31 июля, 2017, BIS Journal №3(26)/2017

CTF. Большой транзит


Бродская Марина

обозреватель (BIS Journal)

Через хакерство в ИБ. Массовая игра помогает решать проблемы просвещения и кадров

Как привлечь большую массу молодежи в информационную безопасность? Ведь мало кто из подростков на вопрос «Кем ты хочешь стать?» ответит: «Хакером». И даже не потому, что такой ответ может показаться молодому человеку не приличным, а просто, скорее всего, он об этой сфере деятельности мало что знает. Давно известно, что самый эффективный и в то же время универсальный способ обучения, помогающий расширить кругозор и сделать некий выбор, – игра. Этот способ эффективен не только при обучении малышей, но и для профессиональной ориентации взрослых. Причем, в массовом порядке.
 
ПРАВИЛА ИГРЫ
 
Весна 2017 г. ознаменовалась не только аномальными холодами и масштабной атакой вируса WannaCry на пользователей в 150 странах мира, но и многочисленными соревнованиями по защите информации среди студентов и старшеклассников. Заключительные этапы некоторых соревнований прошли в крупных региональных университетах, а среди участников были не только команды отечественных учебных заведений, но и гости из разных стран мира.

Большинство соревнований прошли в одном из самых популярных на сегодня форматов – Capture the flag. Это командные соревнования, целью которых является оценка умения участников защищать компьютерные системы и проводить аудит их безопасности. Команда должна поддерживать сервисы своего сервера в рабочем состоянии, предотвращать попытки вторжения («удерживать свой флаг») и проводить аудит серверов других команд, чтобы «захватить чужой флаг».

В ходе соревнований участники команд должны показать общую эрудицию в области информационной безопасности и администрирования сетей, знания в области методов компьютерных преступлений, умение решать криптографические задачи, искать и устранять различные уязвимости систем, знания в области программирования и умения анализировать и синтезировать чужие разработки ПО, показать навыки стеганографии. Компетентное жюри оценивает команды за умение «защитить свои флаги» и «захватить чужие флаги».
 
МЫСЛИТЬ КАК ХАКЕР
 
Во многих российских университетах к участию в соревнованиях в формате CTF приглашают студентов, не обучающихся по специальностям в сфере защиты информации. К подобной практике уже давно прибегают в университетах США. Например, профессор Университета Карнеги-Меллон (Пенсильвания, США) Дэвид Брумли в своей статье, посвященной обучению основам ИБ, отмечает, что многих студентов сначала привлекла сама игра в «Захват флага». Уже потом они узнали, что в процессе подготовки к соревнованиям освоили этические навыки взлома и научились мыслить как хакер. Ведь никто из тех, кто стоит перед выбором профессии, не скажет, что мечтает быть киберпреступником.

По данным университетского сайта, посвященного CTF, в этом году соревнованиями заинтересовались более 17 тыс. студентов, которые получили практические навыки взлома компьютерных систем. А с 2013 г., когда университет начал проводить такие соревнования, через CTF прошли более 57 тыс. человек. И многие из них до этого не знали, что цель соревнований – построение надежной информационной защиты компьютерных систем. Простое знакомство со сферой ИБ позволило многим студентам открыть в себе новые способности и продолжить учиться по направлению кибербезопасности.
 
В РОССИИ
 
В России первые соревнования CTF прошли в 2014 г. и сегодня только набирают обороты: RuCTF, RuCTFE, М*CTF, VolgaCTF, SibirCTF, NSKCTF, KrasCTF… С каждым годом все больше регионов включаются во всероссийские соревнования, растет и число участников «игры».

В середине мая в Москве в рамках Школы кибербезопасности Московского политехнического университета прошли II всероссийские соревнования в области защиты информации RCC 2017, одним из организаторов которых стал VolgaCTF. В них приняли участие студенты Самарского Университета, Южного федерального университета, МГУ, Московского Политеха, МИФИ, Новосибирского государственного университета, Научной роты Министерства обороны России, Высшей школы экономики и Крымского федерального университета.

