پرورش و رشد چند ماهه

پرچم

شرمنده‌ام دایی. به نظر می‌آید که اشتباهی به این سایت هدایت شده‌ای. از طرف تمام جوامع فرابشری از شما عذرخواهی می‌کنیم. لطفا رایانه‌ی خود را restart کنید و به زندگانی عادی خود ادامه دهید.

هممم...پس تصمیم خودت را گرفته‌ای که بیش‌تر یاد بگیری! با ما باش تا به تو بگوییم تا کجا می‌توانی یاد بگیری!
احتمالا تصور شما این است که بازار کار مهندسی کامپیوتر خیلی شلوغ است و رقابت زیادی داریم. خب در اکثر حوزه‌ها این تصور درست است اما اجازه دهید حداقل یک حوزه را استثنا کنیم! حوزه‌ی امنیت! حوزه‌ای است که تقاضای نیروی کار جدی دارد اما به نظر می‌رسد نیروی کار دست به آچار کمی وجود دارد. یعنی بازار کار، کسی مثل شما را، همراه با جعبه ابزارتان، فرامی‌خواند و شما هم نشسته‌اید و چای می‌نوشید! :(
عجیب نیست؟ اگر اوضاع این قدر گل و بلبل است، پس چرا کسی به این حوزه هجوم نبرده است؟
دلیلش این است که هزینه‌ی ورود به حوزه‌ی امنیت واقعا زیاد است! تسلط نسبی روی حوزه‌ی امنیت به سادگی تسلط نسبی روی توسعه‌ی وب یا برنامه‌نویسی نیست. در دنیای امنیت معروف است که امنیت سفری طولانی است و نه یک مقصد رویایی! مسیری آهسته و پیوسته است که خبره‌ شدن در اون زمان‌بر و قطعا سخت است.
از طرفی امنیت مثل اکثر قسمت‌های مهندسی کامپیوتر مدام در حال تغییر و تحول هست و مثلا کتاب مناسبی برای یاد گرفتن امنیت وجود ندارد! کارکشته‌های این حوزه تصمیم گرفتند تا بستر مسابقاتی به نام Capture The Flag (CTF) را فراهم کنند که در آن اطلاعات جدید و به‌روزشده را میان خود به اشتراک بگذارند.
اما شرکت در CTF به یک دانش و تجربه‌ی اولیه هم نیاز دارد و نمی‌شود از صفر بسم الله گفت و در این مسابقات شرکت کرد. هدف این دوره این است که شما را برای شرکت در مسابقات CTF آماده کنیم تا بتوانید با طیب خاطر مهارت‌های مورد نیاز را برای آغاز این راه بی‌پایان کسب کنید. (;
دوره‌ی ما، دوره‌ای بسیار عادی است و هیچ فایده‌ای ندارد که در آن شرکت کنید.
عجب! هنوز پشیمان نشده‌اید؟ از خر شیطان پیاده شوید و صفحه را ببندید و بروید دنبال زندگیتان!
نه؟ خیلی خب… ادامه‌ی مطالب سایت را بخوانید… (خداوند شما را قرین رحمت خود گرداند.)

از کجا باید شروع کرد؟ چه پیش‌نیازهایی لازم است؟

گام صفرم، سرآغاز، نقشه‌ی راه

سه پیش‌نیاز مهم و حیاتی برای همراه شدن با این دوره نیاز است: اول، لازم است که به یک رایانه دسترسی داشته باشید. سخت‌ترین مرحله، همین مرحله‌ی اول است چون اصلا رایانه در این روزگار به راحتی پیدا نمی‌شود. دوم، لازم است که با برنامه‌نویسی رایانه آشنایی نه چندان کافی داشته باشید، چون اگر آشنایی به اندازه کافی باشد، احتمالا علاقه‌مندی خود را قبلا پیدا کرده‌اید. سوم، لازم است که ادامه‌ی این متن خوانده شود!

