En los 70, se usó un silbato ordinario para piratear redes telefónicas; en los 90, Adrian Lamo pirateó bancos a través de Internet, utilizando solo las capacidades de un navegador. El mundo de la ciberseguridad no se detiene, se vuelve cada vez más complejo y sigue siendo una de las áreas más interesantes y emocionantes de TI. Especialmente para aquellos que ya están interesados en él en el instituto, "Rostelecom" y "Rostelecom-Solar" por segundo año consecutivo dan la oportunidad de probar su fuerza en las competiciones individuales " Cyber Challenges ". Entonces, debajo del corte, sobre cómo se llevarán a cabo estas competencias, ejemplos de tareas e historias de los ganadores del año pasado sobre lo que resultó ser el más difícil y cómo fueron a NTU "Sirius" para un curso en profundidad sobre seguridad de la información.
¿Qué se necesitará piratear?
Nada, pero seguirá siendo interesante. Cybercall se ejecuta en línea en dos etapas. La principal diversión será al principio: los participantes deberán resolver problemas en criptografía, búsqueda y explotación de vulnerabilidades binarias, investigación de incidentes, programación y seguridad web en dos días. Y para el drive en el sitio habrá un marcador con los resultados en tiempo real.
Las tareas se dividen en seis categorías:
- Protección de la información criptográfica;
- PWN: búsqueda y explotación de vulnerabilidades reales;
- PPC - programación de subsistemas de seguridad (programación y codificación profesional);
- Investigación y desarrollo de software inverso - inverso;
- WEB: detección de vulnerabilidades web;
- Forense - Investigación de incidentes en el campo de las TI.
La categoría consta de 2-6 tareas, en cada una de las cuales debe enviar una "bandera" (un conjunto de códigos de caracteres) y obtener puntos por ello. Todas las banderas de competición tienen el mismo formato: CC {[\ x20- \ x7A] +}. Ejemplo: CC {w0w_y0u_f0und_7h3_fl46}. La bandera se utiliza como información secreta que debe extraerse encontrando vulnerabilidades en los servicios analizados o examinando el archivo proporcionado. Las banderas enviadas se comprueban automáticamente y los resultados de la ejecución se pueden ver en tiempo real en el marcador.
Después de la primera etapa, las 70 personas que hayan obtenido la mayor cantidad de puntos irán a una entrevista por Skype con especialistas de Rostelecom-Solar, donde pondrán a prueba sus conocimientos y distribuirán invitaciones a un programa educativo sobre ciberseguridad bancaria en NTU Sirius.
¿Descargar Kali Linux y WireShark?
No solo. Por ejemplo, en la categoría Web, se ofreció a los participantes un servicio en el que debían aumentar los privilegios de los usuarios aprovechando una vulnerabilidad de la Web. En otra tarea de la categoría Crypto, fue necesario descifrar un mensaje para el que se desconoce la clave secreta.
En cada tarea, intentamos brindar recomendaciones y evitar que los participantes tomaran decisiones obviamente malas. Por ejemplo, no utilice escáneres de puertos si no es útil de antemano. Y al mismo tiempo preparamos una lista de utilidades que pueden ser útiles:
- en la categoría Crypto: Cryptool, Sage, xortool, John the Ripper;
- en la categoría PWN: búsqueda y explotación de vulnerabilidades reales de OpenStego, Steghide, GIMP , Audacity ;
- PPC: Python, Sublime Text, Notepad++, Vim, Emacs;
- Reverse: GDB, IDA Pro, OllyDbg, Hopper, dex2jar, uncompyle6;
- Web: WireShark, tcpdump, netcat, nmap, Burp Suite;
- Forensic: binwalk, ExifTool, Volatility.
Todas las tareas del año pasado se pueden ver en el enlace . Fueron creados sobre la base de amenazas y vulnerabilidades reales que enfrentan los profesionales de la seguridad de la información. Para aquellos que completen con éxito ambas etapas, junto con el Banco de Rusia, preparamos un curso de dos semanas sobre ciberseguridad en el sector bancario.
¿Y qué será interesante?
Hicimos ping a los ganadores del año pasado, y respondieron VERDADERO, y al mismo tiempo dejaron caer el registro de lo que sucedió en la última Cyber Call.
Vasily Brit: "En el verano, después de graduarme del primer año de la universidad, jugué Dota2 con amigos, y luego se lanzó un enlace a mi chat sobre" Cyber Challenge ". No había participado en CTF antes y no creía que fuera realmente posible ganar un premio. demuéstrese a sí mismo ya todos los demás que "no se puede ir a Sochi".
Resolví problemas de la categoría Crypto, Web, Forensic y PPC. La categoría más difícil fue la inversa. Casi nadie lo solucionó, porque los encargos los hacían profesionales y no había tiempo suficiente para ellos. Los phasers honggfuzz y wfuzz y la tecla F12 ayudaron a resolver la Web. Las tareas criptográficas se resolvieron utilizando xortool y cyberchief. De hecho, las utilidades estaban especificadas en las tareas y no se podía perder el tiempo buscando las herramientas adecuadas. La tarea más interesante resultó ser forense: se le dio un volcado de RAM y se requirió averiguar qué estaba abierto en el navegador, en el escritorio y obtener todos los datos.
El viaje a Sochi valió la pena esas 24 horas frenéticas de resolución de tareas: los profesores de Sirius pasaron dos semanas hablando sobre seguridad de la información, desde la Web hasta vulnerabilidades binarias con herramientas para encontrarlas. Hablaron de todo de manera muy sucinta, con práctica y ejemplos. Definitivamente participaré este año ".
Dmitry Zotov: "Esta no es la primera vez que juego CTF, y las tareas de Cyber Challenge me parecieron muy interesantes, pero bastante difíciles. Me gustaron las tareas de las categorías Web y Reverse, aunque no lo resolví. Gracias a la puntuación dinámica, pude verlo durante la competencia. quién resolvió qué tareas. Cuantas más personas resolvieron la tarea, menos puntos se dieron por ella, pero se podía rastrear y elegir tareas más difíciles. Así sucedió con una de las tareas en la categoría Web; además de mí, solo un par de personas la resolvieron. Para resolver la Web, la herramienta más útil a menudo es la consola de desarrollador en Chrome y las utilidades de consola más simples: curl, wget y python, pero la tarea más interesante resultó ser de la categoría Reverse: se proporcionaron servicios de Windows, donde nada estaba claro a primera vista.No pude dejarlo incluso después del final de la competencia y terminé de resolver después.
En Sirius, recibimos toneladas de información útil sobre ciberseguridad, desde los diversos estándares en esta área hasta cómo funciona el malware en Windows y qué mirar para detectarlo. Conocí gente genial y tuve un gran descanso, definitivamente probaré suerte este año y se lo aconsejo a todos ".
Roman Nikitin: "Participo regularmente en concursos CTF, y en Cyber Challenge hubo muchas tareas nuevas y útiles para mí que no había encontrado antes. En mi opinión, las tareas más interesantes estaban en las categorías Reverse, Forensic y Web. En Web era necesario encontrar la vulnerabilidad XXE, y esta era una de las tareas más "caras" para el desbloqueo dinámico. La categoría más difícil fue Reversa: el nivel de tareas fue mucho más alto que en otras categorías, fue inesperado y no hubo suficiente tiempo. Pero lo mejor de toda la competencia fue, por supuesto, el premio en forma de un viaje a Sirius, definitivamente lucharé por él este año también.