برای نخستین بار مسابقه امنیت سایبری در نمایشگاه رسانه‌های دیجیتال انقلاب اسلامی به صورت روزانه برگزار می‌شود.

به گزارش پایگاه خبری تحلیلی مبارکه نا به نقل از کمیته اطلاع‌رسانی سومین نمایشگاه رسانه‌های دیجیتال انقلاب اسلامی، برای نخستین بار مسابقه امنیت سایبری در سومین نمایشگاه رسانه‌های دیجیتال انقلاب اسلامی به صورت روزانه برگزار می‌شود.

اهداف مسابقه امنیت سایبری

این مسابقه با هدف آشنایی مخاطبان با حوزه‌های امنیت سایبری و همچنین شناسایی استعدادهای جدید و به روز در این حوزه به صورت روزانه از جمعه 23 بهمن‌ لغایت 27 بهمن‌ همزمان با برگزاری نمایشگاه رسانه‌های دیجیتال انقلاب اسلامی برگزار می‌شود.

شرکت کنندگان می‌توانند از ساعت 9 صبح 25 بهمن‌ به وب سایت ctf.seraj.ir مراجعه کرده و فایل چالش را دریافت کرده و بعد از به دست آوردن جواب سوالات، پاسخ خود را به نشانی ایمیل ctf@seraj.ir  ارسال کنند.

شرکت کنندگان به منظور اطلاع از چالش‌های روزانه و همچنین شرایط شرکت در مسابقه به نشانی ctf.seraj.ir مراجعه کنند.

همچنین به افرادی که در مسابقه روزانه امنیت سایبری شرکت کنند و جواب صحیح دهند به قید قرعه یک سکه تمام بهار آزادی اهداء خواهد شد. همچنین به هر کدام از شرکت کنندگانی که حداقل به 3 سوال پاسخ صحیح دهند، یک آی پد نیز اهدا خواهد شد.

چالش روز سوم:

یک ماجرای واقعی

اواخر سال 2012 میلادی، که گوگل به عنوان یک شرکت بسیار بزرگ و فن‌آورانه در جهان خوش درخشیده بود، اتفاقات عجیبی رقم خورد. یک رایانامه‌ی عجیب؛ که برای معرفی یک موقعیت شغلی مناسب در گوگل ارسال شده و از آقای Zachary Harris سوال پرسیده بود که آیا علاقه‌مند به آن موقعیت شغلی است یا خیر.

متن رایانامه به این صورت بود: «شما به وضوح علاقه‌ی شدیدی به سامانه عامل لینوکس و برنامه‌نویسی دارید، من می‌خواهم بدانم آیا علاقمند به بررسی موقعیت‌های شغلی گوگل هستید؟»

هریس کنجکاو شد اما شک و تردید هم وجودش را فراگرفته بود. این رایانامه در دسامبر به صورت کاملاً غیرمنتظره به دست وی رسیده بود و به عنوان یک ریاضی‌دان، او احتمالاً مناسب موقعیت‌های شغلیِ گوگل نبود. به همین دلیل او شک کرد که ممکن است این رایانامه جعلی بوده و تنها یک هرزنامه باشد که ظاهراً از طرف گوگل ارسال شده است.

اما با بررسی سرآیند این رایانامه، هریس متوجه شد که هیچ اطلاعات اشتباهی در این سرآیند نیست و اطلاعات کاملاً معتبر است. سپس هریس متوجه یک مشکل عجیب شد؛ گوگل در حال استفاده از یک کلید رمزنگاری بسیار ضعیف بود! او در صدد اثبات این حقیقت برآمد که رایانامه واقعاً از طرف گوگل آمده ارسال شده یا نه. تقریباً هر کسی که می‌توانست این کلید را بشکند، در واقع می‌توانست از آن برای ارسال رایانامه‌هایی استفاده کند که ظاهراً از طرف گوگل آمده است. حتی این رایانامه می‌توانست از طرف مدیران اصلی گوگل سرجی بِرین و لاری پِیچ باشد!

این مشکل مربوط به کلید DKIM است که گوگل برای رایانامه‌های دامنه‌ی google.com استفاده می‌کند. کلید DKIM یک کلید رمزنگاری مبتنی بر الگوریتم RSA است که دامنه‌ها از آن استفاده می‌کنند تا مشخص نمایند یک رایانامه واقعاً از دامنه‌ی اصلی ارسال شده است یا خیر؛ به این ترتیب نشان می‌دهند که اطلاعات سرآیند یک رایانامه که آدرس یک دامنه را نشان می‌دهد صحیح است؛ در واقع با این روش دامنه‌ فرستنده سرآیند رایانامه را با امضای دیجیتال خود ارسال می‌کند. وقتی رایانامه به مقصد می‌رسد، کارگزار دریافت‌کننده می‌تواند کلید عمومی فرستنده را از کارگزارهای DNS پیدا کرده و امضای فرستنده را بررسی کند.

