فعلا اهداف ترویجی را دنبال می کنیم

اولین دوره مسابقات نفوذ و دفاع در فضای مجازی در تیرماه 1390 و حول سه محور مسابقه هک و نفوذ، ارائه های خلاقانه و پوستر و کاریکاتورهای ترویجی برگزار شد. این تجربه برگزاری که در نوع خود برای نخستین بار در کشور اجرا می شد، با استقبال خوبی مواجه شد به نحوی که هم اکنون و به زودی مرکز آپای شریف چهارمین دوره آن را برگزار خواهد نمود. در خصوص چند و چون این مسابقات و اهداف برگزاری آن با دکتر مرتضی امینی گفتگویی داشتیم که در ادامه می خوانید.

۱- لطفا در ابتدا مركز آپاي دانشگاه شريف را به عنوان برگزاركننده اين مسابقه معرفي نماييد و در مورد فعاليتهاي آن به اختصار توضيح دهيد.
زمینه تخصصی مرکز آپا شریف در سال‌های اولیه تشکیل، آگاهی رسانی، پشتیبانی و امداد در حوزه سیستم‌های مدیریت پایگاه‌داده بوده است. اما در حال حاضر، فعالیت‌های این مرکز در جهت ارائه کلیه خدمات تخصصی آپا به کاربران و سازمان‌ها گسترش یافته است. ارائه مشاوره‌های امنیتی در زمینه امن‌سازی بسترهای فناوری اطلاعات، مدیریت و تحلیل حوادث امنیتی، مدیریت و تحلیل بدافزارها، تولید ابزارهای امنیتی موردنیاز در تشخیص و ردیابی حملات و مسببین آنها از جمله خدماتی است که توسط این مرکز به سازمان‌های دولتی و خصوصی ارائه می‌گردد.

۲- در مورد مسابقه نفوذ و دفاع و تاريخچه آن توضيح دهيد. روند برگزاري را به اختصار بيان فرماييد.
اولین دوره رقابت‌های نفوذ و دفاع در فضای مجازی در تیرماه ۱۳۹۰ و حول سه محور شامل مسابقه هک و نفوذ، ارایه‌ روشهای خلاقانه در نفوذ و دفاع و طراحی پوستر و کاریکاتورهای ترویجی برگزار شد. اما در دوره جاری، این رقابت‌ها به پنج محور گسترش یافته است. کشف شواهد رایانه‌ای و برگزاری کارگاه‌های آموزشی دو محور جدیدی هستند که به این رقابت‌ها افزوده شده‌اند.

مسابقه هک و نفوذ که بخش پر طرفدار رقابت‌ها است، در دو مرحله برگزار می‌شود. مرحله مقدماتی با فاصله دو هفته تا یک ماه قبل از مسابقه نهایی برگزار می‌شود. در این مرحله کلیه تیم‌های ثبت‌نامی، به صورت برخط و غیرحضوری در مسابقه شرکت می‌کنند و به چالش‌های مطرح شده در زمینه‌های مختلف امنیت فضای مجازی پاسخ می‌دهند. ۲۰ تیم برتر مسابقه مقدماتی با حضور در دانشگاه صنعتی شریف در مسابقه نهایی شرکت می‌کنند. علاوه‌براین در این دوره از مسابقات، برای اولین بار مسابقه هک و نفوذ ویژه دانش‌آموزان نیز برگزار می‌شود.

در بخش کشف شواهد رایانه‌ای، داده‌های شبیه‌سازی شده‌ای در اختیار شرکت‌کنندگان قرار گرفت و از آنها خواسته شد که پلیس را در یافتن اطلاعات از این داده‌ها یاری کنند.

در دو بخش ارایه‌های خلاقانه و طراحی پوستر و کاریکاتورهای ترویجی، آثار ارائه شده توسط شرکت کنندگان ابتدا توسط هیات داوران هر بخش بررسی و آثار برتر در زمان برگزاری رقابت‌ها ارائه می‌شوند.

