[Информационная безопасность, Хакатоны, CTF] Реверс-инжиниринг программ, поиск веб-уязвимостей и две недели в Сочи: чего ждать студентам от «Кибервызова»
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В 70-х годах для взлома телефонных сетей использовался обыкновенный свисток, в 90-х Адриан Ламо взламывал банки через интернет, используя только возможности браузера. Мир кибербезопасности не стоит на месте, постоянно усложняется и остаётся одной из самых интересных и захватывающих сфер в IT. Специально для тех, кому она интересна уже в институте, «Ростелеком» и «Ростелеком-Солар» уже второй год подряд дают возможность проверить свои силы в индивидуальных соревнованиях «Кибервызов». Итак, под катом — о том, как будут проходить эти соревнования, примеры заданий и рассказы победителей прошлого года о том, что оказалось самым сложным и как они съездили в НТУ «Сириус» на углублённый курс по информационной безопасности.
Что надо будет взломать?
Ничего, но всё равно будет интересно. «Кибервызов» проходит онлайн в два этапа. Основное веселье будет в начале: участникам необходимо в течение двух суток решать задачи по криптографии, поиску и эксплуатации бинарных уязвимостей, расследованию инцидентов, программированию и веб-безопасности. А для драйва на сайте будет табло с результатами в режиме реального времени.
Задачи делятся на шесть категорий:
- Crypto — криптографическая защита информации;
- PWN — поиск и эксплуатация реальных уязвимостей;
- PPC — программирование подсистем безопасности (professional programming and coding);
- Reverse — обратная разработка и исследование программ;
- WEB — обнаружение веб-уязвимостей;
- Forensic — расследование инцидентов в IT-сфере.
Категория состоит из 2–6 заданий, в каждом из которых нужно отправить «флаг» — кодовый набор символов — и получить за него баллы. Все флаги соревнования имеют одинаковый формат: CC{[\x20-\x7A]+}. Пример: CC{w0w_y0u_f0und_7h3_fl46}. Флаг используется в качестве секретной информации, которую нужно извлечь, находя уязвимости в анализируемых сервисах или исследуя предоставленный файл. Отправленные флаги проверяются автоматически, и результаты выполнения можно увидеть в режиме реального времени на табло.
После первого этапа 70 человек, набравших наибольшее количество баллов, попадут на скайп-интервью со специалистами «Ростелеком-Солар», где они проверят знания и раздадут приглашения на образовательную программу по кибербезопасности банковской сферы в НТУ «Сириус».
Качать Kali Linux и WireShark?
Не только. Например, в категории Web участникам был предложен сервис, в котором нужно было повысить привилегии пользователя за счёт эксплуатации web-уязвимости. В другом задании из категории Crypto необходимо было расшифровать сообщение, секретный ключ к которому неизвестен.
В каждом задании мы старались дать рекомендации и избавить участников от очевидно неудачных решений. Например, не использовать сканеры портов там, где это заранее бесполезно. А заодно подготовили список утилит, которые могут пригодиться:
- в категории Crypto: Cryptool, Sage, xortool, John the Ripper;
- в категории PWN: поиск и эксплуатация реальных уязвимостей OpenStego, Steghide, GIMP, Audacity;
- в категории PPC: Python, Sublime Text, Notepad++, Vim, Emacs;
- в категории Reverse: GDB, IDA Pro, OllyDbg, Hopper, dex2jar, uncompyle6;
- в категории Web: WireShark, tcpdump, netcat, nmap, Burp Suite;
- в категории Forensic: binwalk, ExifTool, Volatility.
Все задачи прошлого года можно посмотреть по ссылке. Они создавались на основе реальных угроз и уязвимостей, с которыми сталкиваются специалисты по информационной безопасности. Для тех, кто успешно пройдёт оба этапа, мы вместе с Банком России подготовили двухнедельный курс по кибербезопасности в банковской сфере.
И что, будет интересно?
Мы пинганули победителей прошлого года, и они вернули TRUE, а заодно скинули лог того, что было на прошлом «Кибервызове».
