رقابت‌های دفاع و نفوذ در شبکه - ششمین دوره
ششمین دوره‌ی رقابت‌های دفاع و نفوذ در فضای مجازی
مقدمه
ششمین دوره از مجموعه رقابت‌های آپا شریف در فضای مجازی، در بهمن‌ماه سال ۱۳۹۴, توسط مرکز آپا دانشگاه صنعتی شریف در زمینه‌های مختلف برگزار گردید. از اهداف اصلی این مجموعه از رقابت‌ها، که به طور سالانه در طی سال‌های اخیر برگزار شده است، فرهنگ‌سازی و ارتقای آگاهی، دانش و مهارت در زمینه‌ی امنیت فضای تبادل اطلاعات، در سطح کاربران نهایی، متخصصین و مدیران فناوری اطلاعات و ارتباطات بوده است. هم‌چنین این رقابت‌ها فرصت مناسبی برای تیم‌ها و افراد فعال در حوزه‌ی امنیت فضای تبادل اطلاعات (به خصوص تیم‌های آزمون نفوذ و ارزیابی امنیتی) جهت ارزیابی توانمندی‌ها و قابلیت‌های تخصصی خود فراهم آورده است. گردهم‌آیی متخصصین و مسئولین این حوزه در خلال اجرای این رقابت نیز با هدف پیوند و آشنایی این افراد با یکدیگر و تبادل دانش، تجربیات و مهارت‌های آن‌ها، هر ساله در آخرین روز از برگزاری رقابت‌ها برگزار شده است.

محورهای رقابت

این دوره‌ از رقابت‌ها در سه محور برگزار شد که در ادامه‌ درباره‌ی این محورها توضیحاتی آورده شده است.

رقابت فتح پرچم

کارگاه‌های آموزشی و تخصصی

ارایه‌ی روش‌های خلاقانه در نفوذ و دفاع

رقابت فتح پرچم
CTF‌ - Capture The Flag، یا رقابت فتح پرچم یا یک مانور شبیه‌سازی شده در فضای سایبری است که در آن هکرها به مقابله با یکدیگر می‌پردازند. در این رقابت هر تیم تلاش می‌کند چالش‌های مختلف در حوزه‌ی امنیت فضای سایبری را حل کند و با کسب امتیاز به رقابت با سایر تیم‌ها بپردازد. هدف از رقابت‌های CTF که طرفداران و علاقه‌مندان بسیاری دارد، فرهنگ‌سازی در زمینه‌ی امنیت فضای تبادل اطلاعات، آگاهی‌رسانی در زمینه‌ی مخاطرات موجود در فضای اینترنت و شناخت نقاط ضعف و قوت سامانه‌ها و نرم‌افزارهای امنیتی، سیستم‌عامل‌ها و نرم‌افزارها است.

زمینه‌های چالش‌های مطرح‌شده:

چالش‌‌های موجود در «رقابت فتح پرچم» در حوزه‌های زیر مطرح شدند:
  • نفوذگری در وب (web hacking)
  • شکست الگوریتم‌ها و پروتکل‌های رمزنگاری (cryptography)
  • حل چالش‌های مرتبط با شواهد جرایم رایانه‌ای (forensics)
  • مهندسی معکوس (reverse engineering)
  • اکسپلویت (pwn and exploit)
  • سوالات ترکیبی

برگزاری رقابت‌ها:

ششمین رقابت فتح پرچم، در یک مرحله و به صورت بین‌المللی برگزار شد. همه‌ی علاقه‌مندان این حوزه، دانش عملی و تجربی خود را در طی ۳۶ ساعت رقابت به مرحله‌ی‌ آزمایش گذاشتند. این رقابت از ساعت ۱۰ صبح روز جمعه ۱۶ بهمن‌ماه آغاز شده و تا ساعت ۲۲ روز شنبه ۱۷ بهمن‌ماه ادامه یافت.

