به گزارش
گروه وبگردی باشگاه خبرنگاران جوان، برای اولین بار مسابقه امنیت سایبری در سومین نمایشگاه رسانه های دیجیتال انقلاب اسلامی به صورت روزانه برگزار می شود.
این مسابقه با هدف آشنایی مخاطبان با حوزه های امنیت سایبری و همچنین شناسایی استعدادهای جدید و به روز در این حوزه به صورت روزانه از جمعه 23 بهمن ماه لغایت 27 بهمن ماه همزمان با برگزاری نمایشگاه رسانه های دیجیتال انقلاب اسلامی برگزار می گردد.
شرکت کنندگان می توانند از ساعت 9 صبح 25 بهمن ماه به وب سایت ctf.seraj.ir مراجعه کرده و فایل چالش را دریافت کرده و بعد از بدست آوردن جواب سوالات، پاسخ خود را به آدرس ایمیل ctf@seraj.ir ارسال کنند.
لازم به ذکر است که شرکت کنندگان به منظور اطلاع از چالش های روزانه و همچنین شرایط شرکت در مسابقه به آدرس ctf.seraj.ir مراجعه کنند.
همچنین به افرادی که در مسابقه روزانه امنیت سایبری شرکت کنند و جواب صحیح دهند به قید قرعه یک سکه تمام بهار آزادی اهداء خواهد شد. همچنین به هر کدام از شرکت کنندگانی که حداقل به 3 سوال پاسخ صحیح دهند، یک آی پد نیز اهداء خواهد شد.
اواخر سال 2012 میلادی، که گوگل به عنوان یک شرکت بسیار بزرگ و فنآورانه در جهان خوش درخشیده بود، اتفاقات عجیبی رقم خورد. یک رایانامهی عجیب؛ که برای معرفی یک موقعیت شغلی مناسب در گوگل ارسال شده و از آقای Zachary Harris سوال پرسیده بود که آیا علاقهمند به آن موقعیت شغلی است یا خیر.
متن رایانامه به این صورت بود: «شما به وضوح علاقهی شدیدی به سامانه عامل لینوکس و برنامهنویسی دارید، من میخواهم بدانم آیا علاقهمند به بررسی موقعیتهای شغلی گوگل هستید؟
هریس کنجکاو شد، اما شک و تردید هم وجودش را فراگرفته بود. این رایانامه در ماه دسامبر به صورت کاملاً غیرمنتظره به دست وی رسیده بود و به عنوان یک ریاضیدان، او احتمالاً مناسب موقعیتهای شغلیِ گوگل نبود. به همین دلیل او شک کرد که ممکن است این رایانامه جعلی بوده و تنها یک هرزنامه باشد که ظاهراً از طرف گوگل ارسال شده است.
اما با بررسی سرآیند این رایانامه، هریس متوجه شد که هیچ اطلاعات اشتباهی در این سرآیند نیست و اطلاعات کاملاً معتبر است. سپس هریس متوجه یک مشکل عجیب شد؛ گوگل در حال استفاده از یک کلید رمزنگاری بسیار ضعیف بود! او در صدد اثبات این حقیقت برآمد که رایانامه واقعاً از طرف گوگل آمده ارسال شده یا نه. تقریباً هر کسی که میتوانست این کلید را بشکند، در واقع میتوانست از آن برای ارسال رایانامههایی استفاده کند که ظاهراً از طرف گوگل آمده است. حتی این رایانامه میتوانست از طرف مدیران اصلی گوگل سرجی بِرین و لاری پِیچ باشد!
این مشکل مربوط به کلید DKIM است که گوگل برای رایانامههای دامنهی google.com استفاده میکند. کلید DKIM یک کلید رمزنگاری مبتنی بر الگوریتم RSA است که دامنهها از آن استفاده میکنند تا مشخص نمایند یک رایانامه واقعاً از دامنهی اصلی ارسال شده است یا خیر؛ به این ترتیب نشان میدهند که اطلاعات سرآیند یک رایانامه که آدرس یک دامنه را نشان میدهد صحیح میباشد؛ در واقع با این روش دامنه فرستنده سرآیند رایانامه را با امضای دیجیتال خود ارسال میکند. وقتی رایانامه به مقصد میرسد، کارگزار دریافتکننده میتواند کلید عمومی فرستنده را از کارگزارهای DNS پیدا کرده و امضای فرستنده را بررسی نماید.
