Rétro-ingénierie de programmes, recherche de vulnérabilités Web et deux semaines à Sotchi: ce que les étudiants peuvent attendre de Cybervyzov





Dans les années 70, un sifflet ordinaire était utilisé pour pirater les réseaux téléphoniques; dans les années 90, Adrian Lamo piratait des banques sur Internet, en utilisant uniquement les capacités d'un navigateur. Le monde de la cybersécurité ne s'arrête pas, devient de plus en plus complexe et reste l'un des domaines les plus intéressants et passionnants de l'informatique. Surtout pour ceux qui s'y intéressent déjà à l'institut, "Rostelecom" et "Rostelecom-Solar" pour la deuxième année consécutive donnent l'occasion de tester leur force dans des compétitions individuelles " Cyber ​​Challenges ". Donc, sous la coupe - sur la façon dont ces concours seront organisés, des exemples de tâches et d'histoires des gagnants de l'année dernière sur ce qui s'est avéré être le plus difficile et comment ils sont allés à NTU "Sirius" pour un cours approfondi sur la sécurité de l'information.



Qu'est-ce qui devra être piraté?



Rien, mais ça restera intĂ©ressant. Cybercall fonctionne en ligne en deux Ă©tapes. Le plaisir principal sera au dĂ©but: les participants doivent rĂ©soudre des problèmes de cryptographie, de recherche et d'exploitation de vulnĂ©rabilitĂ©s binaires, d'enquĂŞte sur les incidents, de programmation et de sĂ©curitĂ© Web dans les deux jours. Et pour le drive, le site disposera d'un tableau de bord avec les rĂ©sultats en temps rĂ©el. 



Les tâches sont divisées en six catégories:



  • Crypto - protection des informations cryptographiques;

  • PWN - recherche et exploitation de vulnĂ©rabilitĂ©s rĂ©elles;

  • PPC - programmation de sous-systèmes de sĂ©curitĂ© (programmation et codage professionnels);

  • DĂ©veloppement et recherche de logiciels inversĂ©s;

  • WEB - dĂ©tection des vulnĂ©rabilitĂ©s Web;

  • Forensic - EnquĂŞte sur les incidents dans le domaine informatique.



La catégorie se compose de 2-6 tâches, dans chacune desquelles vous devez envoyer un "drapeau" - un jeu de caractères de code - et obtenir des points pour cela. Tous les drapeaux de compétition ont le même format: CC {[\ x20- \ x7A] +}. Exemple: CC {w0w_y0u_f0und_7h3_fl46}. L'indicateur est utilisé comme information secrète qui doit être extraite en trouvant des vulnérabilités dans les services analysés ou en examinant le fichier fourni. Les drapeaux envoyés sont vérifiés automatiquement et les résultats de l'exécution sont visibles en temps réel sur le tableau de bord.



Après la première Ă©tape, 70 personnes ayant obtenu le plus de points se rendront Ă  un entretien Skype avec des spĂ©cialistes de Rostelecom-Solar, oĂą elles testeront leurs connaissances et distribueront des invitations Ă  un programme Ă©ducatif sur la cybersĂ©curitĂ© bancaire Ă  NTU Sirius. 



Télécharger Kali Linux et WireShark?



Pas seulement. Par exemple, dans la catĂ©gorie Web, les participants se sont vus offrir un service dans lequel ils devaient augmenter les privilèges des utilisateurs en exploitant une vulnĂ©rabilitĂ© Web. Dans une autre tâche de la catĂ©gorie Crypto, il Ă©tait nĂ©cessaire de dĂ©crypter un message dont la clĂ© secrète est inconnue. 



Dans chaque mission, nous avons essayé de fournir des recommandations et de sauver les participants de décisions manifestement mauvaises. Par exemple, n'utilisez pas de scanners de ports là où cela ne sert à rien à l'avance. Et en même temps, nous avons préparé une liste des utilitaires qui peuvent être utiles:





Toutes les tâches de l'année écoulée peuvent être consultées sur le lien . Ils ont été créés sur la base de menaces et de vulnérabilités réelles auxquelles sont confrontés les professionnels de la sécurité de l'information. Pour ceux qui ont réussi les deux étapes, nous avons préparé, avec la Banque de Russie, un cours de deux semaines sur la cybersécurité dans le secteur bancaire.



Et qu'est-ce qui sera intéressant?



Nous avons envoyĂ© un ping aux gagnants de l'annĂ©e dernière, et ils ont renvoyĂ© VRAI, et en mĂŞme temps, ont laissĂ© tomber le journal de ce qui s'est passĂ© lors du dernier Cyber ​​Call. 



