رقابت‌های دفاع و نفوذ در شبکه - هفتمین دوره
هفتمین دوره‌ی رقابت‌های دفاع و نفوذ در فضای مجازی
مقدمه
هفتمین دوره از مجموعه رقابت‌های آپا شریف در فضای مجازی، در آذر و دی‌ماه سال ۱۳۹۵, توسط مرکز آپا دانشگاه صنعتی شریف در زمینه‌های مختلف برگزار گردید. از اهداف اصلی این مجموعه از رقابت‌ها، که به طور سالانه در طی سال‌های اخیر برگزار شده است، فرهنگ‌سازی و ارتقای آگاهی، دانش و مهارت در زمینه‌ی امنیت فضای تبادل اطلاعات، در سطح کاربران نهایی، متخصصین و مدیران فناوری اطلاعات و ارتباطات بوده است. هم‌چنین این رقابت‌ها فرصت مناسبی برای تیم‌ها و افراد فعال در حوزه‌ی امنیت فضای تبادل اطلاعات (به خصوص تیم‌های آزمون نفوذ و ارزیابی امنیتی) جهت ارزیابی توانمندی‌ها و قابلیت‌های تخصصی خود فراهم آورده است. گردهم‌آیی متخصصین و مسئولین این حوزه در خلال اجرای این رقابت نیز با هدف پیوند و آشنایی این افراد با یکدیگر و تبادل دانش، تجربیات و مهارت‌های آن‌ها، هر ساله در آخرین روز از برگزاری رقابت‌ها برگزار شده است.

محورهای رقابت

طراحی پوستر و کاریکاتورهای ترویجی

کارگاه‌های آموزشی و تخصصی

ارایه‌ی روش‌های خلاقانه در نفوذ و دفاع

رقابت فتح پرچم

رقابت فتح پرچم
CTF‌ - Capture The Flag، یا رقابت فتح پرچم یا یک مانور شبیه‌سازی شده در فضای سایبری است که در آن هکرها به مقابله با یکدیگر می‌پردازند. در این رقابت هر تیم تلاش می‌کند چالش‌های مختلف در حوزه‌ی امنیت فضای سایبری را حل کند و با کسب امتیاز به رقابت با سایر تیم‌ها بپردازد. هدف از رقابت‌های CTF که طرفداران و علاقه‌مندان بسیاری دارد، فرهنگ‌سازی در زمینه‌ی امنیت فضای تبادل اطلاعات، آگاهی‌رسانی در زمینه‌ی مخاطرات موجود در فضای اینترنت و شناخت نقاط ضعف و قوت سامانه‌ها و نرم‌افزارهای امنیتی، سیستم‌عامل‌ها و نرم‌افزارها است.

زمینه‌های چالش‌های مطرح‌شده:

چالش‌‌های موجود در «رقابت فتح پرچم» در حوزه‌های زیر مطرح شدند:
  • نفوذگری در وب (Web)
  • شکست الگوریتم‌ها و پروتکل‌های رمزنگاری (Cryptography)
  • حل چالش‌های مرتبط با شواهد جرایم رایانه‌ای (Forensics)
  • مهندسی معکوس (Reverse)
  • اکسپلویت (Pwn and Exploit)
  • سوالات ترکیبی (Misc)

برگزاری رقابت‌ها:

هفتمین رقابت فتح پرچم، در یک مرحله و به صورت بین‌المللی برگزار شد. همه‌ی علاقه‌مندان این حوزه، دانش عملی و تجربی خود را در طی ۴۸ ساعت رقابت به مرحله‌ی‌ آزمایش گذاشتند. این رقابت از ساعت ۱۸:۰۰ روز جمعه ۲۶ آذرماه آغاز شده و تا ساعت ۱۸:۰۰ روز یک‌شنبه ۲۸ آذرماه ادامه یافت.