نتایج رقابت‌های فتح پرچم:

بیست و چهار تیم بالای رقابت‌ها در جدول زیر مشخص شده است: تیم dcua از کشور اوکراین به عنوان نخستین تیم برگزیده شد. دو تیم GeeksSpeak و ASIS از تیم‌های ایرانی شرکت‌کننده در این رقابت‌ها به عنوان تیم‌های اول و دوم ایرانی برگزیده شده و در مراسم اختتامیه از این تیم‌ها تقدیر به عمل آمد.
# Team کشور Crypto Reverse Web Pwn Forensics Misc Total
1 dcua اوکراین 1,170 550 950 770 1,561 750 5,751
2 BambooFox تایوان 550 1,630 710 790 1,361 670 5,711
3 217 تایوان 1,750 350 500 550 1,361 965 5,476
4 TokyoWesterns ژاپن 1,723 250 843 590 1,361 450 5,217
5 SUSlo.PAS روسیه 1,133 355 720 405 1,361 450 4,424
6 Undefined کره جنوبی 150 565 1,000 550 1,401 450 4,116
7 p4team لهستان 660 570 400 550 961 965 4,106
8 scryptos ژاپن 900 350 775 580 961 450 4,016
9 PLUS کره جنوبی 550 940 750 350 550 710 3,850
10 GeeksSpeak ایران 150 550 700 550 1,361 450 3,761
11 dotelite هلند 900 350 500 550 950 450 3,700
12 MoreSmokedLeetChicken روسیه 1,700 350 300 350 550 450 3,700
13 ASIS ایران 1,140 250 300 150 1,371 450 3,661
14 SnatchTheRoot لهستان 350 250 700 350 1,361 450 3,461
15 LosFuzzys اتریش 150 550 100 550 1,381 650 3,381
16 w0pr اسپانیا 900 550 400 200 550 750 3,350
17 xil.se سوئد 50 250 600 350 1,361 650 3,261
18 BatmansKitchen امریکا 950 550 100 200 961 480 3,241
19 dodododo ژاپن 400 250 500 760 711 450 3,071
20 HackXore مراکش 400 350 500 350 950 450 3,000
21 a1exdandy روسیه 300 350 500 350 961 450 2,911
22 Bushwhackers روسیه 650 350 500 350 300 750 2,900
23 Raccoons لهستان 50 450 750 350 600 650 2,850
24 qqqqq ایران 50 760 100 200 1,261 450 2,821

ارایه آماری از ششمین دوره رقابت‌های فتح پرچم:

در این دوره از رقابت‌ها:
  • تعداد ۳۶ چالش در ۶ زمینه در طی ۳۶ ساعت در اختیار شرکت کنندگان قرار گرفت.
  • ۱۴۱۴ تیم ایرانی و خارجی در این دوره از رقابت‌ها به رقابت پرداختند. در مقایسه با ۸۳۷ تیم شرکت‌کننده در سال گذشته، تعداد شرکت‌کنندگان به طرز چشمگیری افزایش یافته است.
  • ۳۴۹ تیم ایرانی در این رقابت‌ها ثبت‌نام کردند.
  • ۴۴۷ تیم در نهایت موفق به کسب امتیاز شدند (حداقل امتیاز ۵۰)
  • شرکت کنندگان از ۹۹ کشور ثبت‌نام کردند. ده کشوری که بیشترین شرکت کننده را در این رقابت‌ها داشتند:

تعداد حل‌های هر سؤال:

