مسابقة CTF من شركة Offensive-Security
الكاتب: علي الشّمري | يوم: 23 أبريل, 2010 | التعليقات: 19 | القراءات: - عدد المشاهدات 19٬904
أعلنت شركة Offensive-Security إنه سوف تنطلق مسابقة لـ Capture the Flag في الشهر القادم ما بين 8 و 9 من شهر مايو 2010 … المسابقة حسب المعلومات المتوفرة الحالية تفيد بإنه مطلوب من المتسابق إختراق جميع مختبراتهم وذلك في سباق مع الزمن ومع المتسابقين الآخرين … والفائز يحصل على أحدى الدورات التي يقدمونها بالمجان (دورة PWB أو دورة CTP مع إشتراك لمدة شهر في مختبراتهم) …
سيتم الإعلان عن معلومات أخرى هذا اليوم عبر مدونتهم من هنا …
من يود إختراق الأجهزة وتجربة إمكانياته، فلن يجد ربما أفضل من هذه الطريقة التي تتيح لك تجربة مهاراتك بالمجان وبدون أن يتم إلقاء القبض عليك بسبب إختراقك لموقع أو جهاز أحد (هكذا في الخارج، عندنا في دولنا حدث ولا حرج) !
علي (B!n@ry). دكتوراة في أنظمة الحاسوب. يعمل كأستاذ جامعي في قسم علم الحاسوب. مختص في التحقيقات الجنائية الالكترونية والإستجابة للحوادث الالكترونية (DFIR)، أمن الشبكات وتحليلها، وكذلك أمن أنظمة التشغيل المختلفة. حاصل على العديد من الشهادات التقنية، وسابقاً كان يعمل كمختص في جدر النّار، أنظمة كشف الاختراق، ادارة الثغرات والترقيعات، حماية الأنظمة، فحصوصات الاختراق، وتطبيق السياسات. مسؤول سابق عن متابعة وتطبيق (PCI DSS).
التعليقات:
اترك تعليقاً | عدد التعليقات: (19)
بالفعل لقد بدأ مركز التميز لأمن المعلومات في الرياض عمل مثل هذه النشاطات
مثل مسابقة التقاط الأعلام وهي تتمحور حول شبكة حاسوبية تعاني من الثغرات الأمنية
وعلى المتسابق أستغلال هذه الثغرات .. بأذن الله ستكون بداية خير للعرب في هذا المجال
شكراً أستاذ علي
أظن الهدف من ذلك هو إصطياد الثغرات الخاصة…
و السيرفير المستهدف سيلعب دور honeypot.
أما بالنسبة للجائزة فهي ليست مغرية على الإطلاق لأن الشخص الذي لديه الخبرة و طرقه و إستغلالاته الخاصة لن يكون في حاجة إلى تلك الدورات.
أغلب المشاركين في هذه المسابقات يكون دافعهم أحد هذه الأمور (حتى لو كان خبراء):
اللعب والمرح.
شحذ الخبرات.
الطمع في فرص عمل.
Ghost Hacker@ وماذا عن العرب الذين في غير الرياض ؟ يا حسرة 🙁
stalker@ أتفق معاك 100% سلمت يمناك على الرد … هو هذا الي كنت أريده صراحة … يعني شخص عرف يوصل لجميع خوادم المختبر، هل سيكون بحاجة الى دورة تشرح فيها ARP Poison وغيرها من الأمور التي عف عليها الزمن !!!
بشار@ ممكن يا بشار، لكني أنا مع stalker في كل ما جاء في كلامه …
سؤال لك وللاخ stalker أخي ابو محمد:
هل اشتركتما في أي مسابقة من مسابقات CTF؟
سؤال أخ علي هل المسابقة للمشتركين فقط في أحدى دورات offensive security أم انها متاحة للجميع؟
السلام عليكم دكتور وفعلا سلمت يداك سنرى مسابقه فريده من كل الدول سأتابع مستجدتها ان شاء الله
ومتفق مع الاخ stalker فيما قاله
يعطيك العافية دكتور
مشكور أبو محمد على الخبر و بالفعل كما قال أخوي Ghost Hacker أن مركز التميز قام بهذه المسابقة أيضا
طبعا أوافق على نقاط بشار
و أوافق أيضا على نقاط stalker
و أعتقد أن هذه المسابقات تستفيد منها الحكومات أيضا لمعرفة المتواجدين على الساحة و إحصائهم
يعني حتى لو كانت الجائزة قوية و يكفي أيضا أن الفائز قد فاز بالسمعة , لكن الحكومات لا تفوت هذه الفرص (معهم حق بصراحة).
@بشار نعم أخي شاركت ب 3 منها لكنها لم تكن بإستهداف سيرفير و إنما كان مبدأها إستغلال الثغرات.
تمام أخي stalker.
أنا اشتركت أيضاً في بعضها، وتابعت أخبار العديد منها والتقيت ببعض من يقوم بتنظيمها ويصمّمونها. وهي في الأغلب تقوم على استغلال الثغرات، ولكن ليس الاستغلال الذي يعرفه الكثيرون من خلال Metasploit مثلاً. ولكن يقوم بالدّخول من خلال ثغرة إلى نظام، ليجد ملف يحتاج إلى عمل هندسة عكسية له، أو فك تشفيره ويكون الملف يحتوي على سر للدخول الى نظام آخر. وغير ذلك الكثير.
