Давненько мы не баловали тебя задачами на собеседованиях. Пора исправляться! Сегодня квесты представляют наши в некотором роде коллеги — Высшая школа информационной безопасности. Занимаются они, как нетрудно догадаться, профессиональной подготовкой частных лиц и компаний, стремящихся приобрести необходимые навыки и опыт в области ИТ и ИБ.

 

IT-компании, шлите нам свои задачки!

Миссия этой мини-рубрики — образовательная, поэтому мы бесплатно публикуем качественные задачки, которые различные компании предлагают соискателям. Вы шлете задачки на lozovsky@glc.ru — мы их публикуем. Никаких актов, договоров, экспертиз и отчетностей. Читателям — задачки, решателям — подарки, вам — респект от нашей многосоттысячной аудитории, пиарщикам — строчки отчетности по публикациям в топовом компьютерном журнале.

Кратко напоминаю формат: компания публикует задачи, читатели их решают и присылают правильные ответы, за что получают призы, а иногда еще и должности (правда, на моей памяти часто выходило так, что задачки быстрее всех решали парни, которые уже имели хорошие должности и менять работу не торопились :)).

Сегодняшнее задание состоит из десяти не очень сложных тестовых вопросов, определяющих твой кругозор, и двух реальных хакерских заданий. Поехали!

 

Десять вопросов

1. При каком варианте спама злоумышленники вынуждены указывать настоящий обратный адрес?

  1. Фишинговые письма.
  2. Нигерийские письма.
  3. Малотиражная целевая спам-рассылка с вредоносным вложением.

2. Возможна ли утечка данных пользователя, если он вводит их с виртуальной клавиатуры?

  1. Нет.
  2. Нет, если на компьютере заклеена видеокамера.
  3. Да.

3. Выберите все из перечисленных ниже проблем, которые удается решить с помощью технологии соления паролей:

  1. Выбор слишком короткого пароля.
  2. Неинформативность пароля.
  3. Совпадение паролей у разных пользователей.

4. Какая из перечисленных ниже вредоносных программ предназначена для атак на онлайн-банкинг?

  1. Chameleon.
  2. Virus.Win9x.CIH.
  3. Carberp.

5. Какой вид атак на онлайн-банкинг технически наиболее сложный и требует внедрения на атакуемом информационном ресурсе эксплоита?

  1. Phishing.
  2. Man-in-the-Middle.
  3. Man-in-the-Endpoint.

6. В чем слабое место протокола Диффи — Хеллмана?

  1. Математическая основа этого протокола ненадежна.
  2. Уязвим по отношению к атакам Man-in-the-Middle.
  3. Стал уязвим по отношению к brute-force attack с учетом выросших вычислительных возможностей компьютеров.

7. Какой метод DDOS-атаки позволяет добиться многократного усиления трафика?

  1. UDP flood.
  2. Http slow post.
  3. Dns amplification атака.

8. Какой хеш-алгоритм работает быстрее?

  1. CRC32.
  2. MD5.
  3. SHA-2.

9. Какие криптографические методы используются в технологии блокчейн?

  1. Потоковое шифрование.
  2. Хеширование.
  3. Цифровая подпись.

10. Выберите все правильные варианты ответа:

  1. Формат HTTPS разработан специально для нужд онлайн-банкинга.
  2. HTTPS является отдельным по сравнению с HTTP протоколом.
  3. HTTPS — это расширение протокола HTTP, в котором добавлено шифрование передаваемых по транспортным механизмам протокола HTTP данных.
 

Хакерские задания

 

Задание 1

На рабочем компьютере секретного агента была найдена подозрительная программа, которая крадет данные. Агент не растерялся и снял дамп программы непосредственно перед отправкой зашифрованных данных. Пароль на архив: infected.

Требуется: найти флаг.

 

Задание 2

В вашем распоряжении оказалась зашифрованная информация в файле flag.enc. Данный файл зашифрован алгоритмом AES-256-ECB. К счастью, у вас есть ключ от зашифрованного файла key.enc. Проблема в том, что он зашифрован алгоритмом RSA публичным ключом key.pub.

Требуется: расшифровать файл flag.enc и достать флаг.

 

Призы и подарки

Ответы присылай Екатерине Плотниковой: ep@smcomm.ru.

Главный приз будет разыгран рандомно среди участников, правильно решивших все задания. Победитель получит от HackerU стипендию на сумму 100 тысяч рублей. Она полностью покроет расходы на прохождение отборочного курса (20 академических часов), а также часть основного 9-месячного курса по освоению профессии пентестера, после успешного прохождения которого HackerU гарантирует трудоустройство по специальности.

Прославлять победителей мы будем через месяц, поименно :). А после того, как из трубы над редакцией поднимется белый дым, который ознаменует назначение победителя, товарищи из HackerU планируют распределить среди участников еще несколько небольших подарочков (в виде промокодов).

7 комментариев

  1. baragoz

    11.03.2018 at 19:13

    1 нах, отправил

  2. OnLyOnE

    12.03.2018 at 09:04

    8. Какой хеш-алгоритм работает быстрее?

    CRC32. — не является хеш-алгоритмом.

    Самим «специалистам» составляющим данные квесты, нужно лучше учить матчасть))

    • OnLyOnE

      12.03.2018 at 09:12

      Циклический избыточный код (англ. Cyclic redundancy check, CRC[1]) — алгоритм нахождения контрольной суммы, предназначенный для проверки целостности данных[2]. CRC является практическим приложением помехоустойчивого кодирования, основанным на определённых математических свойствах циклического кода. (с) Википедия

      • HackerU_school

        12.03.2018 at 11:24

        Выбор той или иной хеш-функции определяется спецификой решаемой задачи. Простейшим примером хеш-функции может служить «обрамление» данных циклическим избыточным кодом (англ. CRC, cyclic redundancy code).
        https://ru.wikipedia.org/wiki/%D0%A5%D0%B5%D1%88%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5

        • Егор Василенко

          22.03.2018 at 17:20

          Ваш вопрос неоднозначный. F(x) = x % 2 — это тоже хеш-функция по определению, а SHA2 — вообще набор хеш-функций. Надо называть вещи своими именами, потому что непонятно, что надо сделать: выбрать алгоритм с минимальной временной сложностью или отбросить все эти непонятные варианты и выбрать md5)

          • HackerU_school

            26.03.2018 at 13:25

            Утверждения, что » F(x) = x % 2 — это тоже хеш-функция» и «SHA2 — вообще набор хеш-функций» — верны. Раз это набор, то стоит посмотреть, какие хеш функции входят в него. В нашем задании явно есть намёк на то, что нужно выбрать алгоритм с минимальной временной сложностью.

  3. olegkyka

    20.09.2018 at 07:17

    Ну и кто победил то?

Оставить мнение

Check Also

FPGA. Создаем хардверный счетчик в Xilinx Vivado, чтобы освоить инструменты разработки ПЛИС

Если ты хочешь превратить код в микросхему, используя FPGA, то эта статья поможет тебе осв…