Информационная БезопасностьСовременные угрозы и области компетенций

Определения специалиста ИБСпециалист по информационной безопасности занимается разработкой охранных систем для различных коммуникационных сетей и электронных баз данных, тестирует и совершенствует собственные и посторонние разработки во избежании рисков утечки сведений, представляющих собой государственную или коммерческую тайны, конфиденциальную информацию.

Требования

Профессии в ИБ•Специалисты по Криптографии•Инженеры по тестам на проникновения

•Специалисты обратной разработки Программного Обеспечения

•Специалисты по Форензике•Администраторы Информационной безопастности

Уязвимости WEB систем

Классификация угроз ИБ

Угрозы в текущий моментАтаки на ИТ инфраструктуру происходят постоянно. Для примера текущего состояния можно перейти по ссылке:

https://cybermap.kaspersky.com

Угрозы в текущий момент

DDoS-атака

Способы автоматического детектирования угроз

•Антивирусы•Активная защита•Антиспам-шлюзы•IDS и IPS системы•WAF

Способы получения знаний•Высшее образование в сфере ИБ•Участие в олимпиадах•Сертификация по специальности•Аудит информационных систем•Общение с сообществом•Участие в конференциях по ИБ•Мастер-классы от специалистов•Обучение окружающих своим знаниям

Начать с себяОпределите в какой сфере вы хотите трудиться. Вот самые популярные из них:

КриптографияОбратная разработка программного обеспеченияТестирование на проникновениеФорензикаСистемное администрирование

Что такое CTFКраткий экскурс в то что ждет Вас если решитесь играть!

Общая концепцияCTF или в переводе "Захвати флаг" - это

командные соревнования по защите информации. Цель этих соревнований - развитие и обучение специалиста по ИБ в условиях, приближенных к реальным.

Секретная информация представляется абстрактно в виде флага. Флаг нужно извлечь, захватить или украсть и предоставить проверяющей системе.

Информация имеет свою цену и время актуальности - как в реальной жизни.

Виды CTFClassic

attack & defenseTask-basedJeopardy

Classic CTFОсновные понятие классического CTF:

•Сервис•Защита своего сервиса•Атака на вражеский сервер•Время жизни информации•Доступность сервиса

Jeopardy CTFВыделяются следующие категории:

adminjoyreverse engeniring stegano professional programming and codingcryptografy web penetration test

Admin TasksАнализ ОС, сетевого трафика и логов

приложенийНаписание простых скриптов работы

с ОС на bash или pythonУстановка ПО и его

конфигурированиеУправление сетевой

инфраструктурой, устранение в ней уязвимостей

Пример Admin 100Текс задания: «Во время путешествия будет предостаточно времени для чтения. Наслаждайтесь полетом!»Вложение:  admin100.7z

Решение: Скачиваем архив admin100.7z и обращаем внимание на структуру папок (распаковываем только папки с ненулевым размером):

Пример Admin 100Результат: if you took a couple of david bowies and stuck one of the david bowies on the top of the other david bowie, then attached another david …

Это отрывок из книги Дугласа Адамса "So Long, and Thanks for All the Fish" Флаг:So Long, and Thanks for All the Fish

Joy TasksСфотографироваться всей команойСнять короткий роликПройти игру, ну или написать к ней ботаПрименить социальную инженериюПользуясь поисковыми системами найти

людей по тематике или фильмы по кадрам

Собрать головоломку

Пример Joy 400Текс задания: «Что записал в своем журнале капитан Кирк в этот день? (Первые два предложения, включая звездную дату)». Вложение:  joy400.avi

Решение: Нам предлагают скачать 30-секундный отрывок из сериала "Звездный Путь". Вот только надо выяснить, откуда он (серия? сезон?). Для этого выбираем наиболее значимый момент (в видео запечатлена встреча некой тетки) и делаем скриншот ("PrintScreen").

Пример Joy 400

Запускаем поиск сайтов по нашей картинке: например, здесь tineye.com. Вторая же найденная ссылка указывает на дневник Кирка (эпизод "Elaan of Troyius" - 3 сезон 13 эпизод).

Флаг:Captain's log, Stardate 4372.5. On a top-secret diplomatic mission, the Enterprise has entered the Tellun star system.

Reverse TasksСтатический анализ исходного

кодаРазбор формата исполняемых

файлов разных ОСОбход анти отладочных

механизмов для защиты ПОВосстановление алгоритмов

работы по исходному коду

Пример Reverse 100Текс задания: «У вас есть программка, установленная на вашем главном компьютере, причем, она очень важна для всей системы, но вы не можете заставить ее работать. Вам необходимо найти способ, чтобы запустить эту программу».Вложение:  rev100.efi

Решение: *.EFI – указывает на формат UEFI.

Пример Reverse 100Выполнять код не обязательно. Достаточно статического анализа. Ищем строки в коде, и находим:

enter passwdSuccess!Failed!

Все они встречаются в одной функции - 0x00022A9, которая занимается проверкой введенного пароля. Проверка (0x0002310 – 0x00023CE) обрабатывает пароль посимвольно, получаем шифр, который затем сравниваем с фиксированной строкой:

.data:00003F8A check db C5h,8Ah,0BFh,46h,38h,09h,81h,14h,58h,79h,57h,4Fh,ACh,4Bh,1Fh,38h

Пример Reverse 100Операция XOR и ее обращение:

Флаг: Th1$_VVaz_2_e@sY

Stegano TasksПоиск ЦВЗ скрытых в картинкахЧастотный и спектральный анализ

звуковых файловПоиск скрытой информации в

изображенияхАнализ изменения графических

данных после внедрения в них информации

Пример Stegano 100Текс задания: «Похоже, в вашей команде завелся инсайдер, потому что некоторые полетные данные куда-то утекают. Найти его - ваша главная задача. Да, кстати, не просто надо найти подозреваемого, а еще необходимо предъявить обвинения с доказательствами. Эта картинка была перехвачена прежде, чем попала к одному из ваших конкурентов. Она выглядит довольно подозрительно – хорошенько осмотрите ее».Вложение:

Пример Stegano 100Решение: Stegsolv дает нам понять что тут LSB. Извлекаем бит 0 от синего цвета каждого пикселя (а это, между прочим, в сумме 19012 байт), бит 0 от зеленого цвета и бит 0 – от красного. Объединяем полученные массивы данных в таком порядке: синий, зеленый, красный.

