Pada tahun 70-an, peluit biasa digunakan untuk meretas jaringan telepon; pada tahun 90-an, Adrian Lamo meretas bank melalui Internet, hanya menggunakan kemampuan browser. Dunia keamanan siber tidak berhenti, terus menjadi lebih kompleks dan tetap menjadi salah satu bidang yang paling menarik dan mengasyikkan di bidang TI. Apalagi bagi mereka yang sudah tertarik sudah di institut, "Rostelecom" dan "Rostelecom-Solar" untuk tahun kedua berturut-turut memberikan kesempatan untuk menguji kekuatan mereka dalam kompetisi individu " Tantangan Cyber ". Jadi, di bawah potongan - tentang bagaimana kompetisi ini akan diadakan, contoh tugas dan cerita pemenang tahun lalu tentang apa yang ternyata paling sulit dan bagaimana mereka pergi ke NTU "Sirius" untuk kursus mendalam tentang keamanan informasi.
Apa yang perlu diretas?
Tidak ada, tapi itu akan tetap menarik. Cybercall berjalan online dalam dua tahap. Kesenangan utama akan di awal: para peserta perlu memecahkan masalah dalam kriptografi, pencarian dan eksploitasi kerentanan biner, investigasi insiden, pemrograman dan keamanan web dalam dua hari. Dan untuk drive, situs tersebut akan memiliki papan skor dengan hasil secara real time.
Tugas dibagi menjadi enam kategori:
- Crypto - perlindungan informasi kriptografi;
- PWN - pencarian dan eksploitasi kerentanan nyata;
- PPC - pemrograman subsistem keamanan (pemrograman profesional dan pengkodean);
- Reverse - membalikkan penelitian dan pengembangan perangkat lunak;
- WEB - deteksi kerentanan web;
- Forensik - Investigasi insiden di bidang IT.
Kategori ini terdiri dari 2-6 tugas, di mana masing-masing Anda perlu mengirim "bendera" - serangkaian kode karakter - dan mendapatkan poin untuk itu. Semua bendera kompetisi memiliki format yang sama: CC {[\ x20- \ x7A] +}. Contoh: CC {w0w_y0u_f0und_7h3_fl46}. Bendera digunakan sebagai informasi rahasia yang harus diekstraksi dengan menemukan kerentanan dalam layanan yang dianalisis atau dengan memeriksa file yang disediakan. Bendera yang dikirim akan diperiksa secara otomatis dan hasil eksekusi dapat dilihat secara real time di papan skor.
Setelah tahap pertama, 70 orang yang mendapatkan poin terbanyak akan mengikuti wawancara Skype dengan spesialis Rostelecom-Solar, di mana mereka akan menguji pengetahuan dan mendistribusikan undangan ke program pendidikan tentang keamanan siber perbankan di NTU Sirius.
Unduh Kali Linux dan WireShark?
Tidak hanya. Misalnya, dalam kategori Web, para peserta ditawari layanan di mana mereka harus meningkatkan hak pengguna dengan memanfaatkan kerentanan web. Dalam tugas lain dari kategori Crypto, itu perlu untuk mendekripsi pesan yang kunci rahasianya tidak diketahui.
Dalam setiap tugas, kami mencoba memberikan rekomendasi dan menyelamatkan peserta dari keputusan yang jelas buruk. Misalnya, jangan gunakan pemindai port yang sebelumnya tidak berguna. Dan pada saat yang sama kami menyiapkan daftar utilitas yang mungkin berguna:
- dalam kategori Crypto: Cryptool, Sage, xortool, John the Ripper;
- dalam kategori PWN: pencarian dan eksploitasi kerentanan nyata OpenStego, Steghide, GIMP , Audacity ;
- PPC: Python, Sublime Text, Notepad++, Vim, Emacs;
- Reverse: GDB, IDA Pro, OllyDbg, Hopper, dex2jar, uncompyle6;
- Web: WireShark, tcpdump, netcat, nmap, Burp Suite;
- Forensic: binwalk, ExifTool, Volatility.
Semua tugas tahun lalu dapat dilihat di tautan . Mereka diciptakan atas dasar ancaman dan kerentanan nyata yang dihadapi oleh para profesional keamanan informasi. Bagi yang berhasil menyelesaikan kedua tahapan tersebut, kami bersama dengan Bank of Russia menyiapkan kursus dua minggu tentang cybersecurity di sektor perbankan.