А в Южном IT-парке прошёл финальный тур IV Открытой всероссийской олимпиады по информационной безопасности UFO CTF SCHOOL 2017. Ему предшествовал отборочный онлайн-тур, определивший 20 лучших школьников и 20 лучших студентов из Севастополя, Тюмени, Новосибирска, Сочи, Краснодара, Хабаровска, Пятигорска, Омска, Санкт-Петербурга, Москвы, Томска, Владикавказа, Бердска и Красноярска. Финальный этап проходил в традиционном формате task-based CTF, большая часть заданий которого была на эксплуатацию уязвимостей бинарных файлов и реверс-инжиниринг. Особый интерес представляло задание, в котором требовалось изучить обфусцированный код скрипта, эмулирующего работу управляющего центра ботнет сети через посты в сервисе Twitter.

Первый UFO CTF SCHOOL состоялся в 2014 г. в Таганроге на базе кафедры «Безопасности информационных технологий» ИКТИБ ИТА ЮФУ, а с 2016 года финал олимпиады принимает Южный IT-Парк. За эти годы число участников выросло с 300 человек до 3 тысяч.
 
О ПОЛЬЗЕ ВЗЛОМА ПАРОЛЕЙ
 

Есть три вещи, которые стоит сделать, чтобы восполнить критическую нехватку специалистов в области ИБ, отмечает профессор Дэвид Брумли в своей статье. Кадровый дефицит в сфере кибербезопасности актуален как для США, так и для России.

Во-первых, стоит поощрять опыты учеников школ по взлому и подбору паролей, но только в соответствии с этическими нормами конфиденциальности и обмена информацией в интернете. Сегодня образование в области ИБ также важно, как и математика и литература. И важно вовремя объяснить, чем отличается хакер - специалист по ИБ, который хочет сделать систему более безопасной от того, кто эксплуатирует киберпространство в своих целях. Последние являются преступниками.

Во-вторых, необходимо разработать эффективные программы образования в области кибербезопасности на национальном уровне. Как показывает опыт университетов, многие из них имеют десятки курсов в области ИБ, однако это капля в море. Курсы ИБ стоит внедрять в частную жизнь, преподавать в начальной школе, вводить в программу средней школы, чтобы  учителя могли использовать материалы по ИБ в классе.

В-третьих, стоит признать ценность работы хакеров. Они находят уязвимости для того, чтобы сделать систему более безопасной. Хакеры умеют мыслить нестандартно, они любопытны, любознательны и любят экспериментировать. Те, кто занимается развитием своих творческих навыков, становятся мастерами своего дела, художниками, которыми можно восторгаться, если они не переступают черту.

Мыслить нестандартно учат студентов Мэрилендского университета в Колледж-Парке. Им предлагают взломать компьютерную систему учебного заведения, в другом месте за такое деяние могут отправить в тюрьму и надолго. А выпускники университета, освоившие все тонкости взлома и защиты компьютерной сети организации, еще до окончания учебы получают приглашения на высокооплачиваемую работу в крупнейшие технологические компании мира.
 
ПРОФОРИЕНТАЦИЯ КАК ОСНОВА ОТБОРА
 
По оценкам международных организаций, к 2022 году в мире будет порядка 1,8 млн вакансий специалистов в области кибербезопасности. Многие аналитики считают, что основная проблема будущей нехватки кадров заключается в отсутствии базового образования по ИБ в средних школах, колледжах и университетах, плохо обстоит дело с профориентацией молодых специалистов и желанием компаний вкладывать средства в обучение и повышение квалификации уже работающих сотрудников.

Еще один аспект профессиональной ориентации рассматривают эксперты компаний IDC и T.E.N, которые в 2015 г. провели опрос кадрового персонала по поводу вакансий в области ИБ. Вакансии в области кибербезопасности для старшего персонала могут быть свободными 12-15 месяцев, поиск кандидата на позицию специалиста по безопасности начального уровня занимает до 3 месяцев. Чаще всего соискатели не понимают, что за работу они ищут. Кто-то полагает, что в сфере ИБ требуются знания только из области IT-технологий, кто-то считает эту работу нудной, потому что предстоит сидеть весь день перед монитором. Кто-то не понимает разницу между безопасностью инфраструктуры, системами безопасности, безопасностью приложений или управления программами. Чтобы преодолеть эту проблему, стоит вести просветительскую работу и чаще рассказывать, чем занимаются специалисты по ИБ.

