在70年代,普通的口哨声被用来入侵电话网络;在90年代,Adrian Lamo仅使用浏览器的功能通过互联网入侵了银行。网络安全世界并没有停滞不前,它正在变得越来越复杂,并且仍然是IT领域中最有趣和令人兴奋的领域之一。特别是对于那些已经对研究所感兴趣的人来说,连续第二年获得``Rostelecom''和``Rostelecom-Solar''的机会,可以借此机会在个人比赛``网络挑战''中测试自己的实力。因此,在这些竞赛的举办方式下,去年获奖者的任务和故事的例子被证明是最困难的,以及他们如何去南大“ Sirius”学习有关信息安全的深入课程。
什么需要被黑客入侵?
没什么,但是仍然会很有趣。Cybercall分两个阶段在线运行。主要的乐趣将在开始时:参与者需要在两天内解决密码学,二进制漏洞的搜索和利用,事件调查,编程和网络安全方面的问题。对于驱动器,该站点将具有一个记分板,其中包含实时结果。
任务分为六类:
- 加密-加密信息保护;
- PWN-搜索和利用实际漏洞;
- PPC-安全子系统的编程(专业编程和编码);
- 反向-反向软件开发和研究;
- WEB-检测网络漏洞;
- 法医-调查IT领域的事件。
该类别包含2-6个任务,在每个任务中,您需要发送一个“标志”(一个字符代码集)并为其分配分数。所有比赛标志的格式均相同:CC {[\ x20- \ x7A] +}。示例:CC {w0w_y0u_f0und_7h3_fl46}。该标志用作秘密信息,必须通过在分析的服务中找到漏洞或通过检查提供的文件来提取该信息。发送的标志会自动检查,并且可以在记分板上实时查看执行结果。
在第一阶段之后,得分最高的70个人将接受Rostelecom-Solar专家的Skype采访,他们将测试他们的知识并向NTU Sirius银行金融网络安全教育计划发出邀请。
下载Kali Linux和WireShark?
不仅仅。例如,在“ Web”类别中,为参与者提供了一项服务,其中他们必须通过利用Web漏洞来增加用户特权。在“加密”类别的另一个任务中,有必要解密秘密密钥未知的消息。
在每项作业中,我们都尝试提供建议,使参与者避免做出明显错误的决定。例如,请勿在事先无用的端口扫描仪上使用。同时,我们准备了可能有用的实用程序列表:
- 在“加密”类别中:“加密”,“鼠尾草”,“ xortool”,“开膛手约翰”;
- 在PWN类别中:搜索和利用OpenStego,Steghide,GIMP,Audacity的实际漏洞;
- PPC: Python, Sublime Text, Notepad++, Vim, Emacs;
- Reverse: GDB, IDA Pro, OllyDbg, Hopper, dex2jar, uncompyle6;
- Web: WireShark, tcpdump, netcat, nmap, Burp Suite;
- Forensic: binwalk, ExifTool, Volatility.
可以在链接上查看过去一年的所有任务。它们是根据信息安全专业人员面临的实际威胁和漏洞创建的。对于成功完成这两个阶段的人员,我们与俄罗斯银行一起准备了为期两周的银行业网络安全课程。
有趣的是什么?
我们对去年的获奖者进行了ping操作,他们返回了TRUE,同时删除了上次网络电话事件的日志。
瓦西里·布里特(Vasily Brit:向自己和其他所有人证明“您不能只去索契”。
我解决了Crypto,Web,Forensic和PPC类别的问题。最困难的类别是反向。几乎没有人解决此问题,因为作业是由专业人士草拟的,而且他们没有足够的时间。 honggfuzz和wfuzz移相器以及F12键有助于解决Web问题。使用xortool和Cyberchief解决了加密任务。实际上,这些实用程序是在任务中指定的,您不会浪费时间寻找合适的工具。最酷的任务竟然是取证-给了RAM转储,需要找出在浏览器,台式机上打开的内容并获取所有数据。
索契之行值得花那些疯狂的24小时来完成任务-Sirius的老师花了两个星期的时间讨论信息安全,从网络到带有查找工具的二进制漏洞。他们通过实践和例子非常简洁地讲述了所有事情。我今年一定会参加。”
德米特里·佐托夫(Dmitry Zotov):``这不是我第一次玩CTF,网络挑战赛的任务对我来说似乎很有趣,但是却非常困难。我喜欢Web和反向类别的任务,尽管我没有解决它。由于动态计分,我可以在比赛中看到它。谁解决了哪些任务。更多的人解决了这个任务,得到的分数就减少了,但是您可以跟踪下来并选择更困难的任务。因此,这是Web类别中的一项任务-除了我之外,只有几个人解决了它。对于解决Web而言,最常用的工具通常是Chrome中的开发者控制台以及最简单的控制台实用程序:curl,wget和python,但最酷的任务却来自于Reverse类别-提供了Windows服务,乍一看不清楚。即使比赛结束后我也不能离开他,之后就解决了。
在Sirius,我们获得了大量有关网络安全的有用信息,从该领域的各种标准到Windows中恶意软件的运行方式以及如何检测这些恶意软件,一应俱全。我遇见了很酷的人,休息了很长时间,今年我一定会尝试的,我向所有人推荐。”
罗曼·尼基丁(Roman Nikitin):``我经常参加CTF竞赛,在网络挑战赛中,有很多我从未遇到过的有用的新任务。我认为,最有趣的任务是反向,取证和Web类别。必须找到漏洞XXE,这是动态解锁的最“昂贵”任务之一。最困难的类别是反向:任务级别比其他类别高得多-这是意外的,没有足够的时间。但是,整个比赛中最酷的事情当然是以前往天狼星的形式获得的奖项,我今年也一定会为此而战。