۳- هدف از برگزاري اين مسابقات چيست؟
یکی از اهداف اصلی ما عمومی ساختن مفهوم امنیت فضای تبادل اطلاعات در کشور است. علاوه‌براین این مسابقات فرصت مناسبی برای تیم‌ها و افراد فعال در حوزه امنیت فضای تبادل اطلاعات (به خصوص تیم‌های آزمون نفوذ و ارزیابی امنیتی) جهت محک‌زنی توانمندی‌ها و قابلیت‌های تخصصی خود فراهم می‌آورد. گردهم‌آیی متخصصین و مسئولین این حوزه در اثنای اجرای این مسابقه نیز با هدف پیوند و آشنایی این افراد با یکدیگر و تبادل دانش، تجربیات و مهارتهاي آنها صورت می‌پذیرد.

۴- آيا مسابقات مشابهي در كشورهاي ديگر انجام مي شود؟ جايگاه اين مسابقه در مقايسه با آنها چگونه است؟
حدود ۱۰ سال است که چنین مسابقاتی در دنیا برگزار می‌شود که ممکن است تفاوت‌هایی در نحوه اجرا با یکدیگر داشته باشند. در سایت ctf.org می‌توانید زمانبندی این مسابقات را ببینید. مسابقه مرکز آپا شریف با سابقه ۳ دوره برگزاری، نسبت به خیلی دیگر از دانشگاه‌‌های دیگر برگزار کننده جوان است. البته دور مقدماتی چهارمین دوره مسابقه هک و نفوذ که اواخر شهریورماه جاری برگزار شد به صورت بین‌المللی بود که در آن ۳۷۵ تیم ثبت نام کردند که از بین آنها بیش از ۲۰۰ تیم، از کشورهای خارجی بوده‌اند.

۵- شركت كنندگان مسابقه هک و نفوذ از چه طيفي هستند؟ آيا واقعا دانش آموزان نيز آنطور كه در خبرها آمده بود مي توانند در این مسابقه شركت كنند؟ آيا ارزيابي آنها جدا از سايرين انجام مي شود؟
کلیه علاقمندان به حوزه امنیت فضای تبادل اطلاعات می‌توانند در این مسابقه شرکت نمایند. در طی سه دوره گذشته، تعداد دانشجویان روندی افزایشی داشته است. مسابقه دانش‌آموزی امسال برای اولین بار برگزار می‌شود که دانش‌آموزان با ارایه معرفی‌نامه از مدرسه محل تحصیل خود می‌توانند در این مسابقه شرکت نمایند. این مسابقه در سطحی کاملاً منطبق بر دانش این دسته از شرکت کنندگان برگزار می‌شود و در آن سعی می‌شود دانش‌آموزان با مفاهیم امنیت و دفاع در حوزه فضای تبادل اطلاعات آشنا شوند. در ضمن سوالات و چالش‌های مربوط به دانش‌آموزان و ارزیابی آنها به صورت مجزا از تیم‌های حرفه‌ای صورت می‌پذیرد.

۶- سطح مسابقه را از نظر فني چطور ارزيابي مي كنيد؟ در مقايسه با ديگر كشورها؟ آيا انتظار شما از مسابقات پيش از اقدام به برگزاري در همين حد بود يا انتظار كمتر يا بيشتري داشتيد؟
ما سعی می‌کنیم سؤالات و چالش‌ها هر چه بیشتر به سطح استانداردی که در سایر مسابقه‌هاوجود دارد، نزدیک شوند. تعداد تیم‌ها در هر دوره، از دوره قبل بیشتر است. البته ما انتظار این حد را در مسابقه اول نداشتیم اما به نظر می‌رسد هنوز افراد و گروههایی هستند که در این مسابقه شرکت نمی‌کنند.

از نظر کیفیت سوالات در مقایسه با سایر مسابقات بزرگ دنیا، هنوز فاصله داریم اما بر اساس نظرسنجی در مسابقه مقدماتی دور جاری که به صورت جهانی برگزار شد، به صورت عمومی تیم‌ها از روند برگزاری و کیفیت سوال‌ها راضی بودند. اما بسیاری از شرکت کنندگان معتقد بودند سوال‌ها در سطح ساده بودند که البته دلیل اصلی این امر آن است که ما سوال‌ها را برای متوسط تیم‌های ایرانی طرح کرده بودیم.

