اخبار > آشنایی با مسابقهی بینالمللی امنیت سایبری تیم ASIS
چاپ ارسال به دوست
آشنایی با مسابقهی بینالمللی امنیت سایبری تیم ASIS
چند سالی است که مسابقاتی تحت عنوان مسابقات امنیت سایبری، هک و نفوذ، یا (به انگلیسی CTF۱) در سطح کشوری، منطقهای و بینالمللی برگزار میگردد. هدف از این مسابقات که طرفداران و علاقهمندان بسیاری دارد، فرهنگسازی در زمینهی امنیت فضای تبادل اطلاعات، آگاهیرسانی در زمینه مخاطرات موجود در فضای اینترنت و شناخت نقاط ضعف و قوت سامانهها و نرمافزارهای امنیتی، سامانههای عامل و نرمافزارها میباشد. محورهای اين مسابقات را میتوان در موارد زیر خلاصه نمود:
مسائل و اخبار عمومی امنيتی
آزمونهای نفوذ در وب و پایگاههای داده
شکست الگوريتمها و پروتکلهای رمزنگاری
ارتقای امنیت سامانهها و نرمافزارها
چالشهای مرتبط با جرمشناسی رایانهای
پرچم چیست؟ در واقع به هدفی که مشخص میشود، «پرچم» می گوییم. مثلا ممکن است که پرچم، «رشتهای کارکتری» در دایرکتوری ریشه باشد. مسابقات CTFF مثل حل و ساخت پازل است. پازلی که کامل شدن آن نیاز به دانش اعضای شرکت کننده دارد.
نفوذگری در وب
(Web Hacking)
با توجه به افزایش استفاده از برنامههای کاربردی تحت وب و وجود آسیبپذیریهای متعدد و روزافزون در آنها، تامین امنیت این برنامهها از اهمیت ویژهای برخوردار است. بدون شناخت روشها و تکنیکهای نفوذ به برنامههای کاربردی وب، فراهم کردن امنیت در سطح قابل قبول امکانپذیر نخواهد بود. با توجه به ساختار معمول برنامههای وب، عوامل متعددی از جمله، کارگزار وب، پایگاه داده، ورودیهای کاربر، مرورگر کاربر، مدیریت نشست و دسترسی کاربران، کوکیها و عوامل بسیار دیگری، در امنیت این نرمافزارها تاثیرگذار هستند که عدم آشنایی با آنها، همچون فقدان تجربه و مهارت در زبانهای برنامهنویسی وب، تهدیدی اساسی محسوب میشود. هدف این بخش از مسابقه، سنجش مهارت و تخصص شرکتکنندگان در اصول امنیت و نفوذ به برنامههای کاربردی وب میباشد.
اکسپلویتنویسی (Exploiting)
متخصصین امنیت فناوری اطلاعات، از کشف و تحلیل آسیبپذیری و حفرههای امنیتی در نرمافزارها و نوشتن کدی برای سوءاستفاده از این آسیبپذیریها، به عنوان اکسپلویتنویسی (exploiting) یاد میکنند. فرآیند کشف آسیبپذیری و تحلیل آنها در اغلب موارد کار بسیار تخصصی و در عین حال زمانبری است. تخصصها و مهارتهای مورد نیاز برای این کار، بسته به مورد متفاوت است اما درک عمیق از واحدهای مختلف سیستمعاملها مانند مدیریت حافظه، مدیریت فرآیندها و … و همچنین نحوهی کار و پیادهسازی پروتکلهای شبکه مانند TCP/IP، HTTP و … اولین و اساسیترین پیشنیاز برای وارد شدن به این بحث است. در کنار این موارد بهرهمندی از سطح خبرگی مناسب در یک زبان برنامهنویسی برای پیادهسازیهای مورد نیاز، یک ضرورت به حساب میآید.
کدنویسی امن
(Secure Coding)
برنامههای کابردی تولید شده توسط برنامه نویسان، عموما مشکلات امنیتی و آسیبپذیریهای فراوانی دارند که به مرور زمان توسط خبرگان حوزهی امنیت کشف و افشا میشوند. این موضوع عمدتا به دلیل آشنا نبودن برنامهنویسان با راهبردهای کدنویسی امن و نحوهی تولید محصولات نرمافزاری امن بروز میکند. زبانهای مختلف برنامهنویسی راهبردهای متفاوتی برای کدنویسی امن و جلوگیری از بروز آسیبپذیری در نرمافزار تولید شده دارند زیرا هر یک دغدغهها متفاوتی در این زمینه دارند. برای مثال مبحث buffer overflow در زبان برنامهنویسی C یکی از اصلیترین مشکلات است که در برخی زبانها اصلا موضوعیت ندارد.