Vasily Brit: "Cet Ă©tĂ©, après avoir obtenu mon diplĂ´me de première annĂ©e d'universitĂ©, j'ai jouĂ© Ă  Dota2 avec des amis, puis un lien a Ă©tĂ© jetĂ© vers ma discussion sur" Cyber ​​Challenge ". Je n'avais jamais participĂ© au CTF auparavant et je ne pensais pas qu'il Ă©tait vraiment possible de gagner un prix. prouvez Ă  vous-mĂŞme et Ă  tout le monde que «vous ne pouvez pas simplement aller Ă  Sotchi». 

J'ai résolu des problèmes de la catégorie Crypto, Web, Forensic et PPC. La catégorie la plus difficile était la marche arrière. Presque personne ne l'a résolu, car les missions étaient rédigées par des professionnels et il n'y avait pas assez de temps pour eux. Les phasers honggfuzz et wfuzz et la touche F12 ont aidé à résoudre le Web. Les tâches cryptographiques ont été résolues à l'aide de xortool et de cyberchief. En fait, les utilitaires étaient spécifiés dans les tâches et vous ne pouviez pas perdre de temps à chercher des outils adaptés. La tâche la plus cool s'est avérée être Forensic - un vidage de RAM a été donné et il était nécessaire de savoir ce qui était ouvert dans le navigateur, sur le bureau et d'obtenir toutes les données.



Le voyage Ă  Sotchi valait ces 24 heures frĂ©nĂ©tiques de rĂ©solution de tâches - les enseignants de Sirius ont passĂ© deux semaines Ă  parler de sĂ©curitĂ© de l'information, du Web aux vulnĂ©rabilitĂ©s binaires avec des outils pour les trouver. Ils ont tout racontĂ© de manière très succincte, avec de la pratique et des exemples. Cette annĂ©e, je participerai certainement. " 



Dmitry Zotov: "Ce n'est pas la première fois que je joue à CTF, et les tâches du Cyber ​​Challenge m'ont semblé très intéressantes, mais assez difficiles. J'ai aimé les tâches des catégories Web et Reverse, même si je ne l'ai pas résolue. Grâce à la notation dynamique, j'ai pu le voir pendant la compétition. qui a résolu quelles tâches. Plus il y avait de personnes qui résolvaient la tâche, moins on leur attribuait de points, mais vous pouviez la retrouver et choisir des tâches plus difficiles. C'est donc arrivé avec l'une des tâches de la catégorie Web - à part moi, seules quelques personnes l'ont résolue. Pour résoudre le Web, le plus souvent l'outil le plus utile est la console de développement dans Chrome, et les utilitaires de console les plus simples: curl, wget et python, mais la tâche la plus cool s'est avérée être de la catégorie Reverse - les services Windows ont été donnés, où rien n'était clair à première vue.Je ne pouvais pas le quitter même après la fin de la compétition et fini de résoudre après.



Chez Sirius, nous avons reçu des tonnes d'informations utiles sur la cybersĂ©curitĂ©, allant des diffĂ©rentes normes dans ce domaine Ă  la façon dont les logiciels malveillants fonctionnent dans Windows et Ă  ce qu'il faut regarder pour les dĂ©tecter. J'ai rencontrĂ© des gens sympas et je me suis bien reposĂ©, je vais certainement m'essayer cette annĂ©e et je le conseille Ă  tout le monde. " 



Roman Nikitin: "Je participe rĂ©gulièrement Ă  des compĂ©titions de la FCE, et dans Cyber ​​Challenge, il y avait beaucoup de tâches utiles et nouvelles pour moi que je n'avais jamais rencontrĂ©es auparavant. Ă€ mon avis, les tâches les plus intĂ©ressantes Ă©taient dans les catĂ©gories Reverse, Forensic et Web. En Web il fallait trouver la vulnĂ©rabilitĂ© XXE, et c'Ă©tait l'une des tâches les plus «coĂ»teuses» pour le dĂ©blocage dynamique. La catĂ©gorie la plus difficile Ă©tait InversĂ©: le niveau des tâches Ă©tait beaucoup plus Ă©levĂ© que dans les autres catĂ©gories - c'Ă©tait inattendu et le temps manquait. Mais la chose la plus cool de toute la compĂ©tition Ă©tait, bien sĂ»r, le prix sous la forme d'un voyage Ă  Sirius, et je vais certainement me battre pour cela aussi cette annĂ©e ». 



Ok, où sont les détails?



Sur le serveur Pentagon. Sur notre site Internet . Regardez les tâches de l'année dernière et préparez-vous à un nouveau sujet: la sécurité financière. Les étudiants de la 2e à la 6e année des programmes de licence, de maîtrise et de spécialisation dans toutes les villes de Russie peuvent s'inscrire à Cyber-Call jusqu'au 28 août en suivant le lien . Bonne chance% username%!



All Articles