Wyniki konkursu OMH

issa.org.pl 11 miesięcy temu
Konkurs wygrał Rafał Opiłowski z poniższą pracą:
Co bym zrobił nowego w ISSA?

CyberSec-owy Escape Room

Postanowiłem wyjść spoza konwencjonalnego schematu konferencji, wykładów oraz spotkań.

Co by się stało, gdyby przenieść do świata materialnego konkurs Capture The Flag i połączyć go z koniecznością szukania luk np. w urządzeniach IoT w odpowiednio przygotowanych urządzeniach typu Smart Home?

Nasze najnowocześniejsze i autonomiczne mieszkanie Smart Home przejeli źli aktorzy, a wraz z nim wszystkie urządzenia w sieci. Co 30 minut, zmniejszą temperaturę pomieszczenia o 1 st. Celsjusza, a drzwi są zamknięte magnetycznym zamkiem i nie możemy ich otworzyć.
Naszą flagą główną byłby klucz YubiKey schowany w sejfie, który odblokowywałby dostęp do panelu sterowania w pomieszczeniu, które pozwoliłoby odciąć hakerów z sieci, poprawnie ustawić termostat oraz otworzyć drzwi.

Wskazówki do otrzymania flagi głównej, mogłyby zostać schowane jako fizyczne wskazówki, dane pozornie schowane w sieci mieszkania (do których można było się dostać smart lodówką lub laptopem pozostawionym w mieszkaniu).

- rekonesans mieszkania...
- łamanie hasła WiFi `hashcat`-em
- szukanie luk w zabezpieczeniach urządzeń IoT
- łamanie zabezpieczeń smart lodówki po porcie Ethernet dzięki kablowi znalezionym pod biurkiem
To wszystko w celu poszukiwaniu cennych informacji dot. 6-cyfrowego kodu do sejfu z kluczem.

Lecz trzeba uważać na złych aktorów, gdyż Wielki Brat patrzy i słucha - powiedziane na głos odnalezione hasło może w zmrożeniu oka stać się nieaktualne!

Wyzwanie "CyberSec-owy Escape Room" wykonywane byłoby w zespołach od 4 do 6-osobowych. Podany wyżej przykład może zostać uproszczony dla pozostałych poziomów trudności: łatwy i średnio-zaawansowany.
Ten wysokobudżetowy event miałby na celu naoczne ukazanie zagrożeń związanym z niedostatecznym zabezpieczeniem sieci domowych, a w przyszłości urządzeń IoT - pośrednio również przekazanie ogólnych zasad cyberbezpieczeństwa w kontrolowanych warunkach.

Relacja tego wydarzenia na żywo na platformie YouTube nabrałaby rozgłosu zarówno wyzwaniu, jak i stowarzyszeniu, a rzeczowy komentarz ekspertów cyberbezpieczeństwa nadałby mu również walor edukacyjny.
Idź do oryginalnego materiału