جرمشناسی رایانهای
(Forensics)
علم جرمشناسی رایانهای(به عنوان شاخهای از جرمشناسی دیجیتال) به شواهد و مدارک قانونی موجود در رایانهها و محیطهای دیجیتالی ذخیرهسازی اطلاعات میپردازد. هدف جرمشناسی دیجیتال ،ارائه توضیح پیرامون وضعیت فعلی یک ابزار دیجیتالی مثل سیستم کامپیوتر، رسانه ذخیرهسازی (مثل دیسک سخت یا CD-ROM) یک سند الکترونیکی(مثل یک پیام ایمیل یا تصویر JPEG) می باشد. گستره فعالیت یک تحلیل جرمشناسی، از بازیابی اطلاعات ساده تا بازسازی یک سری رویداد را دربرمیگیرد. سنجشهای خاصی برای انجام تحقیقات جرمشناسی وجود دارد که نتایج آن میتواند در دادگاه مورد استفاده قرار گیرد. هدف تکنیکهای جرمشناسی رایانهای، جستجو، حفظ و تحلیل اطلاعات موجود و لاگها بر روی سیستمهای کامپیوتری به منظور یافتن شواهد و مدارک احتمالی برای یک دادرسی است. بسیاری از تکنیکهایی که کارآگاهان از آنها در تحقیقات صحنهی جرم استفاده میکنند دارای المثنای دیجیتالی هستند، اما تحقیقات کامپیوتری دارای برخی جنبههای منحصربهفرد نیز هست. برای مثال، تنها باز کردن یک فایل کامپیوتری باعث تغییر آن میشود (کامپیوتر، زمان و تاریخ دسترسی به فایل را بر روی خود آن ثبت میکند)
پنهاننگاری
(Steganography)
در دنیای امروز با توجه به امکان انجام اکثر عملیات از راه دور و از طریق شبکههای جهانی و محلی، همچنین لزوم عدم تمرکز همه دادهها در یک محل و نیاز به دستیابی به برخی از اطلاعات راه دور و در عین حال حفظ امنیت اطلاعات در زمان ارسال و دریافت، مسئله بسیار مهم، حفاظت اطلاعات از دسترسیهای غیرمجاز است. پنهاننگاری اطلاعات (Steganography) روشی است که میتوان اطلاعات مورد نظر را در قالب یک عامل پوشاننده و با بیشترین میزان توجه به امنیت، بین نقاط موردنظر جابجا نمود، به گونهای که حتی اگر در طی مسیر، اطلاعات از طریق افراد غیرمجاز مورد دسترسی قرار گرفت امکان دستیابی به دادههای پنهان شده وجود نداشته باشد. در این رابطه تصویر به عنوان یک عامل رایج پوشاننده بوده که میتوان اطلاعات و پیغامهای مورد نظر را تحت قالب آن ارسال نمود.
شکست الگوریتمها و پروتکلهای رمزنگاری
(Cryptography)
علم رمزنگاری به روشهای انتقال یا ذخیرهی اطلاعات به صورت امن میپردازد. (حتی اگر مسیر انتقال اطلاعات و کانالهای ارتباطی یا محل ذخیره اطلاعات ناامن باشند). رمزنگاری استفاده از تکنیکهای ریاضی، برای برقراری امنیت اطلاعات است. به عبارت دیگر رمزنگاری دانش تغییر دادن متن پیام یا اطلاعات با استفاده از یک الگوریتم رمز، بر اساس کلید رمز میباشد، به صورتی که تنها شخصی که از کلید و الگوریتم مطلع است قادر به استخراج اطلاعات اصلی از اطلاعات رمز شده باشد. در مقابل شخصی که از یک یا هیچ کدام از آنها اطلاع ندارد، نمیتواند به اطلاعات دسترسی پیدا کند. دانش رمزنگاری بر پایه مقدمات بسیاری از قبیل تئوری اطلاعات، نظریه اعداد و آمار بنا شدهاست و امروزه به طور خاص در علم مخابرات مورد بررسی و استفاده قرار میگیرد. معادل رمزنگاری در زبان انگلیسی کلمه Cryptography است، که برگرفته از لغات یونانی kryptos به مفهوم «محرمانه» و graphien به معنای «نوشتن» است. در این بخش با توجه به الگوریتمها وتکنیکهای مختلف رمزنگاری و رمزگشایی و تجزیه و تحلیل رمز الگو، توانایی شرکتکنندگان در شکستن مکانیزم های رمز نگاری، مورد ارزیابی قرار میگیرد.
نفوذگری در شبکه و سرویسها
(Network Infra/Service Hacking)
از مهمترین معیارهای سنجش امنیت، زیرساخت شبکه و سرویسهای در حال فعالیت در آن است که هر سازمان و مجموعهای، آن را شامل میشود. در نتیجه مهارت در کشف آسیبپذیریها، امنسازی یا سوء استفاده از آنها در شبکههای کامپیوتری و تجهیزات و سرویسهای درحال استفاده در آن، میتواند از مهمترین چالشها در زمینهی امنیت بهحساب آید. هدف از این بخش از مسابقه، سنجش مهارت و تخصص شرکت کنندگان در زمینهی امنیت زیرساخت شبکه و سرویسها و سیستمهای عامل در حال کار در شبکه است.
در همین راستا، سازمان انرژی اتمی جمهوری اسلامی ایران در نظر دارد مسابقهی امنیت سایبری را با هدف ارتقای فرهنگ امنیت سایبری، به صورت برخط (آنلاین)، طی روزهای ۳۱۱ فروردین تا دوم اردیبهشت-ماه برگزار نماید. بدینوسیله از کلیه علاقهمندان دعوت می شود در این مسابقه شرکت نمایند. علاقهمندان جهت شرکت در مسابقه، میتوانند از روز شنبه ۲۴ فروردین ساعت ۱۰ صبح به وبگاه مسابقه مراجعه کرده و ثبتنام نمایند. شرکت در مسابقه برای عموم علاقهمندان آزاد است؛ همچنین در پایان مسابقه، به افراد و یا گروههایی که بیشترین امتیاز را آورده باشند، جوایز ارزندهای اهدا خواهد شد. شرکتکنندگان درصورت نیاز به کسب اطلاعات بیشتر می توانند با رایانامهی زیر
مکاتبه نمایند.
٠٩:٢٧ - دوشنبه ١ خرداد ١٣٩٦ / شماره : ٢٧٢٨ / تعداد نمایش : ١٦٦٥