嵌入式夺旗(eCTF):学习嵌入式系统安全一个国旗
图片由Pixabay
作者:阿曼达·安德烈
你的一部分设计团队负责实施现代芯片和ATM系统为最新客户:一家大型银行链。银行收缩外部公司来设计用户界面的ATM和希望维持现有的银行管理软件目前使用,所以您的设计将使用预定义的应用程序编程接口(api)。所有其他设计和实现决策取决于你。
所以开始斜方所面临的挑战是2018嵌入式夺旗(eCTF)竞争。结束了它的第三年,eCTF为大学生提供了一个机会来获得实践经验在建筑,编程,保护,和侵入嵌入式系统,从而也学习重要的网络安全技术,电气工程,和团队精神。
抓住机会
几年前,丹•沃尔特斯主要嵌入式安全工程师,注意到一个发展的机会。教育和培训领域的存在对学生嵌入式系统开发(编程、设计)或网络安全,但不是在嵌入式系统安全。嵌入式系统通常携带和使用的地方他们可以被盗或丢失或攻击者可以获得物理访问。这变成了一种不同的问题与传统的网络安全问题,实际上攻击发生的地方。
沃尔特斯灵感创造eCTF根据他自己的经验在网络安全夺旗事件。“我花时间阅读一些干燥的计算机手册了解如何做某事,否则我就不会阅读的动机,”他笑着说,“但是,因为它会帮助我解决团队的挑战和获得点,很容易。因为他们竞争在本质上,看到现场记分牌,看到您的团队得到点为您解决挑战的激励。“这些事件刺激学生磨练的话题,做最好的他们不只是为自己,也为自己的队友。
设计实际系统
第一eCTF与四个大学当地发生在2016年,贝德福德总部冠冕,得理工学院的团队,我们可能不安全,赢得第一名。第二年,他们扩大到8所学校,康涅狄格大学的研究小组,固件狗,第一名奖。他们成长,今年十一学校,弗吉尼亚理工大学的Hokie黑客团队赢得第一名。
在挑战中,参与者通过创建一个安全系统的运动,从他们的错误中学习。学生得到一个真正的物理嵌入式设备——独特的清洁技术基金!鼓励,考虑适当使用硬件的安全特性,比如锁位和保护记忆。“我们选择基于若干标准的安全挑战,”杰夫Hamalainen解释道,导致嵌入式安全工程师,2018大学eCTF的主要组织者。“我们想要涉及到硬件,我们想要一个令人信服的安全用例用于现实世界。”
每个团队设计一个安全的系统,满足的挑战要求和手设计斜接。斜接然后验证系统满足要求,如果是这样,文章其他团队评估。团队然后进入攻击阶段,执行安全评估的所有其他反对团队的系统。识别和利用安全漏洞时,他们将会获得一个“标志”,并指出!
eCTF的另一个独特的方面是,它持续一整个学期,而不是只有24或48小时(网络安全清洁技术基金的共同持续时间),让学生有机会工作深入持续的时间。根据Hamalainen,“事实的伸出这么长时间允许团队从他们的错误中吸取教训的方式你不得到很多其他清洁技术基金。一年一个团队犯了一个错误,可惜毁了很多他们的设计,但是我可以保证他们永远不会忘记设置锁位(防止阅读固件)的芯片。”
布莱恩侯爵,现在嵌入式安全工程师在斜方和2017年赢得团队的一部分,表示赞同:“学习是否你失去了一个标志,尤其是在捕捉这部分的魔术真的发生的地方。“虽然他的团队赢得了没有任何的旗帜被俘,他说,“我一定学会了通过它看到其他漏洞其他团队,我们不考虑,我们幸运地逃脱。”
进取
斜接团队已经计划2019年的挑战。“我们选择了一个新的硬件平台,更强大的和有趣的,”沃尔特斯说,“我们总是带来一些新的混合实验和有趣的。“急转弯:它会集中在一个视频游戏系统。斜方也接触外部合作伙伴帮助建立并运行事件的挑战。
侯爵总结说,“看着每个人的代码,每个人都试图做同样的事情,但是每个团队都有一个不同的方法。这是整洁的,看看每个人找到解决的挑战和不同的防御。在这个地方探索的话题真的很有价值。”
访问http://mitrecyberacademy.org/competitions/embedded/为更多的细节。
eCTF新闻:万博下载包
从2018年大学eCTF赢家
从2017年大学eCTF赢家
从2016年大学eCTF赢家
阿曼达·安德烈是一个计算社会科学家在认知科学和人工智能。她专注于社交媒体分析,设计创新的空间,在酷主题写文章。
另请参阅
©2018斜方manbetx客户端首页公司。保留所有权利。批准的公开发布。无限的分布。18 - 2429号
横切为导向的团队致力于解决问题的一个更安全的世界。了解更多主教法冠。