چاپ        ارسال به دوست

آشنایی با مسابقه‌ی بین‌المللی امنیت سایبری تیم ASIS

چند سالی است که مسابقاتی تحت عنوان مسابقات امنیت سایبری، هک و نفوذ، یا  (به انگلیسی CTF۱) در سطح کشوری، منطقه‌ای و بین‌المللی برگزار می‌گردد. هدف از این مسابقات که طرف‌داران و علاقه‌مندان بسیاری دارد، فرهنگ‌سازی‌ در زمینه‌ی امنیت فضای تبادل اطلاعات، آگاهی‌رسانی در زمینه مخاطرات موجود در فضای اینترنت و شناخت نقاط ضعف و قوت سامانه‌ها و نرم‌افزارهای امنیتی، سامانه‌های عامل و نرم‌افزارها می‌باشد. محورهای اين مسابقات را می‌توان در موارد زیر خلاصه نمود:

  •  مسائل و اخبار عمومی امنيتی
  • آزمون‌های نفوذ در وب و پایگاه‌های داده
  • شکست الگوريتم‌ها و پروتکل‌های رمزنگاری
  • ارتقای امنیت سامانه‌ها و نرم‌افزارها
  • چالش‌های مرتبط با جرم‌شناسی رایانه‌ای

پرچم چیست؟
در واقع به هدفی که مشخص می‌شود، «پرچم» می گوییم. مثلا ممکن است که پرچم، «رشته‌ای کارکتری» در دایرکتوری ریشه باشد. مسابقات CTFF مثل حل و ساخت پازل است. پازلی که کامل شدن آن نیاز به دانش اعضای شرکت کننده دارد.

نفوذگری در وب

(Web Hacking)

با توجه به افزایش استفاده از برنامه‌های کاربردی تحت وب و وجود آسیب‌پذیری‌های متعدد و روزافزون‌ در آن‌ها، تامین امنیت‌ این برنامه‌ها از اهمیت ویژه‌ای برخوردار است. بدون شناخت روش‌ها و تکنیک‌های نفوذ به برنامه‌های کاربردی وب، فراهم کردن امنیت در سطح قابل قبول امکان‌پذیر نخواهد بود. با توجه به ساختار معمول برنامه‌های وب، عوامل متعددی از جمله، کارگزار وب، پایگاه داده، ورودی‌های کاربر، مرورگر کاربر، مدیریت نشست و دسترسی کاربران، کوکی‌ها و عوامل بسیار دیگری، در امنیت این نرم‌افزارها تاثیرگذار هستند که عدم آشنایی با آن‌ها، همچون فقدان تجربه و مهارت در زبان‌های برنامه‌نویسی وب، تهدیدی اساسی محسوب می‌شود. هدف این بخش از مسابقه، سنجش مهارت و تخصص شرکت‌کنندگان در اصول امنیت و نفوذ به برنامه‌های کاربردی وب می‌باشد.

اکسپلویت‌نویسی (Exploiting)

متخصصین امنیت فناوری اطلاعات، از کشف و تحلیل آسیب‌پذیری و حفره‌های امنیتی در نرم‌افزارها و نوشتن کدی برای سوءاستفاده از این آسیب‌پذیری‌ها، به عنوان اکسپلویت‌نویسی (exploiting) یاد می‌کنند. فرآیند کشف آسیب‌پذیری و تحلیل آن‌ها در اغلب موارد کار بسیار تخصصی و در عین حال زمان‌بری است. تخصص‌ها و مهارت‌های مورد نیاز برای این کار، بسته به مورد متفاوت است اما درک عمیق از واحدهای مختلف سیستم‌عامل‌ها مانند مدیریت حافظه، مدیریت فرآیندها و … و همچنین نحوه‌ی کار و پیاده‌سازی پروتکل‌های شبکه مانند TCP/IP، HTTP و … اولین و اساسی‌ترین پیش‌نیاز برای وارد شدن به این بحث است. در کنار این موارد بهره‌مندی از سطح خبرگی مناسب در یک زبان برنامه‌نویسی برای پیاده‌سازی‌های مورد نیاز، یک ضرورت به حساب می‌آید.

