Творческий, игровой дух хакерских конференций поддерживается за счет разнообразных и часто сложных конкурсов (игр), устраиваемых участниками таких сообществ. На этих конкурсах проверяется способность к нестандартному мышлению и решению задач в новаторской форме с привлечением большого количества активных участников и зрителей. Такие хакерские конкурсы, например Capture the Flag конференции DEF CON, могли бы хорошо послужить образовательным целям в сфере информационной безопасности. В последнее десятилетие преподаватели все лучше стали осознавать ценность хакерского образа мышления для просвещения в сфере информационной безопасности. Благодаря изучению точки зрения хакера и возможностей неожиданных путей применения технологий учащиеся смогут лучше подготовиться к предотвращению и защите от атак. Они также научатся лучше выполнять операции «этического взлома», такие как испытание на возможность проникновения в систему, обратное проектирование и активная защита сети.

Виды конкурсов

Хакерские конкурсы затрагивают многие аспекты информатики, информационных технологий, проектирования электроники и образования в области информационной безопасности. Это мощные инструменты обучения, побуждения к действию, создания команд, набора студентов и развития сложных навыков. Конкурсы также помогают укрепить авторитет индивидуальных участников и организаций.

Мы изучили конкурсы крупнейших хакерских конференций: DEF CON, CanSecWesr, ToorCon, ShmooCon, HOPE (Hackers on Planet Earth) и Chaos Communication Congress. Опишем ряд методов проведения конкурсов, обладающих четким педагогическим эффектом и воспроизводимых в условиях учебной аудитории.

 

Полезные ссылки:

 

Сетевая война

Возможно, самая известная в хакерском сообществе командная игра -- это CTF, участники которой должны атаковать и защищать вычислительные ресурсы, решая при этом сложные технические задачи. CTF проводится экспертами по безопасности из таких организаций, как DDTek, Kenshoto и Ghetto Hackers. Эта игра является важным катализатором исследований, инноваций, а также сотрудничества между государственными учреждениями, научным сообществом и индустрией. У CTF существуют «клоны», такие как Collegiate Cyber Defense Competition и конкурс Cyber Defense Excercise, проводимый при поддержке Агентства национальной безопасности США. На базе CTF даже возникла бизнес-модель -- компании наподобие White Wolf Security проводят подобные обучающие игры для сторонних участников. CTF постоянно стимулирует инновацию, например появились конкурсы PacketWars, напоминающие зрелищные виды спорта.

В любую уважающую себя программу обучения по информационной безопасности, ориентированную на технические подробности или правила, следует включать аналоги CTF соответствующего масштаба, чтобы избежать значительных пробелов в знаниях учащихся.

Без проводов

Число технологий беспроводных сетей растет, и уязвимости в таких сетях (открытые точки доступа) стали распространенным явлением. Хакерские конкурсы помогают ярче осветить эти проблемы. Например, конкурсы «вардрайвинга» (war-driving ), в ходе которых участники обнаруживают открытые точки доступа, количественно иллюстрируют распространенность незащищенных системных конфигураций и помогают повысить осведомленность общественности. В результате таких конкурсов появились новые конструкции антенн и выяснилось, например, что передачи по беспроводным сетям потребительского класса могут быть уязвимыми на очень дальних дистанциях. Чтобы исследовать возможности социальных сетей и технологий отслеживания идентификационных радиометок, на конференции HOPE добровольцам были выданы электронные бейджи, при помощи которых выполнялась регистрация данных о посещаемости и местонахождении. Этими данными посетители конференции могли использовать в собственных проектах. Собранную информацию организаторы затем передали в Дартмутский архив беспроводных данных CROWDAD -- ресурс, предназначенный для исследовательского сообщества.

Преподаватели могут пользоваться конкурсами взлома беспроводных сетей как вспомогательным средством при обучении этике, правам конфиденциальности, проектировании антенн, сетевых протоколов и обеспечения удобства использования систем безопасности.

Криптоанализ

Состязания по взлому шифров вызывают большой интерес и помогают в углубленном изучении криптографии. Киберкомандование США привлекло к себе внимание, внедрив код в свой логотип. Скульптура Kryptos Центрального разведывательного управления США активно привлекает к себе интерес любителей и профессиональных дешифровальщиков и активно упоминается в популярной культуре. На хакерских конференциях криптографические конкурсы весьма популярны. На бейджах ShmooCon и ToorCon размещались малозаметные коды, головоломки и подсказки. На других конференциях среди посетителей распространялись конкурсные листки с шифром для взлома, а на церемониях закрытия обычно объявлялись победители и выдавались призы.

Условия некоторых конкурсов требуют, чтобы победители публично рассказывали об использованных ими методиках конкурсах решения задач. Например, участники конкурса Crack Me if You Can конференции DEF CON должны продемонстрировать слабости схемы имя/пароль путем распознавания паролей исходя из хэш-кодов.

Криптографические конкурсы хорошо дополняют состязания по взлому шифров, и. преподаватели могут шире применять их вне учебных заведений для нужд рекрутинга, повышения интереса к мероприятиям, посвященным Дню информационной безопасности, побуждения к самообучению и развития навыков решения задач.

