
Dans les années 70, un sifflet ordinaire était utilisé pour pirater les réseaux téléphoniques; dans les années 90, Adrian Lamo piratait des banques sur Internet, en utilisant uniquement les capacités d'un navigateur. Le monde de la cybersécurité ne s'arrête pas, devient de plus en plus complexe et reste l'un des domaines les plus intéressants et passionnants de l'informatique. Surtout pour ceux qui s'y intéressent déjà à l'institut, "Rostelecom" et "Rostelecom-Solar" pour la deuxième année consécutive donnent l'occasion de tester leur force dans des compétitions individuelles " Cyber ​​Challenges ". Donc, sous la coupe - sur la façon dont ces concours seront organisés, des exemples de tâches et d'histoires des gagnants de l'année dernière sur ce qui s'est avéré être le plus difficile et comment ils sont allés à NTU "Sirius" pour un cours approfondi sur la sécurité de l'information.
Qu'est-ce qui devra être piraté?
Rien, mais ça restera intéressant. Cybercall fonctionne en ligne en deux étapes. Le plaisir principal sera au début: les participants doivent résoudre des problèmes de cryptographie, de recherche et d'exploitation de vulnérabilités binaires, d'enquête sur les incidents, de programmation et de sécurité Web dans les deux jours. Et pour le drive, le site disposera d'un tableau de bord avec les résultats en temps réel.
Les tâches sont divisées en six catégories:
- Crypto - protection des informations cryptographiques;
- PWN - recherche et exploitation de vulnérabilités réelles;
- PPC - programmation de sous-systèmes de sécurité (programmation et codage professionnels);
- Développement et recherche de logiciels inversés;
- WEB - détection des vulnérabilités Web;
- Forensic - EnquĂŞte sur les incidents dans le domaine informatique.
La catégorie se compose de 2-6 tâches, dans chacune desquelles vous devez envoyer un "drapeau" - un jeu de caractères de code - et obtenir des points pour cela. Tous les drapeaux de compétition ont le même format: CC {[\ x20- \ x7A] +}. Exemple: CC {w0w_y0u_f0und_7h3_fl46}. L'indicateur est utilisé comme information secrète qui doit être extraite en trouvant des vulnérabilités dans les services analysés ou en examinant le fichier fourni. Les drapeaux envoyés sont vérifiés automatiquement et les résultats de l'exécution sont visibles en temps réel sur le tableau de bord.
Après la première étape, 70 personnes ayant obtenu le plus de points se rendront à un entretien Skype avec des spécialistes de Rostelecom-Solar, où elles testeront leurs connaissances et distribueront des invitations à un programme éducatif sur la cybersécurité bancaire à NTU Sirius.
Télécharger Kali Linux et WireShark?
Pas seulement. Par exemple, dans la catégorie Web, les participants se sont vus offrir un service dans lequel ils devaient augmenter les privilèges des utilisateurs en exploitant une vulnérabilité Web. Dans une autre tâche de la catégorie Crypto, il était nécessaire de décrypter un message dont la clé secrète est inconnue.
Dans chaque mission, nous avons essayé de fournir des recommandations et de sauver les participants de décisions manifestement mauvaises. Par exemple, n'utilisez pas de scanners de ports là où cela ne sert à rien à l'avance. Et en même temps, nous avons préparé une liste des utilitaires qui peuvent être utiles:
- dans la catégorie Crypto: Cryptool, Sage, xortool, John the Ripper;
- dans la catégorie PWN: recherche et exploitation de vulnérabilités réelles d'OpenStego, Steghide, GIMP , Audacity ;
- PPC: Python, Sublime Text, Notepad++, Vim, Emacs;
- Reverse: GDB, IDA Pro, OllyDbg, Hopper, dex2jar, uncompyle6;
- Web: WireShark, tcpdump, netcat, nmap, Burp Suite;
- Forensic: binwalk, ExifTool, Volatility.
Toutes les tâches de l'année écoulée peuvent être consultées sur le lien . Ils ont été créés sur la base de menaces et de vulnérabilités réelles auxquelles sont confrontés les professionnels de la sécurité de l'information. Pour ceux qui ont réussi les deux étapes, nous avons préparé, avec la Banque de Russie, un cours de deux semaines sur la cybersécurité dans le secteur bancaire.
Et qu'est-ce qui sera intéressant?
Nous avons envoyé un ping aux gagnants de l'année dernière, et ils ont renvoyé VRAI, et en même temps, ont laissé tomber le journal de ce qui s'est passé lors du dernier Cyber ​​Call.

J'ai résolu des problèmes de la catégorie Crypto, Web, Forensic et PPC. La catégorie la plus difficile était la marche arrière. Presque personne ne l'a résolu, car les missions étaient rédigées par des professionnels et il n'y avait pas assez de temps pour eux. Les phasers honggfuzz et wfuzz et la touche F12 ont aidé à résoudre le Web. Les tâches cryptographiques ont été résolues à l'aide de xortool et de cyberchief. En fait, les utilitaires étaient spécifiés dans les tâches et vous ne pouviez pas perdre de temps à chercher des outils adaptés. La tâche la plus cool s'est avérée être Forensic - un vidage de RAM a été donné et il était nécessaire de savoir ce qui était ouvert dans le navigateur, sur le bureau et d'obtenir toutes les données.
Le voyage à Sotchi valait ces 24 heures frénétiques de résolution de tâches - les enseignants de Sirius ont passé deux semaines à parler de sécurité de l'information, du Web aux vulnérabilités binaires avec des outils pour les trouver. Ils ont tout raconté de manière très succincte, avec de la pratique et des exemples. Cette année, je participerai certainement. "

Chez Sirius, nous avons reçu des tonnes d'informations utiles sur la cybersécurité, allant des différentes normes dans ce domaine à la façon dont les logiciels malveillants fonctionnent dans Windows et à ce qu'il faut regarder pour les détecter. J'ai rencontré des gens sympas et je me suis bien reposé, je vais certainement m'essayer cette année et je le conseille à tout le monde. "