Василий Брит: «Летом, после окончания первого курса университета, я играл с друзьями в Dota2, и тут мне в чат кинули ссылку о „Кибервызове". В CTF я прежде не принимал участия и не верил, что реально можно выиграть приз. Я решил доказать себе и всем остальным, что „нельзя просто так взять и поехать в Сочи".
Я решил задачи из категории Crypto, Web, Forensic и PPC. Самой сложной категорией был Reverse. Его почти никто не решил, потому что задания были составлены профессионалами и времени на них не хватило. Для решения Web помогли фазеры honggfuzz и wfuzz, а также клавиша F12. Задачи Crypto решались с помощью xortool и cyberchief. На самом деле утилиты были указаны в заданиях и можно было не тратить время на поиск подходящих инструментов. Самым крутым оказалось задание по Forensic — был дан дамп оперативной памяти и требовалось узнать, что было открыто в браузере, на рабочем столе, и достать все данные.
Поездка в Сочи стоила тех бешеных 24 часов с решением заданий — преподаватели «Сириуса» две недели рассказывали про информационную безопасность, начиная от Web и заканчивая бинарными уязвимостями с инструментами для их поиска. Рассказали про всё очень лаконично, с практикой и примерами. В этом году определённо буду участвовать».
Дмитрий Зотов: «Я в CTF играю не впервые, и задания „Кибервызова" показались мне очень интересными, но достаточно сложными. Очень понравились задания из категории Web и Reverse, хоть я его и не решил. Благодаря динамическому скорингу можно было видеть в процессе соревнований, кто и какие задания решил. Чем больше людей решали задание, тем меньше за него давали баллов, но ты мог отследить это и выбрать более сложные задания. Так у меня сложилось с одним из заданий категории Web — кроме меня его решила только пара человек. Для решения Web чаще всего самый полезный инструмент — консоль разработчика в Chrome ну и самые простые консольные утилиты: curl, wget и python. Но самым классным оказалось задание из категории Reverse — были даны службы Windows, где с первого взгляда было совершенно ничего не понятно. Я не смог оставить его даже после окончания соревнования и дорешал уже после.
В «Сириусе» нам давали тонны полезной информации по кибербезопасности, начиная от различных стандартов в этой области и заканчивая тем, как действует малварь в Windows и на что смотреть, чтобы её обнаружить. Я познакомился с классными людьми и отлично отдохнул, обязательно попробую свои силы в этом году и всем советую».
Роман Никитин: «Я регулярно участвую в соревнованиях CTF, и в „Кибервызове" для меня было много полезных и новых задач, с которыми прежде я не сталкивался. По моему мнению, самые интересные задания были в категориях Reverse, Forensic и Web. В Web нужно было найти уязвимость XXE, и это была одна из самых „дорогих" задач по динамической разбалловке. Самой сложной категорией стал Reverse: уровень заданий был сильно выше, чем в остальных категориях, — это было неожиданно и времени не хватило. Но самым крутым во всём соревновании был, разумеется, приз в виде поездки в „Сириус", обязательно буду бороться за него и в этом году».
Ок, а где подробности?
На сервере Пентагона. У нас на сайте. Смотри задачи прошлого года и готовься к новой теме — безопасности финансовой сферы. Зарегистрироваться в «Кибервызове» могут студенты 2–6-го курсов бакалавриата, магистратуры, специалитета всех городов России до 28 августа по ссылке. Удачи, %username%!
