برگزاری مسابقه «فتح پرچم امنیت سایبری» با حمایت فولاد مباركه

به گزارش نجوا خبر، استفاده و به‌کارگیری توان و تخصص امنیت سایبری یکی از چالش‌های صنایع در کشور و به‌تبع آن در شرکت فولاد مبارکه بوده است که به این منظور، حمایت از برگزاری هشتمین جشنواره امنیت یکی از اقدامات مهم سال جاری بوده است.

فولاد مبارکه با هدف شناسایی استعدادهای امنیت سایبری در کشور از جشنواره افتا که از خرداد 1402 آغاز شده و در اردیبهشت 1403 به کار خود پایان خواهد داد، در قالب رویدادهای مختلف آموزشی و پژوهشی حمایت کرده است.

یکی از این رویدادها برگزاری مسابقه‌ای تحت عنوان مسابقه فتح پرچم (CTF) است. این مسابقات به‌صورت کاملاً قانونی در همه جای دنیا برگزار می‌شود و در ایران به مسابقات امنیت سایبری و مسابقات هک و امنیت معروف است.

کارشناس امنیت سایبری فولاد مبارکه در این باره گفت: مسابقه CTF با هویت‌سازی تحت عنوان «مازاپا» در تاریخ 17 اسفند از ساعت 10 صبح به مدت 36 ساعت با کمک تیم فنی و تخصصی مرکز آپای دانشگاه صنعتی اصفهان برگزار شد.

به گفته شبنم قادری، ما در دنیای امنیت، هم در زمان انجام تست‌های امنیتی و هم در زمانی که دفاع می‌کنیم، با سیستم‌های پیچیده‌ای روبه‌رو هستیم که شبیه به هزارتو (ماز) هستند و در این مسابقه شرکت‌کنندگان با همین سیستم‌های پیچیده و هزارتو مواجه شدند؛ بنابراین به‌منظور اثرگذاری بیشتر و هویت‌سازی در این مسابقه از نام «مازآپا» استفاده شد.

وی گفت: در مسابقه مازاپا، طی 36 ساعت رقابت تنگاتنگ و هیجان‌انگیز 227 تیم به رقابت پرداختند و شرکت‌کنندگان با چالش‌هایی روبه‌رو می‌شدند که برای پاسخ به آن‌ها باید تلاش می‌کردند تا از آسیب‌پذیری تعبیه‌شده در سیستم‌های مورد هدف در مسابقه بهره‌برداری کنند.

کارشناس امنیت سایبری فولاد مبارکه از فعالیت‌های ذیل به‌عنوان مجموعه اقدامات مهمی که برای برگزاری مسابقه انجام شده است نام برد: طراحی چالش‌های امنیتی، پیاده‌سازی سناریوهای مسابقه؛ 2- استقرار زیرساخت برگزاری مسابقه؛ 3- استقرار تیم‌های پشتیبان مسابقه طی 36 ساعت به‌صورت 7*24.

گفتنی است در رویداد مازآپا تلاش شده است که برای واقعی‌تر شدن مسابقه به‌جای برگزاری آن در سبک Jeopardy، از سبک Attack and Defense استفاده شود و سه جریان داستانی اصلی برای مسابقه طراحی شده است.

- شناسایی کارمند یک شرکت از طریق شبکه اجتماعی و نفوذ به کامپیوتر شخصی آن‌ها، تحلیل و مهندسی معکوس بدافزاری که روی سیستم کارمند است، دسترسی گرفتن از سرور آسیب‌پذیر و در نهایت دسترسی به شبکه سازمان پس از طی این زنجیره حمله؛

- نفوذ به ایمیل سرور شرکت مدنظر، استخراج پیکربندی VPN سازمان که اطلاعات آن توسط کارمندان شرکت از طریق ایمیل برای هم ارسال شده بود، دسترسی به یکی از سیستم‌های کاربران، رد کردن تجهیزات امنیتی سر راه سرویس و دسترسی به شبکه صنعتی پس از طی زنجیره حمله؛

- نفوذ به ایمیل سرور شرکت، تغییر فایل ضمیمه ایمیل، نفوذ به سیستم کاربر، نفوذ به شبکه صنعتی از طریق PLC.

تیم‌های شرکت‌کننده طی 36 ساعت نفس‌گیر و در شرایطی که هر لحظه با طی‌شدن چالش‌ها و پیشرفت در مسابقه رده‌بندی نفرات تغییر پیدا می‌کرد موفق به عبور از چالش‌ها شدند.

در این مسابقه به نفرات اول تا سوم جوایز نقدی اعطا خواهد شد و به سایر گروه‌های ممتاز طی نشستی حضوری جوایز غیرنقدی تعلق خواهد گرفت.