Dan apa yang menarik?
Kami melakukan ping ke pemenang tahun lalu, dan mereka mengembalikan TRUE, dan pada saat yang sama menghapus catatan tentang apa yang terjadi pada Panggilan Cyber terakhir.
Vasily Brit: “Di musim panas, setelah lulus dari tahun pertama universitas, saya bermain Dota2 dengan teman-teman, dan kemudian tautan dilemparkan ke obrolan saya tentang“ Tantangan Cyber. ”Saya belum pernah mengambil bagian dalam CTF sebelumnya dan tidak percaya bahwa memenangkan hadiah adalah benar-benar mungkin. buktikan kepada diri sendiri dan orang lain bahwa "Anda tidak bisa pergi ke Sochi begitu saja."
Saya memecahkan masalah dari kategori Crypto, Web, Forensic dan PPC. Kategori tersulit adalah Reverse. Hampir tidak ada yang menyelesaikannya, karena penugasan dibuat oleh para profesional dan tidak ada cukup waktu untuk mereka. Phaser honggfuzz dan wfuzz serta tombol F12 membantu menyelesaikan Web. Tugas Crypto diselesaikan menggunakan xortool dan cyberchief. Faktanya, utilitas ditentukan dalam tugas dan Anda tidak dapat membuang waktu mencari alat yang sesuai. Tugas paling keren ternyata adalah Forensik - sejumlah RAM diberikan dan diperlukan untuk mencari tahu apa yang terbuka di browser, di desktop, dan mendapatkan semua data.
Perjalanan ke Sochi sepadan dengan kesibukan selama 24 jam dengan menyelesaikan tugas - guru Sirius menghabiskan dua minggu berbicara tentang keamanan informasi, dari Web hingga kerentanan biner dengan alat untuk menemukannya. Mereka menceritakan tentang segala hal dengan sangat ringkas, dengan latihan dan contoh. Tahun ini saya pasti akan berpartisipasi. "
Dmitry Zotov: "Ini bukan pertama kalinya saya bermain CTF, dan tugas Cyber Challenge menurut saya sangat menarik, tetapi cukup sulit. Saya sangat menyukai tugas dari kategori Web dan Terbalik, meskipun saya tidak menyelesaikannya. Berkat penilaian yang dinamis, saya dapat melihatnya selama kompetisi. yang menyelesaikan tugas mana. Semakin banyak orang yang menyelesaikan tugas, semakin sedikit poin yang diberikan untuk itu, tetapi Anda dapat melacaknya dan memilih tugas yang lebih sulit. Jadi itu terjadi dengan salah satu tugas di kategori Web - selain saya, hanya beberapa orang yang menyelesaikannya. Untuk menyelesaikan Web, alat yang paling sering digunakan adalah konsol pengembang di Chrome, dan utilitas konsol paling sederhana: curl, wget, dan python, tetapi tugas paling keren ternyata berasal dari kategori Terbalik - layanan Windows diberikan, di mana tidak ada yang jelas pada pandangan pertama.Saya tidak bisa meninggalkannya bahkan setelah kompetisi berakhir dan menyelesaikan penyelesaian setelahnya.
Di Sirius, kami diberi banyak informasi berguna tentang keamanan siber, mulai dari berbagai standar di bidang ini hingga bagaimana malware beroperasi di Windows dan apa yang harus dilihat untuk mendeteksinya. Saya bertemu orang-orang keren dan beristirahat dengan baik, saya pasti akan mencoba tangan saya tahun ini dan saya merekomendasikan kepada semua orang. "
Roman Nikitin: "Saya rutin mengikuti kompetisi KKP, dan di Cyber Challenge ada banyak tugas berguna dan baru untuk saya yang belum pernah saya temui sebelumnya. Menurut saya, tugas yang paling menarik ada di kategori Reverse, Forensik dan Web. Di Web itu perlu untuk menemukan kerentanan XXE, dan ini adalah salah satu tugas yang paling "mahal" untuk membuka blokir dinamis. Kategori yang paling sulit adalah Terbalik: tingkat tugas jauh lebih tinggi daripada kategori lain - tidak terduga dan tidak ada cukup waktu. Tapi yang paling keren dari keseluruhan kompetisi adalah, tentu saja hadiahnya berupa trip ke Sirius, dan saya pasti akan memperjuangkannya tahun ini juga ”.