نتایج رقابت‌های فتح پرچم:

بیست تیم بالای رقابت‌ها در جدول زیر مشخص شده است: تیم‌ irGeeks از ایران با کسب ۷۳۹۷‌ امتیاز در جایگاه نخست قرار گرفت. به دنبال آن تیم‌های LosFuzzys از اتریش با کسب ۶۹۰۹‌ امتیاز و int3pids ار اسپانیا با کسب ۶۶۲۴ امتیاز رتبه‌های دوم و سوم را کسب کردند. دیگر تیم‌های‌ برتر ایرانی شرکت‌کننده در این دوره نیز تیم ASIS با ۵۸۱۶ امتیاز و kowliz با ۴۲۳۶ امتیاز هستند که به ترتیب جایگاه‌های ۴ و ۱۲ جدول رده‌بندی رقابت را به خود اختصاص داده‌اند. شایان ذکر است که از تیم‌های ایرانی برتر در این دوره، در مراسم اختتامیه و با حضور مسئولین بلندپایه‌ی ذی‌ربط قدردانی خواهد شد.
# Team کشور Web Crypto Forensics Reverse Misc Pwn Reward مجموع
۱ irGeeks ایران ۱۴۵۹ ۱۷۰۲ ۱۲۳۵ ۱۵۴۰ ۱۰۰۵ ۱۰۸۶ - ۷۳۹۷
۲ LosFuzzys اتریش ۱۴۱۴ ۱۴۳۴ ۷۱۵ ۱۱۰۰ ۷۵۰ ۱۳۹۶ ۱۰۰ ۶۹۰۹
۳ int3pids اسپانیا ۱۳۹۹ ۱۱۴۹ ۱۰۳۰ ۱۱۶۰ ۴۵۰ ۱۴۳۶ ۶۶۲۴
۴ ASIS ایران ۵۵۷ ۱۳۴۹ ۱۷۱۰ ۱۱۰۰ ۶۵۰ ۴۵۰ ۵۸۱۶
۵ 0daysober کونگو ۱۰۹۵ ۱۳۴۴ ۳۰۸ ۱۵۰۰ ۴۰۰ ۱۰۴۳ ۵۹۶۰
۷ DlcsHrs لهستان ۱۳۲۴ ۹۱۲ ۶۵۰ ۱۵۸۰ ۸۰۰ ۴۰۰ ۵۶۶۶
۷ dcua اکراین ۷۸۳ ۱۰۷۲ ۶۵۰ ۱۱۳۰ ۳۰۰ ۱۴۹۶ ۵۴۳۱
۸ p4team لهستان ۱۰۸۰ ۸۷۲ ۵۱۰ ۶۰۰ ۴۵۰ ۱۴۸۶ ۴۹۹۸
۹ DragonSector2 لهستان ۱۱۹۵ ۵۰۰ ۵۰۰ ۹۰۰ ۴۵۰ ۱۴۱۹ ۴۹۶۴
۱۰ LCBC روسیه ۷۷۳ ۸۳۵ ۸۳۰ ۹۰۰ ۷۵۰ ۶۶۵ ۴۷۵۳
۱۱ scryptos ژاپن ۳۵۶ ۹۸۵ ۴۰۰ ۱۱۶۰ ۱۰۰ ۱۳۹۶ ۴۳۹۷
۱۲ kowliz ایران ۷۶۳ ۶۵۰ ۶۵۰ ۸۰۰ ۳۰۰ ۱۰۷۳ ۴۲۳۶
۱۳ Ox002147 بریتانیا ۳۵۴ ۱۳۴۴ ۷۵۰ ۹۰۰ ۷۶۵ ۵۰ ۴۱۶۳
۱۴ galactictrendsetters آمریکا ۲۰۶ ۲۱۶۹ ۷۸۳ ۳۰۰ ۴۵۸ ۵۰ ۳۹۶۶
۱۵ STT پرتغال ۳۵۵ ۱۷۳۷ ۷۵۰ ۶۰۰ ۴۵۰ ۵۰ ۳۹۴۲
۱۶ FluxFingers آلمان ۱۰۸۰ ۵۵۷ ۱۵۰ ۹۰۰ ۶۶۰ ۳۰۰ ۳۶۴۷
۱۷ SnatchTheRoot لهستان ۵۵۸ ۳۵۰ ۴۹۰ ۹۰۰ ۷۰۰ ۵۰ ۳۰۴۸
۱۸ defbra استرالیا ۵۵۹ ۴۰۷ ۳۰۸ ۱۱۰۰ ۴۵۰ ۵۰ ۲۸۷۴
۱۹ WE0WNY0U استرالیا ۷۶۳ ۳۰۰ ۶۰۰ ۳۰۰ ۴۵۰ ۴۰۰ ۲۸۱۳
۲۰ MagicHat روسیه ۷۶۳ ۵۷۲ ۳۰۰ ۹۰۰ ۲۵۰ ۲۷۸۵
در این دوره از رقابت‌ها:
  • تعداد ۴۲ چالش در ۶ زمینه در طی ۴۸ ساعت در اختیار شرکت‌کنندگان قرار گرفت.
  • ۱۳۴۸ تیم در این دوره از رقابت‌ها به رقابت پرداختند که ۳۰۳ تیم از آن‌ها ایرانی بودند.
  • ۷۰۰ تیم در نهایت موفق به کسب امتیاز شدند (حداقل امتیاز ۱).
  • شرکت‌کنندگان از ایران و ۹۱ کشور دیگر ثبت‌نام کردند.
ده کشور با بیش‌ترین شرکت‌کننده:

تعداد حل‌های هر سوال:

از مجموع ۴۲ سوال مطرح‌شده در رقابت‌های دور هفتم، تمامی سوالات حداقل توسط یک تیم پاسخ داده شدند و هیچ چالشی حل نشده باقی نماند. در جدول زیر تعداد حل هر کدام از سوالات توسط کل تیم‌ها و هم‌چنین تیم‌های خارجی آورده شده است.
عنوان چالش امتیاز زمینه تعداد کل تیم‌ها
SharifCTF ۱ نفوذ در وب ۶۷۱
Poor Guy ۱۵۰+۳۰ نفوذ در وب ۷۸
Irish Home ۲۰۰+۴۰ نفوذ در وب ۵۶
JikJik ۲۰۰+۴۰ نفوذ در وب ۴۴
jareCaptcha ۱۵۰+۳۰ نفوذ در وب ۳۲
cbpm ۳۰۰+۶۰ نفوذ در وب ۱۸
Extra Security ۳۰۰+۶۰ نفوذ در وب ۸
TPQ ۱۵۰+۳۰ رمزنگاری ۵۴
LSB Oracle ۱۵۰+۳۰ رمزنگاری ۴۵
XOR ۱۵۰+۳۰ رمزنگاری ۳۹
Unterscheide ۲۰۰+۴۰ رمزنگاری ۱۷
GCM Magic ۲۵۰+۵۰ رمزنگاری ۱۶
Blobfish ۳۰۰+۶۰ رمزنگاری ۵
Ciphertext-Only LFSR ۴۰۰+۸۰ رمزنگاری ۱
Lobotomized LSB Oracle ۵۰۰+۱۰۰ رمزنگاری ۱۴
Synced ۱۰۰ فارنزیک ۲۵
Pretty Raw ۱۵۰+۳۰ فارنزیک ۸۳
Strange PDF ۱۵۰+۳۰ فارنزیک ۶۱
Bsniff ۲۰۰+۴۰ فارنزیک ۹
Pretty Slim ۲۰۰+۴۰ فارنزیک ۱۵
MCool ۲۵۰+۵۰ فارنزیک ۹
s01maz ۳۰۰+۶۰ فارنزیک ۲
Locky ۳۰۰+۶۰ فارنزیک ۴
Getit ۵۰ مهندسی معکوس ۳۱۷
RepairMe ۱۰۰ مهندسی معکوس ۱۵۸
SCrack ۱۵۰+۳۰ مهندسی معکوس ۲۱۳
Unloadme ۲۰۰+۴۰ مهندسی معکوس ۳۲
Catch Me if You Can! ۳۰۰+۶۰ مهندسی معکوس ۵۶
Nanomites ۳۰۰+۶۰ مهندسی معکوس ۳۵
Snake ۴۰۰+۸۰ مهندسی معکوس ۸
Playfake ۵۰ ترکیبی ۸۹
Camera Model ۱۰۰ ترکیبی ۱۸۵
Lost Voice ۱۰۰ ترکیبی ۴۸
Lesula Isola ۱۵۰ ترکیبی ۵۰
Find Login ۲۰۰+۴۰ ترکیبی ۵
What is hidden? ۳۰۰+۶۰ ترکیبی ۹
Guess ۵۰ اکسپلویت ۱۲۹
Persian ۱۵۰+۳۰ اکسپلویت ۲۱
NoMoreBlind ۲۰۰+۴۰ اکسپلویت ۱۵
Hippotie ۲۵۰+۵۰ اکسپلویت ۲۶
Fastsweeper ۳۰۰+۶۰ اکسپلویت ۹
Tehran ۴۰۰+۸۰ اکسپلویت ۹
کارگاه‌های آموزشی و تخصصی
با توجه به نیازمندی کشور در آموزش‌های تخصصی و کاربردی در زمینه‌ی امنیت و درخواست‌های مکرری که در دوره‌های قبلی از سوی شرکت‌کنندگان در همایش رقابت‌ها و به ویژه سازمان‌ها وجود داشته، در این دوره نیز تعدادی کارگاه آموزشی و تخصصی برگزار گردید. این کارگاه‌ها عبارت هستند از:

تحلیل بدافزارهای اندروید
اندروید یک سیستم‌عامل متن‌باز است که هسته‌ی آن لینوکس می‌باشد و برای گوشی‌های هوشمند و تبلت‌ها ایجاد شده‌‌‌است. این سیستم‌عامل همانند سایر سیستم‌عامل‌ها، مورد تهدیدات جدی در زمینه‌ی بدافزارها قرار گرفته و برای حفظ امنیت سیستم‌عامل و برنامه‌های کاربردی آن باید تلاش کرد. بنابراین باید راه‌کارهایی را در زمینه‌ی شناسایی و پاک کردن بدافزارهای اندرویدی به کار گرفت.

بررسی سوالات رقابت فتح پرچم آپا
رقابت فتح پرچم از جمله رقابت‌هایی است که در زمینه‌ی امنیت فضای تبادل اطلاعات برگزار می‌شود. در این رقابت‌ها که به اختصار CTF نامیده می‌شوند، مسایل و چالش‌هایی مرتبط با امنیت سیستم‌های کامپیوتری مطرح می‌شود. این مسایل بیش‌تر در حوزه‌هایی نظیر مهندسی معکوس، شبکه‌های کامپیوتری، تحلیل پروتکل‌های برنامه‌نویسی، شکست الگوریتم‌ها و پروتکل‌های رمزنگاری مطرح می‌شوند.

جمع‌آوری و تحلیل شواهد جرم‌شناسی زنده
جرم‌شناسی دیجیتالی (Digital Forensics) فرایندی در هر تحقیق و تفحص صحنه جرم است که با اطلاعات دیجیتالی رایانه‌ای یا شبکه‌ای درگیر است. البته کاربرد ابزارها و فنون جرم‌شناسی دیجیتالی محدود به شناسایی تبه‌کاران و یا رسیدگی به رخدادهای امنیتی نمی‌شود بلکه در حوزه‌های متنوع دیگری نیز کاربرد دارد.


برای مشاهده‌ی سرفصل‌های کارگاه‌های آموزشی به این‌جا مراجعه کنید.
ارایه‌ی روش‌های خلاقانه در نفوذ و دفاع
ارایه‌‌ی آخرین دستاوردها و روش‌های خلاقانه و کاربردی نفوذ و دفاع در فضای مجازی و ایجاد بستری برای معرفی توانمندی‌های دانشی فعالان حوزه‌ی امنیت، هدف اصلی این محور از رقابت‌ها بوده است. علاقه‌مندان به شرکت در این بخش از رقابت‌ها می‌توانستند در زمینه‌هایی هم‌چون معرفی آسیب‌پذیری‌های جدید و روش‌های نفوذ در سرویس‌ها، پروتکل‌ها و برنامه‌ها، روش‌های تحلیل، شکست یا کشف ضعف در الگوریتم‌های رمزنگاری و توابع درهم‌ساز، روش‌های نوین نفوذ به سیستم در سطح سخت‌افزاری، روش‌های نوین در مهندسی معکوس، روش‌های امن‌سازی در حوزه‌های نوظهور با رویکردی کاملا کاربردی و روش‌های خلاقانه‌ی موثر و کاربردی در امنیت سیستم‌ها و شبکه‌ها به ارسال آثار خود بپردازند.

