می توان امیدوار بود نتایج این مسابقه حتی در کوتاه مدت در زمینه امنیت فضای تبادل اطلاعات در کل کشور تاثیزگذار بوده است.
منبع : نشریه سما(شرکت امن افزار)
اولین دوره مسابقات نفوذ و دفاع در فضای مجازی در تیرماه 1390 و حول سه محور مسابقه هک و نفوذ، ارائه های خلاقانه و پوستر و کاریکاتورهای ترویجی برگزار شد. این تجربه برگزاری که در نوع خود برای نخستین بار در کشور اجرا می شد، با استقبال خوبی مواجه شد به نحوی که هم اکنون و به زودی مرکز آپای شریف چهارمین دوره آن را برگزار خواهد نمود. در خصوص چند و چون این مسابقات و اهداف برگزاری آن با دکتر مرتضی امینی گفتگویی داشتیم که در ادامه می خوانید. ۱- لطفا در ابتدا مركز آپاي دانشگاه شريف را به عنوان برگزاركننده اين مسابقه معرفي نماييد و در مورد فعاليتهاي آن به اختصار توضيح دهيد. زمینه تخصصی مرکز آپا شریف در سالهای اولیه تشکیل، آگاهی رسانی، پشتیبانی و امداد در حوزه سیستمهای مدیریت پایگاهداده بوده است. اما در حال حاضر، فعالیتهای این مرکز در جهت ارائه کلیه خدمات تخصصی آپا به کاربران و سازمانها گسترش یافته است. ارائه مشاورههای امنیتی در زمینه امنسازی بسترهای فناوری اطلاعات، مدیریت و تحلیل حوادث امنیتی، مدیریت و تحلیل بدافزارها، تولید ابزارهای امنیتی موردنیاز در تشخیص و ردیابی حملات و مسببین آنها از جمله خدماتی است که توسط این مرکز به سازمانهای دولتی و خصوصی ارائه میگردد. ۲- در مورد مسابقه نفوذ و دفاع و تاريخچه آن توضيح دهيد. روند برگزاري را به اختصار بيان فرماييد. اولین دوره رقابتهای نفوذ و دفاع در فضای مجازی در تیرماه ۱۳۹۰ و حول سه محور شامل مسابقه هک و نفوذ، ارایه روشهای خلاقانه در نفوذ و دفاع و طراحی پوستر و کاریکاتورهای ترویجی برگزار شد. اما در دوره جاری، این رقابتها به پنج محور گسترش یافته است. کشف شواهد رایانهای و برگزاری کارگاههای آموزشی دو محور جدیدی هستند که به این رقابتها افزوده شدهاند.
مسابقه هک و نفوذ که بخش پر طرفدار رقابتها است، در دو مرحله برگزار میشود. مرحله مقدماتی با فاصله دو هفته تا یک ماه قبل از مسابقه نهایی برگزار میشود. در این مرحله کلیه تیمهای ثبتنامی، به صورت برخط و غیرحضوری در مسابقه شرکت میکنند و به چالشهای مطرح شده در زمینههای مختلف امنیت فضای مجازی پاسخ میدهند. ۲۰ تیم برتر مسابقه مقدماتی با حضور در دانشگاه صنعتی شریف در مسابقه نهایی شرکت میکنند. علاوهبراین در این دوره از مسابقات، برای اولین بار مسابقه هک و نفوذ ویژه دانشآموزان نیز برگزار میشود.
در بخش کشف شواهد رایانهای، دادههای شبیهسازی شدهای در اختیار شرکتکنندگان قرار گرفت و از آنها خواسته شد که پلیس را در یافتن اطلاعات از این دادهها یاری کنند.
در دو بخش ارایههای خلاقانه و طراحی پوستر و کاریکاتورهای ترویجی، آثار ارائه شده توسط شرکت کنندگان ابتدا توسط هیات داوران هر بخش بررسی و آثار برتر در زمان برگزاری رقابتها ارائه میشوند.