По мнению исследователей, также стоит пересмотреть подход к требованиям специалиста по ИБ и расширить круг квалифицированных сотрудников, которые могут сделать хороший старт по карьерной лестнице. Ведь знания не технических аспектов проблемы безопасности, например, юридических норм, не менее важно, чем умение вовремя предотвратить проникновение в сеть компании.



Пять уровней карьеры в области ИБ (источник:  http://www.issa.org/?page=CSCL)

ОПЫТА НЕТ? ПРИХОДИТЕ!
 
По опыту Дэна Джира, CISO венчурного фонда In-Q-Tel, созданного при участии ЦРУ США, отличными специалистами в области ИБ становятся разработчики ролевых компьютерных игр, поскольку они имеют нестандартное мышление и талант для работы в кибербезопасности. Однако часто хэдхантеры отсеивают таких кандидатов на вакансию специалиста по ИБ как не имеющих опыта работы в сфере безопасности и тем более не имеющих дипломов и сертификатов. Тем самым они упускают шанс принять на начальную позицию перспективного сотрудника. Для того чтобы решить проблему кадрового голода в области ИБ, кадровикам стоит убрать многочисленные фильтры. Тем более, что порой бывает глупо требовать от кандидата многолетнего опыта работы с каким-то программным обеспечением, если оно появилось на рынке лишь недавно.

В помощь кадровикам и начинающим безопасникам Международная организация социального труда (ISSA International) выпустила брошюру Cyber Security Career Lifecycle, которая описывает пять уровней карьеры в области ИБ. Любой человек, говорится в ней, не имеющий опыта работы в ИБ, при желании может освоить базовые методы и принципы кибербезопасности, прослушав необходимый курс обучения, и занять первый «Pre-Professional» уровень. В дальнейшем, с получением дополнительных опыта и образования, через 10+ лет специалист по ИБ может занять место в совете директоров компании или возглавить собственную организацию по киберзащите.
 
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ИЛИ БЕЗОПАСНОСТЬ ИНФОРМАЦИИ?
 
В апреле текущего года министр образования и науки РФ Ольга Васильева в рамках парламентских слушаний рассказала сенаторам о направлениях деятельности образовательных учреждений по обеспечению информационной безопасности детей. Она отметила, что навыки ИБ и поведения в сети интернет нужно прививать с детства. Для начальной школы эти вопросы должны быть оформлены в федеральные образовательные стандарты, старшим ученикам необходимо преподавать курс на занятиях по информатике, праву, обществознанию и ОБЖ. Стоит обращать внимание школьников на правила безопасного обращения в информационном пространстве в рамках дополнительного образования во внеурочной деятельности. Данное направление должны преподавать специалисты и, конечно же, родители дома.

Однако, как и прежде, глава профильного ведомства сделала упор на разработку интернет-ресурсов для детей и безопасность информации для учащихся, а не на обучение школьников навыкам ИБ как их понимают во всем мире.
 
Старая пословица гласит: «Наши дети - наше будущее». Учитывая сегодняшний уровень киберугроз, стоит принять хакерство как необходимый для детей навык, чтобы обеспечить достойный уровень национальной информационной безопасности в будущем.
 
 
 
Календарь соревнований в формате CTF в августе-сентябре
 
5-13 августа 2017, г. Дубна. Летняя школа «Развитие CTF движения в России». Участники Летней школы делятся на несколько команд. Цель каждой команды – набрать наибольшее количество баллов, которые начисляются за выполнение различных конкурсов и заданий. Конкурсы рассчитаны на самых разных по уровню участников. Вне зависимости от уровня подготовки каждая команда курируется одним из организаторов, который на определенных условиях готов помочь участникам в прохождении того или иного конкурса. Помимо конкурсов, в программу Летней школы входят практические лекции и мастер-классы.
 
21-22 сентября 2017, г. Самара. VII международные межвузовские соревнования в области информационной безопасности VolgaCTF 2017. В финале встретятся 13 команд: 5 команд представляют учебные заведения ПФО, 5 – из различных университетов страны, 3 студенческие команды приедут из Японии, США и Португалии.
Подпишись на новости!
Подписаться