Remekelt a BME csapata a nemzetközi egyetemi hackerversenyen

Idén indult először és az egyetemi kategóriában a második helyen végzett a BME csapata a CSAW CTF 2013 elnevezésű, 72 óráig tartó, egyetemek közötti hackerversenyen.

„Egy ilyen versenyre célirányosan felkészülni nem lehet, inkább a folyamatos készülés a lényeg” – válaszolta a bme.hu kérdésére Koczka Tamás informatikus hallgató, a Crysys Student Core tudományos diákkör tagja és a !SpamAndHex csapat kulcsembere. „Gyakorlatilag minden versenyen mások a feladatok, esetleg bizonyos típusfeladatokra lehet számítani. Ám még azok is változnak. Az alapok és esetleg a tool-ok (olyan programok, amelyek segítenek bizonyos részfeladatok automatikus megoldásában) ismeretén túl bőven szükség van az idők során összeszedett háttértudásra” – hangsúlyozta Tamás.

A CSAW (Cyber Security Awareness Week) versenysorozat tíz éves múltra tekint vissza. A CSAW CTF 2013 elnevezésű, 72 óráig tartó egyetemek közötti hackerverseny sajátossága, hogy nemcsak egyetemista csapatok vehetnek rajta részt. A Polytechnic Institute of New York University (NYU-Poly) által szervezett verseny népszerűségét jelzi, hogy ebben az évben közel 1400 induló közül 490 csapatot alkottak egyetemisták, a többit cégek és kutatóhelyek indítottak. Idén indult először a BME !SpamAndHex nevű csapata, amely a CrySys Lab tudományos diákkörének, a CrySyS Student Core-nak tagjaiból szerveződött. Szereplésük kiemelkedő volt, hiszen az egyetemi (undergraduate) kategóriában második, az összesítésben a tizenkettedik helyet érték el.

A fent említett háttértudást kizárólag szorgalmas munkával lehet megszerezni. A diákkör tagjai minden héten összegyűlnek és feladatokat oldanak meg, vagy prezentálnak valamilyen internetbiztonságot érintőt témakörről, hogy minél jobban tágítsák egymás rálátását a különböző témakörökre. A diákkör lelkes csapatába – amely még az oktatási szünetekben is aktív! – olyan diákok kerülhetnek, akik kimagaslóan teljesítettek tanulmányaikban vagy a CrySys Lab által szervezett Security Challenge versenyen. Az összehangolt csapatmunka a versenyen is elengedhetetlen volt, sokat segített, hogy egy-egy feladatot többen is láttak, így – más-más szemszögből vizsgálva a problémát – mindenki hozzá tudott adni olyan információkat, ami potenciálisan a megoldáshoz vezetett. A tudományterületet tekintve figyelemreméltó, hogy a több éves feladatmegoldó rutin eredményeképpen gyakran a „megérzések” is segítik a megoldásokat.

A CSAW eredendően eltérő szintű digitális ismeretekkel rendelkezők számára rendezett verseny. A szervezők célja, hogy minél többen kezdjenek foglalkozni a digitális biztonság témakörével. A versenyt belépő szintűként hirdetik meg, hogy ne riadjanak vissza a jelentkezők, hiszen e manapság egyre jelentősebbnek tartott szakterület oktatása még sok helyütt gyerekcipőben jár, és az alaptantervnek sem önálló része. A téma jelentőségét ugyanakkor jól mutatja a különböző országok által folytatott kiberháború, aminek egyik „eredménye” volt, hogy a CrySyS által felfedezett DuQu vírus elődje, a Stuxnet vírus Iránban urániumdúsító centrifugákat tett tönkre.