۷- كيفيت برگزاري مسابقه از نظر رعايت استانداردهاي محيطي، تجهيزات، مكانيزم داوري، اطمينان از عدم تقلب، رفاه حال شركت كنندگان و ... چگونه است؟
برگزاری مسابقه نهایی معمولاً در سایت دانشکده مهندسی کامپیوتر دانشگاه صنعتی شریف است که امکانات نسبتاً خوبی دارد. از نظر مکانیزم‌های داوری و بررسی احتمال تقلب، از دور اول مکانیزم‌هایی در نظر گرفته شده است که در همان دور اول هم منجر به کشف مواردی از تقلب شد. ولی با توسعه نرم‌افزارها در هر دوره بهبودهایی در آن‌ها انجام گرفته است. در این زمینه به نظر نمی‌رسد مشکل یا نارسایی خاصی وجود داشته باشد.

۸- به جز هدف ترويجي، آيا مسابقه خروجي ديگري هم داشته؟ مثلا به كشف يك حفره امنيتي جديد يا يك روش نوين دفاع منجر شده باشد؟
در بخش ارایه روشهای خلاقانه در نفوذ و دفاع، سعی می‌شود که از کسانی که کاری نوآورانه در این زمینه انجام داده‌اند، مثلاً حفره امنیت جدیدی کشف کرده‌اند یا آسیب‌پذیری جدی یافته‌اند تقدیر شود. همچنین فرصتی برای ارایه و به اشتراک گذاشتن تجربه و دانش آنها فراهم شده است. حتی اگر این آسیب‌پذیری‌ها در بسترهای حساس کشور باشد سعی می‌شود که با ذینفعان برای حل مساله همکاری شود و ارایه‌ها در فضایی محدود ارایه شود تا مشکلات کشف شده حل و برطرف شوند.
۹- بعد از مسابقه، آيا مكانيزمي انديشيده شده كه از دانش و تجريه برگزيدگان مسابقه استفاده شود؟ چه در جهت آموزش و چه در جهت عملي؟
در برگزاری این مسابقات سعی شده است که فضای لازم برای تعامل متخصصین و مسئولین با یکدیگر فراهم گردد. در این فضا مسئولین و صاحبان شرکتها فرصت لازم برای معرفی فعالیتهای تخصصی خود و جذب افراد متخصص و و بهره‌مندی از دانش و تجربه آنها را خواهند داشت. شایان ذکر است که وظیفه یک نهاد دانشگاهی صرفا فراهم آوردن اینگونه فضاها و ارتقای دانش و فرهنگ عمومی در حوزه‌های تخصصی است و بهره‌مندی از این فضا بر عهده شرکت‌کنندگان در مسابقات و گردهم‌آیی‌های آن است.
۱۰- آيا مسابقه فقط در حوزه نفوذ به شبكه هاي كامپيوتري است؟ آيا بر روي بستر موبايل كاري صورت گرفته يا برنامه‌اي براي اين كار داريد؟
تا کنون در زمینه امنیت موبایل در مسابقه هک و نفوذ سؤال و چالشی مطرح نشده است. اما محدودیتی وجود ندارد، با توجه به نیاز، چالش‌ها می‌توانند در کلیه حوزه‌های مرتبط مطرح شوند. به عنوان مثال امسال یک محور دیگر به مجموعه رقابت‌ها افزوده شده که در آن از افراد خواسته شده که به انجام یک تحلیل جامع در حوزه کشف شواهد رایانه‌ای بپردازند.

۱۱- در پايان اگر سخني داريد كه مايليد مطرح كنيد، بفرماييد.
شروع این مسابقات در کشور ما اگر چه با دشواری‌هایی مواجهه بود، اما پس از چهار دوره برگزاری خوشبختانه از حساسیت این مساله کاسته شده تا جایی‌که سایر دانشگاه‌ها و مراکز نیز اقدام به برگزاری مسابقه‌های مشابه نموده‌اند. امیدواریم با ادامه این روند شاهد افزایش کیفیت این مسابقات و در نتیجه بالا رفتن دانش متخصصین این حوزه و در نتیجه امنیت بیشتر در فضای تبادل اطلاعات شویم.