۳- هدف از برگزاري اين مسابقات چيست؟ یکی از اهداف اصلی ما عمومی ساختن مفهوم امنیت فضای تبادل اطلاعات در کشور است. علاوهبراین این مسابقات فرصت مناسبی برای تیمها و افراد فعال در حوزه امنیت فضای تبادل اطلاعات (به خصوص تیمهای آزمون نفوذ و ارزیابی امنیتی) جهت محکزنی توانمندیها و قابلیتهای تخصصی خود فراهم میآورد. گردهمآیی متخصصین و مسئولین این حوزه در اثنای اجرای این مسابقه نیز با هدف پیوند و آشنایی این افراد با یکدیگر و تبادل دانش، تجربیات و مهارتهاي آنها صورت میپذیرد. ۴- آيا مسابقات مشابهي در كشورهاي ديگر انجام مي شود؟ جايگاه اين مسابقه در مقايسه با آنها چگونه است؟ حدود ۱۰ سال است که چنین مسابقاتی در دنیا برگزار میشود که ممکن است تفاوتهایی در نحوه اجرا با یکدیگر داشته باشند. در سایت ctf.org میتوانید زمانبندی این مسابقات را ببینید. مسابقه مرکز آپا شریف با سابقه ۳ دوره برگزاری، نسبت به خیلی دیگر از دانشگاههای دیگر برگزار کننده جوان است. البته دور مقدماتی چهارمین دوره مسابقه هک و نفوذ که اواخر شهریورماه جاری برگزار شد به صورت بینالمللی بود که در آن ۳۷۵ تیم ثبت نام کردند که از بین آنها بیش از ۲۰۰ تیم، از کشورهای خارجی بودهاند.
۵- شركت كنندگان مسابقه هک و نفوذ از چه طيفي هستند؟ آيا واقعا دانش آموزان نيز آنطور كه در خبرها آمده بود مي توانند در این مسابقه شركت كنند؟ آيا ارزيابي آنها جدا از سايرين انجام مي شود؟ کلیه علاقمندان به حوزه امنیت فضای تبادل اطلاعات میتوانند در این مسابقه شرکت نمایند. در طی سه دوره گذشته، تعداد دانشجویان روندی افزایشی داشته است. مسابقه دانشآموزی امسال برای اولین بار برگزار میشود که دانشآموزان با ارایه معرفینامه از مدرسه محل تحصیل خود میتوانند در این مسابقه شرکت نمایند. این مسابقه در سطحی کاملاً منطبق بر دانش این دسته از شرکت کنندگان برگزار میشود و در آن سعی میشود دانشآموزان با مفاهیم امنیت و دفاع در حوزه فضای تبادل اطلاعات آشنا شوند. در ضمن سوالات و چالشهای مربوط به دانشآموزان و ارزیابی آنها به صورت مجزا از تیمهای حرفهای صورت میپذیرد.
۶- سطح مسابقه را از نظر فني چطور ارزيابي مي كنيد؟ در مقايسه با ديگر كشورها؟ آيا انتظار شما از مسابقات پيش از اقدام به برگزاري در همين حد بود يا انتظار كمتر يا بيشتري داشتيد؟ ما سعی میکنیم سؤالات و چالشها هر چه بیشتر به سطح استانداردی که در سایر مسابقههاوجود دارد، نزدیک شوند. تعداد تیمها در هر دوره، از دوره قبل بیشتر است. البته ما انتظار این حد را در مسابقه اول نداشتیم اما به نظر میرسد هنوز افراد و گروههایی هستند که در این مسابقه شرکت نمیکنند.