„Az ilyen események hatására egyértelművé válik, hogy létkérdés a kritikus infrastruktúrákat fejlesztő cégeknek is, hogy megfelelő tudással rendelkező fejlesztők álljanak rendelkezésükre” – ecsetelte Koczka Tamás. Hozzátette, hogy a csapatversenyeken a jelentkezők kilétét nem fedik fel, elsősorban a csapat reputációja nő egy-egy sikeres szerepléssel. A fejlesztő cégek – és a versenyzők – itt csak közvetve profitálnak, bár előfordul, hogy egy csapat tagjait állásajánlattal keresik meg. Egyéni versenyeken mérhető le közvetlenül a személyes teljesítmény, ez a későbbi karrier szempontjából jelentős lehet. „Persze elsősorban mi, játékosok fejlődünk egy ilyen verseny folyamán, mert a szervezők mindig próbálnak új, érdekes feladatokat adni” – magyarázta Tamás, akit éppen a CrySyS által rendezett Security Challenge 2011-en nyújtott teljesítménye hatására hívtak meg a CrySyS egyik startupja, a Tresorit részesének.

A Tresorit Kft. 2011-ben alakult meg, fejlesztési fókuszában a biztonságos, rejtjelezett, ám rugalmasan megosztható felhő alapú adattárolás áll. Számos elismerést kaptak a felhő alapú rejtjelezett adattároló- és megosztó rendszerük kifejlesztéséért, legutóbb idén júniusban vehették át a 2013. évi Pro Progressio Innovációs Díjat a BME Kutatóegyetemi Napon.

A háromnapos verseny során negyven különböző feladatot kellett megoldani, hét kategóriába sorolva. A legegyszerűbbeknél némi kereséssel percek alatt meg lehetett találni a megoldásokat, de ezek kevés pontszámot is értek. A Recon kategória neve például a francia „reconnaissance” szóból jön, ami kb. a „felderítést” jelenti. A feladatok itt abból álltak, hogy megadták egy-egy rendező nevét, és ki kellett róla deríteni valami nem túl régi információt. Volt, akinek a LinkedIn profiljában, másnak az online kód tárolójában rejtették el az információt. Előfordult, hogy a digitálisan aláírt és/vagy titkosított levelezéshez használt OpenPGP kulcsában képként szerepelt a keresett információ, volt YouTube komment is, de volt személyes honlap kicsit már „hackelősebb” lekérdezése is.

A verseny kiélezett pillanatokat hozott és megizzasztotta a csapat tagjait. „A Crypto, azaz kriptográfiai kategóriához tartozó legnehezebb feladat megoldásához például kőkemény matek kellett: használni kellett a gyűrűkről, a prím maradékosztályok felett alkotott testekről, valamint a modulo aritmetikáról tanultakat is” – emlékezett Tamás az izgalmas mozzanatokra. A csapat a negyven feladatból mindössze egyet nem tudott megoldani. Ezt a feladatot egyébként az egész mezőnyből csak hét csapat oldotta meg. Az Exploitation rész feladatai között szerepelt, amelyek abból álltak, hogy egy távoli szerverre kellett betörni. Tamás szerint ez az időhiánynak is betudható, mivel ebbe a feladatba már csak a 72 óra utolsó 2 órájában kezdtek bele. Mindenesetre szükség volt például arra is, hogy különböző országokból lépjenek be egy oldalra, amik közt a világ legkülönbözőbb és többször egészen kicsi országai is megfordultak.

A CrySyS Student Core a jó szereplés hatására sem ül a babérjain: október közepén rendezik meg a Security Challenge 2013-t, amelyet a BME hallgatói számára a Hálózati Rendszerek és Szolgáltatások Tanszéken működő CrySyS Adat- és Rendszerbiztonság Laboratórium (CrySyS Lab). A megmérettetés egyik nem titkolt célja az újoncok, a biztonságtechnikai területen kevésbé elmélyült diákok érdeklődésének felkeltése. A feladatok nagy része belépőszintű, tehát bárki kipróbálhatja magát, de a „keményvonalas” réteg számára is bőven terveznek meglepetéseket.

-HA-

Fotó: Philip János