Взлом оборудования

Зачастую безопасность компрометируется, когда злоумышленники необычным способом атакуют аппаратные устройства. На конкурсах по взлому оборудования хакерам предлагается конструировать новые устройства и модифицировать существующие, заставляя их непредвиденным образом менять свое поведение. Превосходным примером такого конкурса может служитьBadge Hacking Contest конференции DEF CON. Участники получают модифицируемый электронный бейдж, а организаторы предоставляют программные инструменты для изменения его «прошивки», инструменты и комплектующие для модификации и тестирования аппаратной части. В результате посетители конференции превращали свои бейджи в такие устройства, как генератор штрихкодов, алкотестер и анализатор социальной сети. Популярны также конкурсы робототехники, проводимые в рамках хакерских и других конференций.

Практика Военной академии США показала, что задания по «взлому» аппаратного обеспечения приносят большую пользу в обучении студентов с любым уровнем навыков.

Безопасное программирование и вредоносные программы

Сегодня выросло число атак против приложений для конечных пользователей: браузеров, текстовых процессоров и программ просмотра документов. Одним из надежных решений этой проблемы является преподавание методов безопасного программирования, позволяющих устранять многие уязвимости еще на этапе разработки, вместо того чтобы бороться с ними постфактум посредством заплат. Задания Международной студенческой олимпиады по программированию и Международной олимпиады по информатике способствуют развитию навыков программирования и создания алгоритмов, но не акцентируют внимание на защите программ от возможных атак. Некоторые хакерские конкурсы же, напротив, ориентированы на безопасное программирование и антивирусные технологии. Например, компания Core Security финансировала проведение конкурса Open Backdoor Hiding & Finding Contest, задачей которого было продемонстрировать сложность распознавания «черных входов» в программном обеспечении вопреки открытости его кода. Перед участниками конкурса DEF CON Race to Zero была поставлена задача модификации различных образцов вирусного кода таким образом, чтобы они не распознавались антивирусами, но при этом сохраняли свою вредоносную функциональность. Данный конкурс помог определить реальный уровень трудности реализации обхода различных классов антивирусного ПО. Исследование методов, при помощи которых хакер мог бы заставить разрабатываемую вами систему дать сбой, — это сложная, но весьма познавательная задача.

Преподаватели могут пользоваться данными моделями конкурсов, а также их разновидностями в качестве неформальных наглядных опытов либо включать их в программу обучения по информационной безопасности.

Социальная инженерия

Социальный инженер путем обмана и манипуляции заставляет людей раскрывать чувствительную информацию. На хакерских конференциях проводятся демонстрации методов социальной инженерии -- проводятся конкурсы, участники которых должны добывать различные сведения путем манипулирования людьми, например, по телефону. Недавно на DEF CON впервые был организован конкурс Social Engineering CTF. До начала конференции участники пассивно собирают информацию о некоторой компании, а затем на DEF CON в течение 20 минут должны получить определенные сведения. Согласно правилам конкурса, необходимо избегать нарушения закона или наносить кому-либо моральный ущерб.

Применяя творческий подход, преподаватели могут извлечь из подобных конкурсов значительную пользу для целей обучения. Например, можно провести среди студентов конкурс на составление фишингового сообщения электронной почты (без его отправки), побуждающего получателя открыть прикрепленный файл или сообщить о себе какие-либо сведения. Подобные упражнения помогают студентам лучше оценить роль человеческого фактора в технологическом мире.

Физическая безопасность

В процессе обучения информационной безопасности часто упускается тема физической безопасности, хотя программные механизмы защиты сетей, систем и приложений теряют свой смысл, если атакующий получает физический доступ к информационным системам, устройствам хранения или сетевой инфраструктуре. На хакерских конференциях проводятся конкурсы по взлому замков. Перед участниками обычно ставится задача освободиться из смоделированной ловушки — наручников, клетки или помещения с запертой двери. Еще один пример -- конкурс Tamper Evident Contest конференции ToorCon, на котором нужно обходить предположительно взломостойкие технологии и тем самым проверять истинность заявлений их поставщиков об уровнях надежности.

Cпециалисты в области информационной безопасности уверены, что в рамках информатики следует изучать методики взлома сейфов, чтобы совершенствовать способы оценки защищенности и лучше понимать причины отказа систем безопасности. Конкурсы же, касающиеся физической безопасности, можно использовать в качестве практических методов обучения, которые помогут студентам понять уязвимости, открывающиеся, когда атакующий получает физический доступ к устройствам.

Искусство

Важной составляющей курса информационной безопасности является обучение эффективному изложению технических принципов безопасности и конфиденциальности, в том числе для не технических специалистов. Например, группа Dual Core завоевала широкую аудиторию своей энергичной музыкой, с темами, посвященными безопасности и конфиденциальности. Даже Снуп Догг помогает бороться с киберпреступностью, работая с Питером Нортоном из Symantec над рэп-конкурсом Hack is Wack по теме киберпреступности. В рамках хакерских конференций часто устраиваются конкурсы дизайна -- работы победителей публикуются в Сети, размещаются на футболках, бейджах конференций и рекламных щитах.