از نظر کیفیت سوالات در مقایسه با سایر مسابقات بزرگ دنیا، هنوز فاصله داریم اما بر اساس نظرسنجی در مسابقه مقدماتی دور جاری که به صورت جهانی برگزار شد، به صورت عمومی تیمها از روند برگزاری و کیفیت سوالها راضی بودند. اما بسیاری از شرکت کنندگان معتقد بودند سوالها در سطح ساده بودند که البته دلیل اصلی این امر آن است که ما سوالها را برای متوسط تیمهای ایرانی طرح کرده بودیم. ۷- كيفيت برگزاري مسابقه از نظر رعايت استانداردهاي محيطي، تجهيزات، مكانيزم داوري، اطمينان از عدم تقلب، رفاه حال شركت كنندگان و ... چگونه است؟ برگزاری مسابقه نهایی معمولاً در سایت دانشکده مهندسی کامپیوتر دانشگاه صنعتی شریف است که امکانات نسبتاً خوبی دارد. از نظر مکانیزمهای داوری و بررسی احتمال تقلب، از دور اول مکانیزمهایی در نظر گرفته شده است که در همان دور اول هم منجر به کشف مواردی از تقلب شد. ولی با توسعه نرمافزارها در هر دوره بهبودهایی در آنها انجام گرفته است. در این زمینه به نظر نمیرسد مشکل یا نارسایی خاصی وجود داشته باشد.
۸- به جز هدف ترويجي، آيا مسابقه خروجي ديگري هم داشته؟ مثلا به كشف يك حفره امنيتي جديد يا يك روش نوين دفاع منجر شده باشد؟ در بخش ارایه روشهای خلاقانه در نفوذ و دفاع، سعی میشود که از کسانی که کاری نوآورانه در این زمینه انجام دادهاند، مثلاً حفره امنیت جدیدی کشف کردهاند یا آسیبپذیری جدی یافتهاند تقدیر شود. همچنین فرصتی برای ارایه و به اشتراک گذاشتن تجربه و دانش آنها فراهم شده است. حتی اگر این آسیبپذیریها در بسترهای حساس کشور باشد سعی میشود که با ذینفعان برای حل مساله همکاری شود و ارایهها در فضایی محدود ارایه شود تا مشکلات کشف شده حل و برطرف شوند. ۹- بعد از مسابقه، آيا مكانيزمي انديشيده شده كه از دانش و تجريه برگزيدگان مسابقه استفاده شود؟ چه در جهت آموزش و چه در جهت عملي؟ در برگزاری این مسابقات سعی شده است که فضای لازم برای تعامل متخصصین و مسئولین با یکدیگر فراهم گردد. در این فضا مسئولین و صاحبان شرکتها فرصت لازم برای معرفی فعالیتهای تخصصی خود و جذب افراد متخصص و و بهرهمندی از دانش و تجربه آنها را خواهند داشت. شایان ذکر است که وظیفه یک نهاد دانشگاهی صرفا فراهم آوردن اینگونه فضاها و ارتقای دانش و فرهنگ عمومی در حوزههای تخصصی است و بهرهمندی از این فضا بر عهده شرکتکنندگان در مسابقات و گردهمآییهای آن است. ۱۰- آيا مسابقه فقط در حوزه نفوذ به شبكه هاي كامپيوتري است؟ آيا بر روي بستر موبايل كاري صورت گرفته يا برنامهاي براي اين كار داريد؟ تا کنون در زمینه امنیت موبایل در مسابقه هک و نفوذ سؤال و چالشی مطرح نشده است. اما محدودیتی وجود ندارد، با توجه به نیاز، چالشها میتوانند در کلیه حوزههای مرتبط مطرح شوند. به عنوان مثال امسال یک محور دیگر به مجموعه رقابتها افزوده شده که در آن از افراد خواسته شده که به انجام یک تحلیل جامع در حوزه کشف شواهد رایانهای بپردازند.
۱۱- در پايان اگر سخني داريد كه مايليد مطرح كنيد، بفرماييد. شروع این مسابقات در کشور ما اگر چه با دشواریهایی مواجهه بود، اما پس از چهار دوره برگزاری خوشبختانه از حساسیت این مساله کاسته شده تا جاییکه سایر دانشگاهها و مراکز نیز اقدام به برگزاری مسابقههای مشابه نمودهاند. امیدواریم با ادامه این روند شاهد افزایش کیفیت این مسابقات و در نتیجه بالا رفتن دانش متخصصین این حوزه و در نتیجه امنیت بیشتر در فضای تبادل اطلاعات شویم.