به دلایل امنیتی، استانداردهای DKIM پیشنهاد می‌کند که از کلیدهایی با دست‌کم طول 1024 بیت استفاده شود. اما گوگل از یک کلید 512 بیتی استفاده می‌کرده که با کمک ابزارهای موجود و اندکی توان‌مندی محاسبه قابل شکستن بوده است. هریس پس از این‌که به مشکل پی برد، نتیجه گرفت که گوگل تا این حد بی‌دقت نیست و شاید واقعاً این مسئله از طرف تیم استخدام طرح شده تا بررسی کنند کدام یک از متقاضیان کار به این آسیب‌پذیری پی می‌برند.

هریس به کار در گوگل علاقمند نبود؛‌ اما تصمیم گرفت تا کلید را بشکند و یک رایانامه به مدیران گوگل یعنی برین و پیچ ارسال کند تا نشان دهد در بازی استخدامیِ آن‌ها شریک است! در نهایت با ارسال یک رایانامه از طرف برین به لاری پیچ، او یک آدرس از وب‌گاه خودش را ارسال کرد و گفت که تصور می‌کند صاحب این  به اندازه‌ی کافی برای کار در گوگل جالب به نظر می‌رسد و بهتر است وی را استخدام کنیم!

هریس مطمئن بود که اگر پاسخی ارسال شود، وی آن را دریافت می‌کند؛ اما پاسخی دریافت نشد! 2 روز بعد متوجه شد که کلید رمزنگاری گوگل تغییر کرده و 2048 بیتی شده است و البته وب‌گاه وی از طرف آدرس‌های آی‌پی گوگل بازدیدهای بسیاری داشته است! خب روشن است؛ هریس یک آسیب‌پذیری واقعی پیدا کرده بود و این یک بازی نبود! هریس با بررسی وب‌گاه‌های دیگر متوجه شد که این مشکل در بسیاری از وب‌گاه‌های مشهور دیگر مانند یاهو، پی‌پال، آمازون، ای‌بِی، اپل، لینکد‌این، توییتر و … نیز وجود دارد.

گرچه ساز و کار DKIM و نیز نرم‌افزار پیاده‌سازی متن‌باز آن یعنی OpenDKIM، برای آزمون درستی منبع فرستنده و گیرنده به‌کار می‌روند و نمی‌توانند تغییری در محتوای رایانامه‌ها ایجاد کنند، با این وجود، کشف چنین نقص امنیتی آشکار موجب می‌شد تا از اعتبار گوگل در زمینه‌ی حفظ امنیت محصولات خود بکاهد. چنین اخباری شاید هرگز به گوش کاربرانی که تنها به در دسترس بودن خدمت مورد نیازشان می‌اندیشند، نرسد، ولی آن‌چه مهم است توجه و اهمیت لازم به میزان امنیت محصولاتی که زندگی خود را به آن‌ها گره زده‌ایم.

این پیکار برای حل نیاز به آشنایی با مبانی رمزنگاری کلید عمومی داشته و برای کسانی که با مفاهیم رمزنگاری بیگانه‌اند توصیه نمی‌شود.

در این پیکار با استفاده از یک کلید ضعیف، که ساختارها و پایه‌های اساسی مورد نیاز برای عرضه شدن به عنوان یک کلید امن را دارا نیست، جواب چالش یا همان متن پیام، رمزگذاری شده است.

چگونگی ارسال پاسخ چالش

در پاسخ به این پیکار تمامی اطلاعات استخراج شده از طریق تحلیل داده‌هایی مکانی در اختیار را توضیح داده و در نوشتار مربوط به پاسخ‌ بیاورید. پس از حل چالش و دست‌یابی به پاسخ، تمامی پرونده‌ها را داخل پوشه‌ای به نام ans_chall_2 قرار داده و پس از فشرده کردن آن با قالب زیپ به نشانی رایانامه‌ی مسابقه، ctf@seraj.ir ارسال فرمایید. موضوع این رایانامه باید نام چالش باشد، در پایان نیز نام و شماره‌ی تماس خود را درج نمایید.

زمان ارسال پاسخ

مدت زمان ارسال پاسخ برای پیکار سوم، از ساعت 9 صبح روز یک‌شنبه 25 بهمن‌ماه تا 21 شب روز دوشنبه 26 بهمن‌ماه است، به پاسخ‌های ارسالی پس از بازه‌ی بیان شده ترتیب اثر داده نخواهد شد. ممکن است مدت زمان مسابقه تمدید شود، از این‌رو این صفحه را مجدد بازبینی نمایید.

انتهای پیام/