Комментарии 20
Спасибо за отличный разбор) Очень занимательно)
А можно поподробнее про анонимайзер и DNS-запросы? В задании 3.4 нужно было подсунуть ссылку на ресурс типа IP-catcher, который умеет определять, через какие DNS-сервера происходит резолв, я правильно понимаю?
Большое спасибо организаторам конкурса, было очень интересно!
Я думал что это кто-то из оргов проверяет работу аккаунта =)))
Но дальше дело не пошло :)
P.S. Я впервые в жизни пользовался SIPом)
P.P.S. Перезалейте файлы athc.biz/***, они удалены.
Зайдя в Gmail под данной учетной записью, можно было бы развернуть подробную информацию об IMAP-запросе с девайса com.android.email и узнать IP-адрес крысы.
Я думал что это кто-то из оргов проверяет работу аккаунта =)))
P. S. До решения этого задания так никто и не добрался, однако одному из наших победителей удалось «подобрать» по самому первому отчету ник босса и позвонить ему :)
Но дальше дело не пошло :)
P.S. Я впервые в жизни пользовался SIPом)
P.P.S. Перезалейте файлы athc.biz/***, они удалены.
А меня в очередной раз (уже вроде как третий год проводим) расстроили участники олимпиады по криптографии и защите информации в нашем университете — я два дня убил на придумывание заданий и их реализацию, а они даже со всеми пунктами первого задания не смогли справиться. Только единицы сделали несколько пунктов.
Олимпиада для студентов и учащихся.
Вот только доступа к инету не дается во время выполнения заданий, но инструменты для выполнения заданий все есть локально, надо только немного знаний.
Даже с первым шагом одного из заданий где надо было использовать sql-инъекцию типа «or 1=1» никто не справился, только один (а было ~28 человек) был в одном символе от успеха.
А я еще боялся что кто-то найдет что-то лишнее или забытое и поломает системы совсем, но запасной сервер даже не понадобился вовсе.
Собственно вопрос — какого типа предложите давать задания для студентов и учащихся (ограничений на специальности нет никаких, участвовали программисты, физики, кибернетики, математики)?
DNS-spoofing и ARP-poisoning не предлагать — народ в прошлом году даже не брался за них.
Олимпиада для студентов и учащихся.
Вот только доступа к инету не дается во время выполнения заданий, но инструменты для выполнения заданий все есть локально, надо только немного знаний.
Даже с первым шагом одного из заданий где надо было использовать sql-инъекцию типа «or 1=1» никто не справился, только один (а было ~28 человек) был в одном символе от успеха.
А я еще боялся что кто-то найдет что-то лишнее или забытое и поломает системы совсем, но запасной сервер даже не понадобился вовсе.
Собственно вопрос — какого типа предложите давать задания для студентов и учащихся (ограничений на специальности нет никаких, участвовали программисты, физики, кибернетики, математики)?
DNS-spoofing и ARP-poisoning не предлагать — народ в прошлом году даже не брался за них.
Отвечу на правах «участника», не орга.
ИМХО, доступ к инету нужен, это даёт возможность узнать какую-то новую/полезную информацию, и использовать её в олимпиаде(в данном случае). Или же вспомнить что-то забытое. Тем же новичкам, которые пришли впервые, это даст возможность пройти первые несколько этапов, и наверняка их заинтересует то, что они уже что-то смогли. И в следующем году у Вас будет больше крутых олимпиадников :)
ИМХО, доступ к инету нужен, это даёт возможность узнать какую-то новую/полезную информацию, и использовать её в олимпиаде(в данном случае). Или же вспомнить что-то забытое. Тем же новичкам, которые пришли впервые, это даст возможность пройти первые несколько этапов, и наверняка их заинтересует то, что они уже что-то смогли. И в следующем году у Вас будет больше крутых олимпиадников :)
А вы, чтобы труд не пропадал, разместите задания онлайн, чтобы любой желающий мог попробовать. На хабре такие пользуются популярностью. Заодно получите фидбек и узнаете, сложные ваши задания или лёгкие. Возможно, поймете, что изменить.
По сравнению с заданиями в этом посте, у меня простые задания.
Размещать задания пока не буду, так как скорее всего все не решенные будем давать в следующем году, и это будет подсказкой для тех кто участвовал в этом году и они смогут подготовиться.
Могу только вкратце описать что надо было делать:
1. Найти и востановить разделы и системы, а в них найти спрятанные данные. (вот только с этим и справлялись частично)
2. Задания на знание кодировок и форматов.
3. Уязвимости на сайте (sql-injection) тут была многоходовка.
4. Здание на анализ данных и поиск скрытой информации.
Размещать задания пока не буду, так как скорее всего все не решенные будем давать в следующем году, и это будет подсказкой для тех кто участвовал в этом году и они смогут подготовиться.
Могу только вкратце описать что надо было делать:
1. Найти и востановить разделы и системы, а в них найти спрятанные данные. (вот только с этим и справлялись частично)
2. Задания на знание кодировок и форматов.
3. Уязвимости на сайте (sql-injection) тут была многоходовка.
4. Здание на анализ данных и поиск скрытой информации.
Да, у нас еще перед практикой был теоретический тур, в котором максимальные набранные балы были всего 50% от возможного.
Я вам скажу, что это обычная ситуация. Уровень образования даже на профильных специальностях самый базовый. Возможно, участники рассчитывали на задания уровня программы по соответствующему предмету (которые, если не читать дополнительной литературы, тоже не особо-то выполнить), а возможно, просто посмотреть пришли. А ту вы со своим творческим подходом :)
Ну да, и Интернет стоило бы разрешить, я думаю.
Ну да, и Интернет стоило бы разрешить, я думаю.
Привет от Джефферсона с Badoo!
В этом году действительно получилась более «хекерская» конкурентная разведка, из-за чего долго не мог дойти до некоторых заданий (подразумевал, что CI это сбор данных из открытых источников). Спасибо Тимуру и PT за конкурс, так свой мозг я давно не потрошил.
Кстати, в этом году, благодаря таким спойлерам в виде картинок, для некоторых конкурс начался чуть раньше :)
В этом году действительно получилась более «хекерская» конкурентная разведка, из-за чего долго не мог дойти до некоторых заданий (подразумевал, что CI это сбор данных из открытых источников). Спасибо Тимуру и PT за конкурс, так свой мозг я давно не потрошил.
Кстати, в этом году, благодаря таким спойлерам в виде картинок, для некоторых конкурс начался чуть раньше :)
Кстати, расскажу небольшую фишку для некоторых заданий. Чтобы отделить нужных нам Анн и Хару Сакатов, достаточно добавить их E-mail адреса (а мы их знали) к себе в Google Контакты и затем на Badoo, в Twitter и LinkedIn сделать «экспорт друзей». Так мы увидим аватар, а в некоторых ситуациях и ссылку на профиль.
«деанонимизация для домохозяек» — статья на рабочем столе теперь?)
Не, ее я еще не прочитал. Просто у тебя
Я, как раз, действовал, как описано в «Деанонимизация для домохозяек». Буду знать, что это оттуда :)
Отделить «настоящего» от ненастоящего помогает Google Images. Сервис поиска изображений поможет понять, что данный человек — вовсе не Haru Sakata, а, скажем, известный японский актер.
Я, как раз, действовал, как описано в «Деанонимизация для домохозяек». Буду знать, что это оттуда :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Разбор заданий конкурса «Конкурентная разведка» на PHDays IV