O 1ος Διαγωνισμός Pentesting στη Κύπρο (a personal experience, Q/A, photos, video)
Ακολουθεί μία /* σύντομη */ ανασκόπηση αλλά και η προσωπική μου εμπειρία για τον 1ο διαγωνισμό penetration testing που είχε διοργανωθεί απο το UCLan, το Πανεπιστήμιο Κύπρου και την εταιρία Circles το Σαββάτο 19 Σεπτεμβρίου 2015.
Απο τη πρώτη μέρα που ανακοινώθηκε ότι θα διοργανωνόταν διαγωνισμός pen-test στη Κύπρο, αποφάσισα πως θα ήταν κάτι που θα ήθελα να υποστηρίξω και επαγγελματικά αλλά και προσωπικα, εξού και ο λόγος αυτής την εκτενής (και ίσως υπερβολικής) αναφοράς.
Συμμετείχα σε αρκετούς διαγωνισμούς online και κάποιους στο εξωτερικό, είναι ένας τρόπος να προκαλέσεις τον εαυτό σου, να πιεστείς, να αξιολογήσεις της γνώσεις σου με αποτέλεσμα να βελτιωθείς, να εκπαιδευτείς, να μάθεις απο τις προκλήσεις των αλλονών.
Ακουσα απο πολλούς να λένε πως διοργανώνετε τέτοιος διαγωνισμός με σκοπό να βρεί υπαλλήλους η συνδιοργανώτρια εταιρία, να μαζέψει φοιτητές το UCLan και άλλα. Ίσως! Συμφωνω εν μέρη, απο την άλλη όμως χρειαζόταν να διοργανωθεί τέτοιος διαγωνισμός στη Κύπρο.
Αυτοί που θεωρούμαστε “ειδικοί” είναι αναγκαίο σε αυτή την ψηφιακή εποχή που ζούμε να προσφέρουμε σωστό Security Awareness, να προβάλουμε το κλάδο της ασφάλειας της πληροφορίας και του penetration testing και να διορθώσουμε την ημιμάθεια ως προς τον όρο hacker.
Πήγα στο UCLan απο τις 9 το πρωί ως εκπρόσωπος του Κυπριακού Chapter της (ISC)² για ενημέρωση των παρευρεθέντων για τις ενέργειες του (ISC)² στη Κύπρο αλλά και των πιστοποιήσεων CISSP κλπ. Εκτός αυτού ανάλαβα να βοηθήσω και ως κινηματογραφιστής της όλης εκδήλωσης, αφού θεώρησα πως η όλη ημερίδα θα ήταν καλό να καταγραφεί σε ένα video. Να σημειωθεί πως γυρίστηκε με την προσωπική μου κάμερα χωρίς ιδιαίτερη πρόνοια και επαγγελματισμό, γι’ αυτό και υπάρχουν πολλά άτακτα απομακρισμένα shots και κάποιες φορές χάνετε ο ήχος. Πάραυτα ύπάρχει ντοκουμέντο της όλης εκδήλωσης.
Απο το πρωί υπήρχε αρκετός κόσμος στο χώρο της υποδοχής και καλή οργάνωση κατα το registration. Σου έδινε την αίσθηση ενος καλά οργανωμένου event.
Όπως ανακοινώθηκε και στην agenda, η ημερίδα ξεκίνησε με παρουσιάσεις σχετικές με το information security.
Presentation by Andreas Loutsios on the Cyprus Computer Society.
Στις παρουσιάσεις ήταν εμφανή κάποια tips ως προς τις προκλήσεις και τις ερωτήσεις που θα αντιμετώπιζαν οι συμμετέχοντες του διαγωνισμού και αυτό τις έκανε ιδιαίτερα ενδιαφέρον.
Ο διαγωνισμός ξεκίνησε γύρω στις 2:00μμ, αφού έχει προσφερθεί μεσημεριανό. Δεν βλέπουμε πολλές δωρεάν εκδηλώσεις να προσφέρουν φαγητό στους συμμετέχοντες και μπράβο στους διοργανωτές!