از مجموع ۳۶ سؤال مطرح شده در رقابت‌های دور ششم، تمامی سؤالات حداقل توسط یک تیم پاسخ داده شدند و هیچ چالشی حل نشده باقی نماند. در جدول صفحه بعد تعداد حل هر کدام از سؤالات توسط کل تیم‌ها و همچنین تیم‌های خارجی آورده شده است.
عنوان چالش امتیاز زمینه تعداد کل تیم ها تیم‌های ایرانی
Rail Fence Cipher 50 رمزنگاری 321 60
URE 100 رمزنگاری 70 12
High-speed RSA Keygen 150 رمزنگاری 25 2
Smooth As Silk 200 رمزنگاری 11 1
Huge 250 رمزنگاری 19 2
Hail Zeus 300 رمزنگاری 1 0
British Elevator 350 رمزنگاری 21 1
The Russian Attack 500 رمزنگاری 4 0
dMd 50 مهندسی معکوس 243 38
SRM 50 مهندسی معکوس 176 28
Android App 100 مهندسی معکوس 60 6
Interpolation 200 مهندسی معکوس 20 6
HI 200 مهندسی معکوس 3 1
Serial 150 مهندسی معکوس 110 12
WinCC 300 مهندسی معکوس 4 1
Maze 400 مهندسی معکوس 2 0
PhotoBlog 100 نفوذ در وب 100 20
technews 200 نفوذ در وب 25 9
oldpersian 250 نفوذ در وب 12 3
hackme 400 نفوذ در وب 48 2
Login to System 200 اکسپلویت 106 11
SQL 150 اکسپلویت 68 12
ECHO 200 اکسپلویت 4 0
Kiuar 200 اکسپلویت 20 2
Kick Tort Teen 50 فارنزیک 124 17
Dumped! 100 فارنزیک 275 47
We lost the Fashion Flag! 100 فارنزیک 132 17
uagent 100 فارنزیک 84 8
Network Forensics 200 فارنزیک 65 8
Blocks 400 فارنزیک 28 6
Memdump 400 فارنزیک 33 7
Asian Cheetah 50 متنوع 198 29
Hack By The Sound 200 متنوع 16 2
Impossible Game 300 متنوع 9 1
Sec-Coding 1 100 متنوع 175 34
Sec-Coding 2 300 متنوع 83 13
کارگاه‌های آموزشی و تخصصی
با توجه به نیازمندی کشور در آموزش‌های تخصصی و کاربردی در زمینه‌ی امنیت و درخواست‌های مکرری که در دوره‌های قبلی از سوی شرکت‌کنندگان در همایش مسابقات و به ویژه سازمان‌ها وجود داشته، در این دوره نیز تعدادی کارگاه آموزشی و تخصصی برگزار گردید که مورد استقبال قرار گرفت. این کارگاه‌ها عبارت بودند از:

 کارگاه آموزشی تحلیل و مقابله با بدافزار مقدماتی (تحلیل ایستا) 

کارگاه تخصصی با عنوان
Mobile Signature as a Service

کارگاه تخصصی با عنوان
Real World Security Audit-Scenario Workshop

برای مشاهده‌ی سرفصل‌های کارگاه‌های آموزشی به لینک زیر مراجعه نمایید.
https://cert.sharif.edu/education
ارایه‌ی روش‌های خلاقانه در نفوذ و دفاع
ارایه‌‌ی آخرین دستاوردها و روش‌های خلاقانه و کاربردی نفوذ و دفاع در فضای مجازی و ایجاد بستری برای معرفی توانمندی‌های دانشی فعالان حوزه‌ی امنیت، هدف اصلی این محور از رقابت‌ها بوده است. علاقه‌مندان به شرکت در این بخش از رقابت‌ها می‌توانستند در زمینه‌هایی هم‌چون معرفی آسیب‌پذیری‌های جدید و روش‌های نفوذ در سرویس‌ها، پروتکل‌ها و برنامه‌ها، روش‌های تحلیل، شکست یا کشف ضعف در الگوریتم‌های رمزنگاری و توابع درهم‌ساز، روش‌های نوین نفوذ به سیستم در سطح سخت‌افزاری، روش‌های نوین در مهندسی معکوس، روش‌های امن‌سازی در حوزه‌های نوظهور با رویکردی کاملا کاربردی و روش‌های خلاقانه‌ی موثر و کاربردی در امنیت سیستم‌ها و شبکه‌ها به ارسال آثار خود بپردازند.
در این دوره از رقابت‌ها، پس از ارسال آثار شرکت‌کنندگان تا تاریخ ۱۲ دی‌ماه، در مدت حدود یک ماه از آثار ارسال شده داوری به عمل آمده ، از این میان شش اثر به عنوان آثار و ارایه‌های برتر انتخاب گردیدند. طرح‌های برگزیده در تاریخ ۲۱ بهمن در محل دانشکده‌ی مهندسی کامپیوتر دانشگاه صنعتی شریف به شرکت‌کنندگان در همایش مربوط به رقابت‌ها ارایه گردیدند.
اختتامیه
اختتامیه‌ی این دوره از رقابت‌ها نیز به رسم سال‌های گذشته با دعوت از متخصصین و مسئولین این حوزه در عصر روز ۲۱ بهمن برگزار گردید. در این مراسم گزارشی از روند برگزاری رقابت‌ها و گزارشی تحلیلی از توانمندی‌های تیم‌های شرکت‌کننده (در رقابت فتح پرچم در قیاس با تیم‌های برتر خارجی) توسط دبیر برگزاری این رقابت‌ها ارایه گردید. در پایان این مراسم نیز از برگزیدگان محورهای مختلف رقابت‌ها قدردانی و لوح تقدیر، تندیس و هدایای نقدی پیش‌بینی شده به آنان اهدا گردید.