آثار برگزیده:
رویکردی مبتنی بر جاوا اسکریپت با هدف کنترل دسترسی در برنامه‌های کاربردی ترکیبی
کشف حملات بازاستفاده از کد در دستگاه‌های تلفن‌همراه
رقابت طراحی پوستر و کاریکاتورهای ترویجی
ارایه‌‌ی آخرین دستاوردها و روش‌های خلاقانه و کاربردی نفوذ و دفاع در فضای مجازی و ایجاد بستری برای معرفی توانمندی‌های دانشی فعالان حوزه‌ی امنیت، هدف اصلی این محور از رقابت‌ها بوده است. علاقه‌مندان به شرکت در این بخش از رقابت‌ها می‌توانستند در زمینه‌هایی مختلف امنیتی به ارسال آثار خود بپردازند.
در این دوره از رقابت‌ها، پس از ارسال آثار شرکت‌کنندگان از میان آن‌ها ۲۲ اثر انتخاب گردید و طرح‌ها در محل دانشکده‌ی مهندسی کامپیوتر دانشگاه صنعتی شریف به شرکت‌کنندگان در همایش مربوط به رقابت‌ها ارایه گردیدند. در نهایت با یک اثر برگزیده از بین این آثار به عنوان کاریکاتور برتر با نظر داوران و رأی بازدیدکنندگان انتخاب شد.
تعدادی از کاریکاتورها و پوسترهای ارایه شده:
اختتامیه
اختتامیه‌ی این دوره از رقابت‌ها نیز به رسم سال‌های گذشته با دعوت از متخصصین و مسئولین این حوزه در صبح روز چهارشنبه ۸ دی‌ماه برگزار گردید. در این مراسم گزارشی از روند برگزاری رقابت‌ها و گزارشی تحلیلی از توانمندی‌های تیم‌های شرکت‌کننده (در رقابت فتح پرچم در قیاس با تیم‌های برتر خارجی) توسط دبیر برگزاری این رقابت‌ها ارایه گردید. در پایان این مراسم نیز از برگزیدگان محورهای مختلف رقابت‌ها قدردانی و لوح تقدیر، تندیس و هدایای نقدی پیش‌بینی شده به آنان اهدا گردید.
برگزاری رقابت‌های فتح پرچم در سطح بین‌المللی که از دوره‌ی چهارم این رقابت‌ها انجام شده است در این دوره‌ از کیفیت بالایی برخوردار بود. روند برگزاری این رقابت‌ها در طی سال‌های اخیر نشان از افزایش فعالیت‌های دانشگاهی در زمینه‌های مختلف کاربردی در امنیت فضای تبادل اطلاعات دارد. هر چند کنفرانس انجمن رمز ایران در طی سال‌های متمادی گذشته، فرصت مناسبی را برای ارایه‌ی دستاوردهای علمی و پژوهشی در کشور فراهم نموده است، ولی برگزاری این گونه رقابت‌ها در زمینه‌های کاربردی و مهارتی نیز می‌تواند مکمل مناسبی برای ارتقای دانش و مهارت لازم در امنیت فضای تبادل اطلاعات در کشور باشد. هدف مرکز آپا شریف از برگزاری چنین رویدادی این است که با گردهم‌آیی متخصصان، دانشگاهیان و مسئولان این حوزه، ضمن فراهم‌سازی زمینه تبادل دانش و تجربیات موجود، امکان ایجاد ارتباطات و تعاملات مناسب‌تر را بین همه‌ی افراد درگیر و موثر در این حوزه فراهم نماید. برگزاری هرچه بهتر محور ارایه‌های خلاقانه کمک زیادی به این امر خواهد نمود.
رقابت تیم‌های ایرانی با تیم‌های مختلف از کشورهای دنیا در محور فتح پرچم، در سال‌های اخیر تجربه‌ی‌ خوبی بوده است برگزاری چند دوره‌‌ای رقابت فتح پرچم در سطح بین‌المللی از برنامه‌های پیش‌بینی‌شده در راستای گسترش هر چه بیش‌تر این رقابت‌ها در سال‌های آتی است. رقابت تیم‌های ایرانی با تیم‌های مطرح خارجی کمک زیادی به کسب تجربه و افزایش سطح تخصص متخصصان داخلی می‌کند.