Ακολούθησε μία εναρκτήρια ομιλία για το διαγωνισμό, οδηγίες προς τους διαγωνιζόμενους and here we go!! Υπήρχαν 3 αίθουσες με υπολογιστές εξοπλισμένοι με virtual installation του Kali Linux.
Τον διαγωνισμό έλεγχε ο “Mobby”, ένα αυτόματο chat bot, το οποίο έθετε τα ερωτήματα και λάμβανε τις απαντήσεις. Για κάθε σωστή απάντηση έδινε “100” βαθμούς ενώ στις λάθος αφαιρούσε “10”.
Να δώσουμε φυσικά τα εύσημα στους διοργανωτές για το ευφάνταστο σενάριο των ερωτήσεων του διαγωνισμού. Η γενική ιδέα ήταν να αποτραπεί η εγκληματική δραστηριότητα της οικογένειας “DeCavalcante”!!
Αρκετά εντυπωσιακό ήταν και το video wall στην είσοδο του πανεπιστημίου το οποίο πρόβαλε σε αληθινό χρόνο το σκορ.
UCLan Video wall (picture is not showing the final result)
Θεωρώ σημαντικό να αναφέρω πως έδωσαν συμμετοχή ανθρώποι με διάφορες εμπειρίες. Συμμετείχαν φοιτητές, εργαζόμενοι σε IT εταιρίες, έμπειροι εργαζόμενοι στο κλάδο του security, έμπειροι pen-testers, IT auditors, προγραματιστές και άλλοι πολλοί.
Συγχαίρω όλους όσους συμμετείχαν, και φυσικά αυτούς πους πείραν τα βραβεία!
Εν κατακλείδι να πω ένα μεγάλο μπράβο στους διοργανωτές για το
“1st Cyprus Pen-Test Competition”
Όπως προανάφερα, υπάρχει το σχετικό βίντεο της εκδήλωσης:
The bad things..
και εισηγήσεις για βελτίωση:
Στο τέλος και μετά απο τη βράβευση των νικητών, οι διοργανωτές είχαν απαντήσει όλες της ερωτήσεις του διαγωνισμού, επίσης έχουν δώσει το λόγο στους παρευρεθέντες να πουν την άποψη τους.
Κάποιες απο τις εισηγήσεις που λέχθηκαν και κάποιες δικές μου:
Αρκετοί κόλλησαν σε μία ερώτηση και δεν μπορούσαν να προχωρήσουν. Θα έπρεπε να μπορείς να διαλέξεις όποια ερώτηση θες αντί να κολήσεις για ώρα στην ίδια.
Η κάθε ερώτηση να κερδίζει πόντους με βάση το βαθμό δυσκολίας της. Για παράδειγμα κάποιος να μπορούσε να ξεκινήσει με την ερώτηση που θεωρείται ως η πιο δύσκολη και απο εκεί να πάρει 500 βαθμούς, μετά θα τον δυσκολέψουν οι υπόλοιπες. Θέλει λίγη σκέψη και προγραματισμό, αλλά γενικά αυτή είναι η ιδέα.
Να μπορεί κάποιος να λάβει μέρος με το δικό του laptop, φυσικά θα πρέπει να πάει πιο νωρίς για να συνδεθεί στο δίκτυο.
Να υπήρχαν λιγότερες ερωτήσεις για cryptography και περισότερες που να αφορούν scanning, network attacks, web app attacks, exploitation, fuzzing κλπ. Να καλύπτονται όλα τα στάδεια του Penetration testing.
Να υπάρχει επίσημο hashtag της εκδήλώσης για να στέλνουμε τα tweets, και να προωθείτε κατα την διάρκεια των παρουσιάσεων 😉
Ευχαριστούμε τον Ανδρέα Κωνσταντινίδη για την έγκαιρη και έγκυρη ενημέρωση.
blog: https://medium.com/@acmegahz
twitter: @acmegahz
