en même temps, ont laissé tomber le journal de ce qui s'est passé lors du dernier Cyber ​​Call.
Vasily Brit: "Cet été, après avoir obtenu mon diplôme de première année d'université, j'ai joué à Dota2 avec des amis, puis un lien a été jeté vers ma discussion sur" Cyber ​​Challenge ". Je n'avais jamais participé au CTF auparavant et je ne pensais pas qu'il était vraiment possible de gagner un prix. prouvez à vous-même et à tout le monde que «vous ne pouvez pas simplement aller à Sotchi».
J'ai résolu des problèmes de la catégorie Crypto, Web, Forensic et PPC. La catégorie la plus difficile était la marche arrière. Presque personne ne l'a résolu, car les missions étaient rédigées par des professionnels et il n'y avait pas assez de temps pour eux. Les phasers honggfuzz et wfuzz et la touche F12 ont aidé à résoudre le Web. Les tâches cryptographiques ont été résolues à l'aide de xortool et de cyberchief. En fait, les utilitaires étaient spécifiés dans les tâches et vous ne pouviez pas perdre de temps à chercher des outils adaptés. La tâche la plus cool s'est avérée être Forensic - un vidage de RAM a été donné et il était nécessaire de savoir ce qui était ouvert dans le navigateur, sur le bureau et d'obtenir toutes les données.
Le voyage à Sotchi valait ces 24 heures frénétiques de résolution de tâches - les enseignants de Sirius ont passé deux semaines à parler de sécurité de l'information, du Web aux vulnérabilités binaires avec des outils pour les trouver. Ils ont tout raconté de manière très succincte, avec de la pratique et des exemples. Cette année, je participerai certainement. "
Dmitry Zotov: "Ce n'est pas la première fois que je joue à CTF, et les tâches du Cyber ​​Challenge m'ont semblé très intéressantes, mais assez difficiles. J'ai aimé les tâches des catégories Web et Reverse, même si je ne l'ai pas résolue. Grâce à la notation dynamique, j'ai pu le voir pendant la compétition. qui a résolu quelles tâches. Plus il y avait de personnes qui résolvaient la tâche, moins on leur attribuait de points, mais vous pouviez la retrouver et choisir des tâches plus difficiles. C'est donc arrivé avec l'une des tâches de la catégorie Web - à part moi, seules quelques personnes l'ont résolue. Pour résoudre le Web, le plus souvent l'outil le plus utile est la console de développement dans Chrome, et les utilitaires de console les plus simples: curl, wget et python, mais la tâche la plus cool s'est avérée être de la catégorie Reverse - les services Windows ont été donnés, où rien n'était clair à première vue.Je ne pouvais pas le quitter même après la fin de la compétition et fini de résoudre après.
Chez Sirius, nous avons reçu des tonnes d'informations utiles sur la cybersécurité, allant des différentes normes dans ce domaine à la façon dont les logiciels malveillants fonctionnent dans Windows et à ce qu'il faut regarder pour les détecter. J'ai rencontré des gens sympas et je me suis bien reposé, je vais certainement m'essayer cette année et je le conseille à tout le monde. "
Roman Nikitin: "Je participe régulièrement à des compétitions de la FCE, et dans Cyber ​​Challenge, il y avait beaucoup de tâches utiles et nouvelles pour moi que je n'avais jamais rencontrées auparavant. À mon avis, les tâches les plus intéressantes étaient dans les catégories Reverse, Forensic et Web. En Web il fallait trouver la vulnérabilité XXE, et c'était l'une des tâches les plus «coûteuses» pour le déblocage dynamique. La catégorie la plus difficile était Inversé: le niveau des tâches était beaucoup plus élevé que dans les autres catégories - c'était inattendu et le temps manquait. Mais la chose la plus cool de toute la compétition était, bien sûr, le prix sous la forme d'un voyage à Sirius, et je vais certainement me battre pour cela aussi cette année ».