لكن حسب ما فهمت من كلامك أن مسابقة OS ستعتمد على كتابة أو استخدام ثغرات غير معروفة حتى يقوموا هم بالاستفادة منها لاحقاً. هذا ظن لا أدري مدى دقّته.
لا أدري ان كنت سمعت ب اد سكودس او مايكل بور وهناك غيرهما كثير. وهم يشتركون في مسابقات CTF الخاصة ب Defcof وعلى ذمّتهم سبب الاشتراك هو التّسلية والتّشويق.
مسابقات CTF متعددة فكما ذكرت هناك من تحتاج إلى إستخراج رقم سري مخفي في ملف و منها من يحتاج إلى إستخدام ثغرات معروفة.
و منها من يحتاج إلى عملية جمع المعلومات و التخمين.
أما التي تكلمت أنا عنها فهي عبارة عن إستغلال ثغرات في برامج مصابة و في كل level نجد نوع جديد
stack,heap,integer overflows و كذلك format string
ثم تكتب إستغلال للثغرة بعد التلاعب مع البرنامج بال gdb لتنتقل إلى المستوى التالي.
لم أسمع عن هؤلاء لكننا لا نستطيع المقارنة بين CTF الخاص بالdefcon و الoffsec
لأن defcon لا تكون عن طريق النت و إنما في شبكة خاصة و المشاركين معروفين كما ذكرت.
أما offsec فهذه أول تجربة لها و أعطت الفرصة للجميع بالمشاركة فالواضح أن الغرض سيكون بمعرفة الطرق و الأساليب الخاصة لكل مشترك (خاصة أفضلهم).
ممكن يكون فيه خبراء يشاركون بغرض التسلية و التحدي كما قلت.
لحقوا التسجيل يا شباب:
http://www.information-security-training.com/news/how-strong-is-your-fu-registration-and-rules/
🙂
بارك الله فيك.
لقد شاركت مرة واحدة في مسابقة CTF ، وكانت رائعة وممتعة جداً حتى أنني استفدت من بعض الأسئلة كان حلها لم يمر علي البتة.
الجميل في مسابقة Offensive-Security هو أن المسابقة ستكون عبر VPN مما يتيح فرصة لأكبر عدد من المشاركين، والرائع أيضاً أنك ستدخل من بيتك وستأخذ راحتك بالكامل، لكنني أتوقع أن الأسئلة ستكون مؤلمة جداً 🙂
تحيتي لك ولقد سجلت وأكدت ذلك وبانتظارها …
السلام عليكم
فكره حلوه وخطوه حلوه
لاكن ابي احط قوسين بين كلمة من الاخ B!n@ry
هكذا في الخارج، عندنا في دولنا حدث ولا حرج
بانه الي مسوي هذه المسابقه ليس في الحكومه وليس من الذين يمثلون القانون
هذه مجموعة من المطورين و المبرمجين و التجار على ارض الشبكة الوهمية
مافي احد سال ليه هذه المسابقه ليش كان المقصد اختراق جهاز هم يحددونه
ليه ممكن يكون الشيء بصالحهم هم وبرمجياتهم بكره يعرفون نقاط الضعف
والطرق الخاصه و البرايفت وتلاقي برامجهم الي يصممونها تمنع طريقة اختراقك الي
وصلت لها يقدر اعضاء فريق موقع http://www.security4arabs.com يسون سيرفر
ويتحدونا نحن الاعضاء باختراقه ونقدر نقوم مسابقه بيننا نحن البعض ونطور قدرات بعض
الله لا يحوجنا لهم
موفقين
stalker@ أرجوا أن ترسل لي بريدك للضرورة، لأنني حاولت الإتصال بك ولم أتمكن من ذلك …
JxH@ وعليكم السلام ورحمة الله وبركاته
نعم يا خوي هم لا يمثلون حكومة ولا مؤسسة حكومية ولا شيء لكن عندهم القوانين حق الجرائم الألكترونية صارمة جداً … ومثل هذه الإختراقات ممكن تودي الواحد في داهية إذا لم يتبع مثلاً Rules of Engagement معينة في حالة إختراق جهة تطلب منه ذلك أو في حالة إختراق جهة عشوائية سيخضع لمشاكل أكبر وأكبر …
إن شاء الله هناك أفكار لعمل مثل هذه المسابقات، لكنها تحتاج الى الدعم المادي، قمت بعمل واحدة بالسابق لعرب نيكس وإن شاء الله سأعمل واحد آخر في القريب العاجل حال توفر جميع المصادر اللازمة … بالإضافة الى إنه هناك مفاجئات من نوع آخر … ليس إختراق ولكنها تخص الأمور الأمنية أيضاً 😉
@B!n@ry تم الإرسال أخي
stalker@ الله يسعدك يارب … راجع بريدك أخي … وسأقوم بحذف هذه الردود حال تأكدك من قرائتك لردي هذا … فقط أبلغني بذلك 🙂
muts Honey Pot &&
A “successful compromise” includes getting an actual shell on the compromised machine – root or administrative privileges preferred. A PROOF file and ORGANIZED documentation are both required for us to accept your solutions to the challenge. GOOD documentation WILL HAVE PREFERENCE (ideally, a pentest report). Depending on your documentation, we may publish your report.
كنت افكر انهم honeybot, لاكن الي تبين انها فعلا مسابقة جميلة وممتعة, وتفتح بصيرة المتسابق بامور حلوة وقوية…
بصراحة انتظر المسابقات القادمة منهم باحر من الجمر …