کدنویسی امن

(Secure Coding)

برنامه‌های کابردی تولید شده توسط برنامه‌ نویسان، عموما مشکلات امنیتی و آسیب‌پذیری‌های فراوانی دارند که به مرور زمان توسط خبرگان حوزه‌ی امنیت کشف و افشا می‌شوند. این موضوع عمدتا به دلیل آشنا نبودن برنامه‌نویسان با راهبردهای کدنویسی امن و نحوه‌ی تولید محصولات نرم‌افزاری امن بروز می‌کند. زبان‌های مختلف برنامه‌نویسی راهبردهای متفاوتی برای کدنویسی امن و جلوگیری از بروز آسیب‌پذیری در نرم‌افزار تولید شده دارند زیرا هر یک دغدغه‌ها متفاوتی در این زمینه دارند. برای مثال مبحث buffer overflow در زبان برنامه‌نویسی C یکی از اصلی‌ترین مشکلات است که در برخی زبان‌ها اصلا موضوعیت ندارد.

جرم‌شناسی رایانه‌ای

(Forensics)

علم جرم‌شناسی رایانه‌ای(به عنوان شاخه‌ای از جرم‌شناسی دیجیتال) به شواهد و مدارک قانونی موجود در رایانه‌ها و محیط‌های دیجیتالی ذخیره‌سازی اطلاعات می‌پردازد. هدف جرم‌شناسی دیجیتال ،ارائه توضیح پیرامون وضعیت فعلی یک ابزار دیجیتالی مثل سیستم کامپیوتر، رسانه ذخیره‌سازی (مثل دیسک سخت یا CD-ROM) یک سند الکترونیکی(مثل یک پیام ایمیل یا تصویر JPEG) می باشد. گستره فعالیت یک تحلیل جرم‌شناسی، از بازیابی اطلاعات ساده تا بازسازی یک سری رویداد را دربرمی‌گیرد. سنجش‌های خاصی برای انجام تحقیقات جرم‌شناسی وجود دارد که نتایج آن می‌تواند در دادگاه مورد استفاده قرار گیرد. هدف تکنیک‌های جرم‌شناسی رایانه‌ای، جستجو، حفظ و تحلیل اطلاعات موجود و لاگ‌ها بر روی سیستم‌های کامپیوتری به منظور یافتن شواهد و مدارک احتمالی برای یک دادرسی است. بسیاری از تکنیک‌هایی که کارآگاهان از آن‌ها در تحقیقات صحنه‌ی جرم استفاده می‌کنند دارای المثنای دیجیتالی هستند، اما تحقیقات کامپیوتری دارای برخی جنبه‌های منحصربه‌فرد نیز هست. برای مثال، تنها باز کردن یک فایل کامپیوتری باعث تغییر آن می‌شود (کامپیوتر، زمان و تاریخ دسترسی به فایل را بر روی خود آن ثبت می‌کند)

پنهان‌نگاری

(Steganography)

در دنیای امروز با توجه به امکان انجام اکثر عملیات از راه دور و از طریق شبکه‌های جهانی و محلی، همچنین لزوم عدم تمرکز همه داده‌ها در یک محل و نیاز به دست‌یابی به برخی از اطلاعات راه دور و در عین حال حفظ امنیت اطلاعات در زمان ارسال و دریافت، مسئله بسیار مهم، حفاظت اطلاعات از دسترسی‌های غیرمجاز است. پنهان‌نگاری اطلاعات (Steganography) روشی است که می‌توان اطلاعات مورد نظر را در قالب یک عامل پوشاننده و با بیشترین میزان توجه به امنیت، بین نقاط موردنظر جابجا نمود، به گونه‌ای که حتی اگر در طی مسیر، اطلاعات از طریق افراد غیرمجاز مورد دسترسی قرار گرفت امکان دستیابی به داده‌های پنهان شده وجود نداشته باشد. در این رابطه تصویر به عنوان یک عامل رایج پوشاننده بوده که می‌توان اطلاعات و پیغام‌های مورد نظر را تحت قالب آن ارسال نمود.