Пример Stegano 100Флаг:

PPC TasksРазработка ПО (как на олимпиадном программировании)

Анализ чужого кодаПеревод из одного языка программирования в другой

Пример PPC 100Текс задания: URL-адресс на пустую страничку

Решение: Итак, нам доступен url-адрес (real.html), который указывает на.. пустую страницу. Хотя не совсем. Если при просмотре исходного кода страницы нажать "Выбрать все" (Ctrl+A), то заметим, что страница содержит пробелы и табуляцию. Странно. Но только для тех, кто не слышал об Whitespace.

Пример PPC 100Пытаемся запустить код на сайте http://ideone.com/, где доступно более чем 40 языков программирования.

Пример PPC 100Запустить программу еще раз, используя IdeOne

Пример PPC 100Программа ответила "wrong", значит, входные данные - "неправильные". Видимо, без дизассемблера/декомпилятора не обойтись. Погуглив, обнаружим, что есть реализация Whitespace на Python, названная esotope-ws, которая включает в себя ассемблер, дизассемблер, и интерпретатор. Дизассемблируем программу.

Пример PPC 100При анализе получили не сложный алгоритм.

Флаг:We_are_Nasus

Crypto TasksПолучение исходного текста сообщений

Подбор ключей шифрованияРеализация алгоритмов дешифрования по заданным входным параметрам

Атаки на криптосистемы

Пример Crypto 200Текс задания: «Необходимо расшифровать данный текст:LoatuvftYejeerzAgibeejwzriyazfrkknxefvoxvhanvmsxlizyjzhnxmvhnjwyhnonafjgmiunfrbjxnzrrgfkgearfywv.Bnotfrqgwesiprqzbvotvvgomcumozbklszuqzsypizhslbjtmkngrzggdgpccwkwsiireqk,tsceycoyvuztveu-kwgktrtvthlugvvgggdonafjgmibengdxhaihrj.HnxUtiivfybte’scfgomiunvehnxngtvfbgeutiivfybterneyoggypefjoweyprigatsovrvjowetcrkcomsgcuzsbxmkngj,ovhsotvmsofamenergiaysvfblhrkxpvzrxnie:FWsjNwgsnnoxwejtuv5hnilgcrzbzaeGnalorBnjecvbjxnzNnkwugarUazjkksotlIotditgf.JTkwUkqhzdybtygerrattksjzhnxsyeakwgesqiycgzhgovrkvkfaiozgszbtovrrrbtnzatvknxnotpfakltugrkhogggjbs.HnxktojcsjzegcdlwxxdgtFWsjNetaocsymhkmgfpuedrysrqkmhkdrdotwsgnqtvgelkntvguytne21fkqkgtarlrgcxlrafkcihnzrvsizxtutuvrkoerocdstmoltuvzuvarcbdaagizy.»

Пример Crypto 200Криптоанализ шифра может быть построен в два этапа:•Поиск длины ключа. Можно анализировать распределение частот в зашифрованном тексте с различным прореживанием. •Криптоанализ. Совокупность l шифров Цезаря (где l — найденная длина ключа), которые по отдельности легко взламываются.

Пример Crypto 200Для быстрого и качественного решения используем программу Cryptools:

Пример Crypto 200•Ннаходит длину ключа :

•Находит сама ключ:

Пример Crypto 200• Расшифрованный текст:

SoutdernFederalUnivensityisamodernreoearchuniversitysithemphasisoninjovationsandentrapreneurship.Initoacademicactiviteesitcombinesstuzieswithfundamenpalandappliedsciance,aswellascutteng-edgetechnologeesandinnovativewpproaches.TheUnirersity’spositionenthenationalunirersityrankingspnovidespersuasivaevidencetoitsacdievements,apositeveimageandapasseonforexcellence:OFedUwasawardedtde5thplaceintheAnjualIndependentNwtionalUniversituRankings.SFedUeqqipsitsgraduatessithessentialskihlstogivethemacoipetitiveadvantacewhenitcomestogattingajob.TheknosledgeacquiredatOFedUenablesthempoboldlyfacethedamandsandchallencesofthe21stcenturuaswellastocontrebutetothedevelolmentofthelocalckmmunity

Web TasksПоиск SQL инъекций и

несанкционированного доступа к БДВыполнение вредоносных скриптов

разного типа на стороне сервераПолучение управления WEB

сервером при помощи существующих брешей в безопасности

Получение пользовательских данных, посетивших ресурс

Пример Web 100Текс задания: URL-адрес на страничку.

Решение:Исходя из надписи «Language was detect automatically :)» в футере, понимаем, что нужно копаться где-то в районе Accept-Language.Пробуем:

Пример Web 100Т.е. файл открывается при помощи include. Пробуем remote include при помощи заливки простенького <?php echo file_get_contents(‘index.php’); ?> на pastebin.com.

Обращаем внимание на$flag = '5cf27d9bad2fe9d96d2bcf25c3b0bd14';

Сообщество

Ссылки

Гришин Алексейvk.com/mokando

Сообществоhttp://rcc.zone

СПАСИБО ЗА ВНИМАНИЕ!