به دلایل امنیتی، استانداردهای DKIM پیشنهاد میکند که از کلیدهایی با دستکم طول 1024 بیت استفاده شود. اما گوگل از یک کلید 512 بیتی استفاده میکرده که با کمک ابزارهای موجود و اندکی توانمندی محاسبه قابل شکستن بوده است. هریس پس از اینکه به مشکل پی برد، نتیجه گرفت که گوگل تا این حد بیدقت نیست و شاید واقعاً این مسئله از طرف تیم استخدام طرح شده تا بررسی کنند کدام یک از متقاضیان کار به این آسیبپذیری پی میبرند.
هریس به کار در گوگل علاقهمند نبود؛ اما تصمیم گرفت تا کلید را بشکند و یک رایانامه به مدیران گوگل یعنی برین و پیچ ارسال کند تا نشان دهد در بازی استخدامیِ آنها شریک است! در نهایت با ارسال یک رایانامه از طرف برین به لاری پیچ، او یک آدرس از وبگاه خودش را ارسال کرد و گفت که تصور میکند صاحب این آدرس به اندازهی کافی برای کار در گوگل جالب به نظر میرسد و بهتر است وی را استخدام کنیم!
هریس مطمئن بود که اگر پاسخی ارسال شود، وی آن را دریافت میکند؛ اما پاسخی دریافت نشد! 2 روز بعد متوجه شد که کلید رمزنگاری گوگل تغییر کرده و 2048 بیتی شده است و البته وبگاه وی از طرف آدرسهای آیپی گوگل بازدیدهای بسیاری داشته است! خب روشن است؛ هریس یک آسیبپذیری واقعی پیدا کرده بود و این یک بازی نبود! هریس با بررسی وبگاههای دیگر متوجه شد که این مشکل در بسیاری از وبگاههای مشهور دیگر مانند یاهو، پیپال، آمازون، ای،بِی، اپل، لینکداین، توییتر و … نیز وجود دارد.
گرچه ساز و کار DKIM و نیز نرمافزار پیادهسازی متنباز آن یعنی OpenDKIM، برای آزمون درستی منبع فرستنده و گیرنده بهکار میروند و نمیتوانند تغییری در محتوای رایانامهها ایجاد کنند، با این وجود، کشف چنین نقص امنیتی آشکار موجب میشد تا از اعتبار گوگل در زمینهی حفظ امنیت محصولات خود بکاهد. چنین اخباری شاید هرگز به گوش کاربرانی که تنها به در دسترس بودن خدمت مورد نیازشان میاندیشند، نرسد، ولی آنچه مهم است توجه و اهمیت لازم به میزان امنیت محصولاتی که زندگی خود را به آنها گره زدهایم.
این پیکار برای حل نیاز به آشنایی با مبانی رمزنگاری کلید عمومی داشته و برای کسانی که با مفاهیم رمزنگاری بیگانهاند توصیه نمیشود.
در این پیکار با استفاده از یک کلید ضعیف، که ساختارها و پایههای اساسی مورد نیاز برای عرضه شدن به عنوان یک کلید امن را دارا نیست، جواب چالش یا همان متن پیام، رمزگذاری شده است.
چگونگی ارسال پاسخ چالش
در پاسخ به این پیکار تمامی اطلاعات استخراج شده از طریق تحلیل دادههایی مکانی در اختیار را توضیح داده و در نوشتار مربوط به پاسخ بیاورید. پس از حل چالش و دستیابی به پاسخ، تمامی پروندهها را داخل پوشهای به نام ans_chall_2 قرار داده و پس از فشرده کردن آن با قالب زیپ به نشانی رایانامهی مسابقه، ctf@seraj.ir ارسال فرمایید. موضوع این رایانامه باید نام چالش باشد، در پایان نیز نام و شمارهی تماس خود را درج نمایید.
زمان ارسال پاسخ
مدت زمان ارسال پاسخ برای پیکار سوم، از ساعت 9 صبح روز یکشنبه 25 بهمنماه تا 21 شب روز دوشنبه 26 بهمنماه است، به پاسخهای ارسالی پس از بازهی بیان شده ترتیب اثر داده نخواهد شد. ممکن است مدت زمان مسابقه تمدید شود، از اینرو این صفحه را مجدد بازبینی نمایید.
سومین نمایشگاه رسانههای دیجیتال انقلاب اسلامی همزمان با سالگرد پیروزی انقلاب اسلامی، 22 بهمن ماه در بوستان گفتوگو آغاز شد و تا 27 بهمن ماه ادامه دارد.
نمایشگاه شامل چهار بخش مهم رسانههای برخط، پویانمایی، نشر دیجیتال و کودک و نوجوان است؛ علاقهمندان میتوانند از ساعت 10 صبح تا 20 از نمایشگاه بازدید کنند.
منبع:فارس
انتهای پیام/