Engenharia reversa de programas, pesquisa de vulnerabilidades da web e duas semanas em Sochi: o que os alunos podem esperar da Cybervyzov





Nos anos 70, um apito comum foi usado para hackear redes telefônicas, nos anos 90, Adrian Lamo hackeava bancos pela Internet, usando apenas os recursos de um navegador. O mundo da cibersegurança não pára, está cada vez mais complexo e continua sendo uma das áreas mais interessantes e estimulantes da TI. Principalmente para quem já está interessado no instituto, "Rostelecom" e "Rostelecom-Solar" pelo segundo ano consecutivo dão a oportunidade de testar a sua força nas competições individuais " Cyber ​​Challenges ". Então, no recorte - sobre como serão realizadas essas competições, exemplos de tarefas e histórias dos vencedores do ano passado sobre o que acabou sendo o mais difícil e como eles foram à NTU "Sirius" para um curso aprofundado sobre segurança da informação.



O que precisa ser hackeado?



Nada, mas ainda assim será interessante. Cybercall funciona online em duas fases. A principal diversão será no início: os participantes precisam resolver problemas de criptografia, busca e exploração de vulnerabilidades binárias, investigação de incidentes, programação e segurança web em dois dias. E para a movimentação, o site terá um placar com os resultados em tempo real. 



As tarefas são divididas em seis categorias:



  • Proteção de informações criptográficas;

  • PWN - pesquisa e exploração de vulnerabilidades reais;

  • PPC - programação de subsistemas de segurança (programação e codificação profissional);

  • Reverso - desenvolvimento e pesquisa reversa de software;

  • WEB - detecção de vulnerabilidades da web;

  • Forense - Investigação de incidentes na área de TI.



A categoria consiste de 2 a 6 tarefas, em cada uma das quais você precisa enviar uma "bandeira" - um conjunto de códigos de caracteres - e obter pontos por isso. Todas as bandeiras de competição têm o mesmo formato: CC {[\ x20- \ x7A] +}. Exemplo: CC {w0w_y0u_f0und_7h3_fl46}. O sinalizador é usado como informação secreta que deve ser extraída localizando vulnerabilidades nos serviços analisados ​​ou examinando o arquivo fornecido. As sinalizações enviadas são verificadas automaticamente e os resultados da execução podem ser vistos em tempo real no placar.



Após a primeira etapa, 70 pessoas com maior número de pontos terão uma entrevista via Skype com especialistas da Rostelecom-Solar, onde testarão seus conhecimentos e distribuirão convites para um programa educacional sobre segurança cibernética bancária na NTU Sirius. 



Baixar Kali Linux e WireShark?



Não somente. Por exemplo, na categoria Web, os participantes receberam um serviço no qual eles deveriam aumentar os privilégios do usuário explorando uma vulnerabilidade da web. Em outra tarefa da categoria Crypto, foi necessário descriptografar uma mensagem cuja chave secreta é desconhecida. 



Em cada tarefa, tentamos fornecer recomendações e salvar os participantes de decisões obviamente ruins. Por exemplo, não use scanners de porta onde é inútil antecipadamente. E ao mesmo tempo preparamos uma lista de utilitários que podem ser úteis:





Todas as tarefas do ano passado podem ser visualizadas no link . Eles foram criados com base em ameaças e vulnerabilidades reais enfrentadas pelos profissionais de segurança da informação. Para aqueles que concluíram com êxito as duas etapas, nós, junto com o Banco da Rússia, preparamos um curso de duas semanas sobre segurança cibernética no setor bancário.



E o que será interessante?



Nós rastreamos os vencedores do ano passado, e eles retornaram VERDADEIRO, e ao mesmo tempo derrubamos o registro do que aconteceu na última Cyber ​​Call. 



Vasily Brit: “No verão, depois de me formar no primeiro ano da universidade, joguei Dota2 com amigos e, em seguida, um link foi lançado para meu bate-papo sobre“ Cyber ​​Challenge. ”Eu não tinha participado do CTF antes e não acreditava que fosse realmente possível ganhar um prêmio. prove a si mesmo e a todos que "você não pode simplesmente ir para Sochi". 

Resolvi problemas da categoria Crypto, Web, Forensic e PPC. A categoria mais difícil era Reverse. Quase ninguém resolveu, porque os trabalhos eram feitos por profissionais e não havia tempo para eles. Os phasers honggfuzz e wfuzz e a tecla F12 ajudaram a resolver a web. As tarefas criptográficas foram resolvidas usando xortool e cyberchief. Na verdade, os utilitários foram especificados nas tarefas e você não poderia perder tempo procurando as ferramentas adequadas. A tarefa mais legal acabou sendo Forense - um dump de RAM foi fornecido e foi necessário descobrir o que estava aberto no navegador, na área de trabalho e obter todos os dados.



A viagem a Sochi valeu aquelas 24 horas frenéticas de resolver tarefas - os professores da Sirius passaram duas semanas falando sobre segurança da informação, desde a Web até vulnerabilidades binárias com ferramentas para encontrá-las. Eles contaram tudo de forma muito sucinta, com prática e exemplos. Este ano com certeza vou participar. " 



Dmitry Zotov: "Esta não é minha primeira vez jogando CTF, e as tarefas do Cyber ​​Challenge me pareceram muito interessantes, mas bastante difíceis. Gostei das tarefas das categorias Web e Reversa, embora não tenha resolvido. Graças à pontuação dinâmica, pude ver isso durante a competição. quem resolveu quais tarefas. Quanto mais pessoas resolveram a tarefa, menos pontos foram dados por ela, mas você pode rastreá-la e escolher tarefas mais difíceis. Isso aconteceu com uma das tarefas na categoria Web - além de mim, apenas algumas pessoas resolveram. Para resolver a Web, na maioria das vezes a ferramenta mais útil é o console do desenvolvedor no Chrome e os utilitários de console mais simples: curl, wget e python, mas a tarefa mais legal acabou sendo da categoria Reverse - serviços do Windows foram fornecidos, onde nada estava claro à primeira vista.Não consegui abandoná-lo mesmo após o fim da competição e acabei resolvendo depois.



No Sirius, recebemos toneladas de informações úteis sobre segurança cibernética, que vão desde os vários padrões nesta área até como o malware opera no Windows e o que observar para detectá-lo. Conheci pessoas legais e tive um ótimo descanso, com certeza vou tentar a sorte este ano e aconselho a todos. " 



Roman Nikitin: "Eu participo regularmente de competições CTF, e no Cyber ​​Challenge havia muitas tarefas úteis e novas para mim que eu não tinha encontrado antes. Em minha opinião, as tarefas mais interessantes estavam nas categorias Reversa, Forense e Web. Na Web era necessário encontrar a vulnerabilidade XXE, e esta era uma das tarefas mais "caras" para o desbloqueio dinâmico. A categoria mais difícil foi Inverter: o nível das tarefas era muito mais alto do que nas outras categorias - era inesperado e não havia tempo suficiente. Mas o mais legal de toda a competição foi, claro, o prêmio em forma de viagem para Sirius, com certeza vou lutar por isso este ano também. 



Ok, onde estão os detalhes?



No servidor do Pentágono. Em nosso site . Observe as tarefas do ano passado e prepare-se para um novo tema - segurança financeira. Alunos do 2º ao 6º ano dos programas de bacharelado, mestrado e especialização em todas as cidades da Rússia podem se inscrever no Cyber-Call até 28 de agosto, clicando no link . Boa sorte,% username%!



All Articles