شکست الگوریتم‌ها و پروتکل‌های رمزنگاری

(Cryptography)

علم رمزنگاری به روش‌های انتقال یا ذخیره‌ی اطلاعات به صورت امن می‌پردازد. (حتی اگر مسیر انتقال اطلاعات و کانال‌های ارتباطی یا محل ذخیره اطلاعات ناامن باشند). رمزنگاری استفاده از تکنیک‌های ریاضی، برای برقراری امنیت اطلاعات است. به عبارت دیگر رمزنگاری دانش تغییر دادن متن پیام یا اطلاعات با استفاده از یک الگوریتم رمز، بر اساس کلید رمز می‌باشد، به صورتی که تنها شخصی که از کلید و الگوریتم مطلع است قادر به استخراج اطلاعات اصلی از اطلاعات رمز شده باشد. در مقابل شخصی که از یک یا هیچ کدام از آن‌ها اطلاع ندارد، نمی‌تواند به اطلاعات دسترسی پیدا کند. دانش رمزنگاری بر پایه مقدمات بسیاری از قبیل تئوری اطلاعات، نظریه اعداد و آمار بنا شده‌است و امروزه به طور خاص در علم مخابرات مورد بررسی و استفاده قرار می‌گیرد. معادل رمزنگاری در زبان انگلیسی کلمه Cryptography است، که برگرفته از لغات یونانی kryptos به مفهوم «محرمانه» و graphien به معنای «نوشتن» است. در این بخش با توجه به الگوریتم‌ها وتکنیک‌های مختلف رمزنگاری و رمزگشایی و تجزیه و تحلیل رمز الگو، توانایی شرکت‌کنندگان در شکستن مکانیزم های رمز نگاری، مورد ارزیابی قرار می‌گیرد.

نفوذگری در شبکه و سرویس‌‌ها

(Network Infra/Service Hacking)

از مهمترین معیارهای سنجش امنیت، زیرساخت شبکه و سرویس‌های در حال فعالیت در آن است که هر سازمان و مجموعه‌ای، آن را شامل می‌شود. در نتیجه مهارت در کشف آسیب‌پذیری‌ها، امن‌سازی یا سوء استفاده از آن‌ها در شبکه‌های کامپیوتری و تجهیزات و سرویس‌های درحال استفاده در آن، می‌تواند از مهمترین چالش‌ها در زمینه‌ی امنیت به‌حساب آید. هدف از این بخش از مسابقه، سنجش مهارت و تخصص شرکت کنندگان در زمینه‌ی امنیت زیرساخت شبکه و سرویس‌ها و سیستم‌های عامل در حال کار در شبکه است.

در همین راستا،  سازمان انرژی اتمی جمهوری اسلامی ایران در نظر دارد مسابقه‌ی امنیت سایبری را با هدف ارتقای فرهنگ امنیت سایبری، به صورت برخط (آنلاین)، طی روزهای ۳۱۱ فروردین تا دوم اردیبهشت-ماه برگزار نماید. بدین‌وسیله از کلیه علاقه‌مندان دعوت می شود در این مسابقه شرکت نمایند.
علاقه‌مندان جهت شرکت در مسابقه، می‌توانند از روز شنبه ۲۴ فروردین ساعت ۱۰ صبح به وب‌گاه مسابقه مراجعه کرده و ثبت‌نام نمایند. 
 شرکت در مسابقه برای عموم علاقه‌مندان آزاد است؛ همچنین در پایان مسابقه، به افراد و یا گروه‌هایی که بیشترین امتیاز را آورده باشند، جوایز ارزنده‌ای اهدا خواهد شد.
 شرکت‌کنندگان درصورت نیاز به کسب اطلاعات بیشتر می توانند با رایانامه‌ی زیر

 Email

مکاتبه نمایند.


٠٩:٢٧ - دوشنبه ١ خرداد ١٣٩٦    /    شماره : ٢٧٢٨    /    تعداد نمایش : ٤٥



خروج