Эти конкурсы часто подразумевают междисциплинарное взаимодействие, например организаторы курса обучения информационной безопасности могут наладить партнерство со школой искусств, чтобы ее ученики разработали «фирменный стиль» для технической учебной программы. Опять же, творческое применение подобных практик в аудиторных условиях может принести большую пользу, конечно если преподаватели четко поставят перед собой цели такого обучения.

Другие типы

Мы призываем преподавателей искать в Паутине различные хакерские конкурсы, которые можно было бы задействовать в учебной программе. Естественно, блестящие и педагогичные идеи конкурсов приходят в голову не только хакерам, и один из примеров - конкурс Digital Forensics Challenge Центра борьбы с киберпреступностью Министерства обороны США, модель которого можно было бы применять в преподавании компьютерной криминалистики. Другой пример -- IEEE Conference on Visual Analytics Science and Technology (VAST) Challenge, на которой перед участниками ставятся сложные исследовательские задачи и предлагаются данные для анализа. Даже «LAN-пати» -- столпы хакерских конференций могут стать мощным образовательным инструментом, и мы пользовались ими для привлечения участников в наш клуб информационной безопасности, когда преподавали основы сетей нашим нетехническим студентам. Конкурс Hack Fortress конференции ShmooCon объединяет команды хакеров и геймеров. Успех либо в хакерской, либо в игровой части дает преимущество участникам команды, соревнующихся в другой ипостаси.

Привлечение участников

Хакерские конкурсы привлекают большое количество участников просто потому, что захватывают и побуждают к мышлению. Кроме того, на многих конкурсах победителей ждут призы и минуты славы на церемониях закрытия. Например, на конкурсе PWN2OWN конференции CanSecWest участники должны взломать некоторую систему, и первые, кому это удастся, в качестве приза получают ее саму.

Научное сообщество располагает меньшими ресурсами, чем хакерские конференции, но сфера образования может поощрять участие в конкурсах многочисленными «экономными» способами: можно стимулировать обучение, если избегать обременительных правил, но поощрять инновацию и увлекательность; можно мотивировать студентов путем интеграции конкурсов в учебную программу и присуждения дополнительных очков за успеваемость при их успешном выполнении. Недорогим, но ценным призом могут быть книги. Победители также могут получать общественное признание благодаря публикациям о вашей учебной программе в прессе и распространению снимков и видеозаписей конкурса по социальным СМИ. Такие публикации также помогают осветить вашу учебную программу в целом и проинформировать широкую публику о принципах информационной безопасности.

Важность верной этической окраски

Хакерские конкурсы -- это весьма неоднозначные мероприятия, результаты которых могут быть использованы и для добрых, и для злых дел. Несмотря на эти опасности, педагогическая ценность таких конкурсов намного перевешивает риски. Преподаватели должны подчеркивать, что вместе с навыками и знаниями возрастает и уровень ответственности -- необходимо обсуждать неуместное поведение и наказывать студентов, которые его проявляют. Некоторые студенты могут пожелать использовать полученные навыки для нанесения вреда, и, чтобы противостоять этим искушениям, преподаватель обязан придать верную этическую окраску каждому конкурсу и курсу обучения в целом и следить за тем, чтобы все студенты подчинялись необходимым ограничениям.

Хакерские конкурсы могут помочь преподавателям оживить и сделать более увлекательными программы обучения информационной безопасности, но, чтобы добиться успеха, учителям следует тщательно продумать свои задачи обучения, задать верную этическую окраску и контекст обучения и мотивировать учеников на участие в конкурсах. Тщательно продуманный и увлекательный конкурс привлечет много участников.

***

Хакерские конференции - богатый источник инноваций. В Сети доступен разнообразный набор материалов, которые можно использовать в качестве учебных пособий, иллюстрирующих ключевые задачи обучения, или в качестве источника идей для учебных конкурсов. Ландшафт хакерских конкурсов динамично меняется, поэтому стоит непрерывно следить за сайтами конференций, чтобы узнавать последние новшества. Еще лучше будет, если преподаватели сами будут принимать участие в подобных конкурсах, предлагать делать это студентам, организовывать новые конкурсы и присоединятья к этому обширному, живущему насыщенной жизнью сообществу.

Грегори Конти (gregory.conti@usma.edu) — профессор кафедры электронного машиностроения и информатики Военной академии США; Томас Бэббит (babbit@usma.edu) — преподаватель на кафедре электронного машиностроения и информатики Военной академии США; Джон Нелсон (john.nelson@usma.edu) - профессор кафедры английского языка и философии Военной академии США.

Gregory Conti, Thomas Babbitt, John Nelson. Hacking Competitions and Their Untapped Potential for Security Education.  IEEE Security & Privacy, May/June 2011, IEEE Computer Society. All rights reserved. Reprinted with permission.