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность] Непрерывное тестирование безопасности и автоматическая оценка кибер-рисков с помощью платформы Cymulate
- [Информационная безопасность, Платежные системы, Хранение данных, Софт] Системы противодействия банковскому мошенничеству – что необходимо знать о решениях
- [Информационная безопасность, Разработка веб-сайтов, JavaScript] Как npm обеспечивает безопасность
- [Big Data, Машинное обучение] Спасти рядового датасайнтиста. Как работать над компьютерным зрением, чтобы сделать проект и не потерять себя
- [Информационная безопасность, Реверс-инжиниринг, Программирование микроконтроллеров, Производство и разработка электроники] Реверс embedded: трассировка кода через SPI-flash
- [Машинное обучение, Исследования и прогнозы в IT, Конференции, Искусственный интеллект] Чем нам запомнится CVPR 2020. Как конференция про компьютерное зрение переехала в онлайн
- [Машинное обучение, Компьютерное железо, История IT, Искусственный интеллект] Алан Тьюринг, отец современного компьютера (перевод)
- [Информационная безопасность, IT-инфраструктура, Управление проектами] Строим ролевую модель управления доступом. Часть вторая, «строительная»
- [Информационная безопасность] Виртуальный браузер vs удаленный изолированный браузер: лучшее решение для безопасного просмотра (перевод)
- [Информационная безопасность] Один подход к обнаружению веб-ботов, или Как мы использовали машинное обучение для классификации ботов
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_hakatony (Хакатоны), #_ctf, #_rostelekom (ростелеком), #_kiberbezopasnost (кибербезопасность), #_obuchenie (обучение), #_kibervyzov (Кибервызов), #_blog_kompanii_rostelekom (
Блог компании Ростелеком
), #_blog_kompanii_rostelekomsolar (
Блог компании Ростелеком-Солар
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_hakatony (
Хакатоны
), #_ctf
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 09:30
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
В 70-х годах для взлома телефонных сетей использовался обыкновенный свисток, в 90-х Адриан Ламо взламывал банки через интернет, используя только возможности браузера. Мир кибербезопасности не стоит на месте, постоянно усложняется и остаётся одной из самых интересных и захватывающих сфер в IT. Специально для тех, кому она интересна уже в институте, «Ростелеком» и «Ростелеком-Солар» уже второй год подряд дают возможность проверить свои силы в индивидуальных соревнованиях «Кибервызов». Итак, под катом — о том, как будут проходить эти соревнования, примеры заданий и рассказы победителей прошлого года о том, что оказалось самым сложным и как они съездили в НТУ «Сириус» на углублённый курс по информационной безопасности. Что надо будет взломать? Ничего, но всё равно будет интересно. «Кибервызов» проходит онлайн в два этапа. Основное веселье будет в начале: участникам необходимо в течение двух суток решать задачи по криптографии, поиску и эксплуатации бинарных уязвимостей, расследованию инцидентов, программированию и веб-безопасности. А для драйва на сайте будет табло с результатами в режиме реального времени. Задачи делятся на шесть категорий:
Категория состоит из 2–6 заданий, в каждом из которых нужно отправить «флаг» — кодовый набор символов — и получить за него баллы. Все флаги соревнования имеют одинаковый формат: CC{[\x20-\x7A]+}. Пример: CC{w0w_y0u_f0und_7h3_fl46}. Флаг используется в качестве секретной информации, которую нужно извлечь, находя уязвимости в анализируемых сервисах или исследуя предоставленный файл. Отправленные флаги проверяются автоматически, и результаты выполнения можно увидеть в режиме реального времени на табло. После первого этапа 70 человек, набравших наибольшее количество баллов, попадут на скайп-интервью со специалистами «Ростелеком-Солар», где они проверят знания и раздадут приглашения на образовательную программу по кибербезопасности банковской сферы в НТУ «Сириус». Качать Kali Linux и WireShark? Не только. Например, в категории Web участникам был предложен сервис, в котором нужно было повысить привилегии пользователя за счёт эксплуатации web-уязвимости. В другом задании из категории Crypto необходимо было расшифровать сообщение, секретный ключ к которому неизвестен. В каждом задании мы старались дать рекомендации и избавить участников от очевидно неудачных решений. Например, не использовать сканеры портов там, где это заранее бесполезно. А заодно подготовили список утилит, которые могут пригодиться:
Все задачи прошлого года можно посмотреть по ссылке. Они создавались на основе реальных угроз и уязвимостей, с которыми сталкиваются специалисты по информационной безопасности. Для тех, кто успешно пройдёт оба этапа, мы вместе с Банком России подготовили двухнедельный курс по кибербезопасности в банковской сфере. И что, будет интересно? Мы пинганули победителей прошлого года, и они вернули TRUE, а заодно скинули лог того, что было на прошлом «Кибервызове». Василий Брит: «Летом, после окончания первого курса университета, я играл с друзьями в Dota2, и тут мне в чат кинули ссылку о „Кибервызове". В CTF я прежде не принимал участия и не верил, что реально можно выиграть приз. Я решил доказать себе и всем остальным, что „нельзя просто так взять и поехать в Сочи". Я решил задачи из категории Crypto, Web, Forensic и PPC. Самой сложной категорией был Reverse. Его почти никто не решил, потому что задания были составлены профессионалами и времени на них не хватило. Для решения Web помогли фазеры honggfuzz и wfuzz, а также клавиша F12. Задачи Crypto решались с помощью xortool и cyberchief. На самом деле утилиты были указаны в заданиях и можно было не тратить время на поиск подходящих инструментов. Самым крутым оказалось задание по Forensic — был дан дамп оперативной памяти и требовалось узнать, что было открыто в браузере, на рабочем столе, и достать все данные. Поездка в Сочи стоила тех бешеных 24 часов с решением заданий — преподаватели «Сириуса» две недели рассказывали про информационную безопасность, начиная от Web и заканчивая бинарными уязвимостями с инструментами для их поиска. Рассказали про всё очень лаконично, с практикой и примерами. В этом году определённо буду участвовать». Дмитрий Зотов: «Я в CTF играю не впервые, и задания „Кибервызова" показались мне очень интересными, но достаточно сложными. Очень понравились задания из категории Web и Reverse, хоть я его и не решил. Благодаря динамическому скорингу можно было видеть в процессе соревнований, кто и какие задания решил. Чем больше людей решали задание, тем меньше за него давали баллов, но ты мог отследить это и выбрать более сложные задания. Так у меня сложилось с одним из заданий категории Web — кроме меня его решила только пара человек. Для решения Web чаще всего самый полезный инструмент — консоль разработчика в Chrome ну и самые простые консольные утилиты: curl, wget и python. Но самым классным оказалось задание из категории Reverse — были даны службы Windows, где с первого взгляда было совершенно ничего не понятно. Я не смог оставить его даже после окончания соревнования и дорешал уже после. В «Сириусе» нам давали тонны полезной информации по кибербезопасности, начиная от различных стандартов в этой области и заканчивая тем, как действует малварь в Windows и на что смотреть, чтобы её обнаружить. Я познакомился с классными людьми и отлично отдохнул, обязательно попробую свои силы в этом году и всем советую». Роман Никитин: «Я регулярно участвую в соревнованиях CTF, и в „Кибервызове" для меня было много полезных и новых задач, с которыми прежде я не сталкивался. По моему мнению, самые интересные задания были в категориях Reverse, Forensic и Web. В Web нужно было найти уязвимость XXE, и это была одна из самых „дорогих" задач по динамической разбалловке. Самой сложной категорией стал Reverse: уровень заданий был сильно выше, чем в остальных категориях, — это было неожиданно и времени не хватило. Но самым крутым во всём соревновании был, разумеется, приз в виде поездки в „Сириус", обязательно буду бороться за него и в этом году». Ок, а где подробности? На сервере Пентагона. У нас на сайте. Смотри задачи прошлого года и готовься к новой теме — безопасности финансовой сферы. Зарегистрироваться в «Кибервызове» могут студенты 2–6-го курсов бакалавриата, магистратуры, специалитета всех городов России до 28 августа по ссылке. Удачи, %username%! =========== Источник: habr.com =========== Похожие новости:
Блог компании Ростелеком ), #_blog_kompanii_rostelekomsolar ( Блог компании Ростелеком-Солар ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_hakatony ( Хакатоны ), #_ctf |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 09:30
Часовой пояс: UTC + 5