برنامه‌ی روز چهارشنبه ۲۱ بهمن ۱۳۹۴

سخنرانی کلیدی آشنایی با مهندسی سیستم گیرنده‌های کور ۱۴:۰۰−۱۴:۲۰
ارایه‌ی خلاقانه طراحی و پیاده‌سای روت‌کیت‌های اندرویدی مبتنی بر سازوکار تبادل پیام ۱۴:۲۰ -۱۴:۲۵
ارایه‌ی خلاقانه فروپاشی از درون: معرفی و شرح حمله «جعل درخواست از سوی سرور» ۱۴:۵۰−۱۵:۲۰
استراحت و پذیرایی ۱۵:۲۰−۱۵:۳۰
ارایه‌ی خلاقانه CFI-Shot، یک روش نوین جهت تشخیص تخطی از روال اجرا ۱۵:۳۰−۱۶:۰۰
ارایه‌ی خلاقانه روشی جهت حمله به ابزار کشف دافزار با رویکرد جلوگیری از رهگیری فراخوانی‌های سیستمی ۱۶:۰۰−۱۶:۳۰
ارایه‌ی خلاقانه Call-Oriented Programming ShellCodes ۱۶:۳۰−۱۷:۰۰
استراحت و پذیرایی ۱۷:۰۰−۱۷:۳۰
برگزاری رقابت‌های فتح پرچم در سطح بین‌المللی که از دوره‌ی چهارم این رقابت‌ها انجام شده است در این دوره‌ از کیفیت بالایی برخوردار بود. همان‌طور که در بخش‌های قبل نیز گفته شد تعداد شرکت‌کنندگان دور ششم در محور فتح پرچم رشد چشم‌گیری داشته و حدود دو برابر سال قبل بوده است به علاوه این‌که حضور تیم‌های مطرح دنیا در این رقابت‌ها و نظرات مثبت آن‌ها پس از برگزاری رقابت‌ها نشان می‌دهد که برگزاری این رقابت‌ها در مسیر رشد قرار گرفته است. از نظرات و انتقادات شرکت‌کنندگان این‌طور برمی‌آید که کیفیت سوالات مطرح‌شده در این دوره از رقابت‌ها نسبت به دوره‌های قبل و در مقایسه با سایر رقابت‌های بین‌المللی در سطح مطلوبی قرار داشته است.
روند برگزاری این رقابت‌ها در طی سال‌های اخیر نشان از افزایش فعالیت‌های دانشگاهی در زمینه‌های مختلف کاربردی در امنیت فضای تبادل اطلاعات دارد. هر چند کنفرانس انجمن رمز ایران در طی سال‌های متمادی گذشته، فرصت مناسبی را برای ارایه‌ی دستاوردهای علمی و پژوهشی در کشور فراهم نموده است، ولی برگزاری این گونه رقابت‌ها در زمینه‌های کاربردی و مهارتی نیز می‌تواند مکمل مناسبی برای ارتقای دانش و مهارت لازم در امنیت فضای تبادل اطلاعات در کشور باشد. هدف مرکز آپا شریف از برگزاری چنین رویدادی این است که با گردهم‌آیی متخصصان، دانشگاهیان و مسئولان این حوزه، ضمن فراهم‌سازی زمینه تبادل دانش و تجربیات موجود، امکان ایجاد ارتباطات و تعاملات مناسب‌تر را بین همه‌ی افراد درگیر و موثر در این حوزه فراهم نماید. برگزاری هرچه بهتر محور ارایه‌های خلاقانه کمک زیادی به این امر خواهد نمود.
رقابت تیم‌های ایرانی با تیم‌های مختلف از کشورهای دنیا در محور فتح پرچم، در سال‌های اخیر تجربه‌ی‌ خوبی بوده است برگزاری دو دوره‌‌ای رقابت فتح پرچم در سطح بین‌المللی از برنامه‌های پیش‌بینی‌شده در راستای گسترش هر چه بیش‌تر این رقابت‌ها در سال‌های آتی است. رقابت تیم‌های ایرانی با تیم‌های مطرح خارجی کمک زیادی به کسب تجربه و افزایش سطح تخصص متخصصان داخلی می‌کند.