دوره‌ی پرچم در ۸ مرحله‌ی اصلی برگزار می‌شود. از اینجا به بعد، هر مرحله‌ی اصلی از پرچم را «مَنزل» می‌نامیم! پس ۸ منزل داریم.
مدت زمان هر منزل، ۲ تا ۴ هفته است. در هر منزل، یکی از شاخه‌های اصلی مسابقات CTF بررسی می‌شود. به طور دقیق‌تر، موضوع مورد بحث در منزل‌ها، به ترتیب زیر است:

  1. تحلیل فایل با هدف جرم‌شناسی
    2.
  2. تحلیل و مهندسی معکوس برنامه‌های اندروید
    3.
  3. تحلیل و مهندسی معکوس برنامه‌های رومیزی
    4.
  4. تحلیل بدافزارها و رفتارهای مخرب
    5.
  5. تحلیل و حمله به نرم‌افزارهای تحت وب
    6.
  6. تحلیل و حمله به پروتکل‌های رمزنگاری
    7.
  7. امنیت سیستم عامل
    8.
  8. شترگاوپلنگ (مباحث ترکیبی)
    9.


اما سوال اصلی این است: در هر منزل چه اتفاقی می‌افتد؟

چگونه یاد خواهم گرفت؟

گام اول، شیرجه در عمق ۴ متری

در ابتدای هر منزل، ویدیوی آموزشی در اختیار شما قرار می‌گیرد. همچنین منابعی به شما معرفی می‌شوند که باید آنها را بررسی کنید تا بتوانید ویدیو را به خوبی دنبال کنید. بعد از مطالعه‌ی آنها، سراغ ویدیو می‌روید.
ویدیوی آموزشی به چه صورت است؟ خب معلوم است؛ تعدادی از خبره‌ترین اساتید امنیت در این ویدیوها، مبانی هر موضوع را آموزش خواهند داد و به شما تمرین می‌دهند و شما هم می‌توانید سوال‌هایتان را بپرسید.

خب ممکن است روشی عالی باشد اما این روش روی ما کار نکرده است! هیچ یک از ما به خاطر نمی‌آورد که از چنین دوره‌های آنلاینی چیزی یاد گرفته باشد. حداقل برای یک چیز کاربردی، بعید است که این روش کهنه و سنتی، مفید باشد.
ویدیوهای آموزشی در واقع مصداق همان شیرجه زدن در عمق ۴ متری برای یک تازه‌کار است! در ویدیوی هر منزل، یک یا چند سوال مرتبط به موضوع معرفی می‌شود و چند جوان جویای نام، همزمان تلاش می‌کنند که سوال را حل کنند. می‌توانید بعد از معرفی شدن سوال، در ابتدا خودتان تلاش کنید که سوال را حل کنید و بعدش ببینید که آنها چطور سوال را حل می‌کنند. [این چند نفر، هر یک روش متفاوتی برای حل سوال در پیش خواهد گرفت و در نتیجه شما با ذهنیت‌های متفاوتی برای حل این دسته از سوالات آشنا خواهید شد.]

باید تمرین کرد تا مسلط شد. چگونه تمرین کنم؟

گام دوم، با یک گل بهار نمیشه

بعد از ویدیوی آموزشی، به شما ۲ سوال داده خواهد شد که آنها را حل کنید که دومی کمی سخت‌تر است. ۱ یا ۲ هفته برای حل هر یک از این سوالات فرصت دارید. اگر نتوانستید سوالی را حل کنید، راه‌حل آن بعد از اتمام مهلت ارسال پاسخ، در اختیار شما قرار داده خواهد شد. با حل کردن سوال، امتیاز پویای آن سوال را دریافت می‌کنید و در جدول امتیازات صعود می‌کنید. (امتیاز پویا دیگر چه صیغه‌ای است؟ عرض خواهم کرد.)
توجه کنید که همراه با ویدیوهای هر منزل، مراجع یا ابزارهایی به شما معرفی خواهد شد که باید آنها را مطالعه و بررسی کنید تا بتوانید سوال‌های جدید را هم حل کنید.
علاوه بر این سوالاتِ جدید، سوالات دیگری هم از مسابقات گوناگون داخلی یا خارجی به شما معرفی خواهد شد که راه‌حل آنها در اینترنت قابل جستجو است.

ماجرا این است که امتیاز سوال‌ها تغییر می‌کند. در واقع در ابتدای کار، همه‌ی سوالات ۵۰۰ امتیاز دارند. با بالا رفتن تعداد دفعات حل شدن یک سوال، امتیاز آن سوال کاهش می‌یابد. بدین ترتیب، سوالات ساده‌تر توسط تیم‌های بیشتری حل خواهند شد [شبیه انتخاب طبیعی داروین!] و امتیاز آن سوال‌ها کاهش خواهد یافت.

چگونه بین این همه کار و گرفتاری، دست از تلاش و رشد برندارم؟

گام سوم، یک سر و هزار سودا

راهکار اصلی برای تلاش مداوم، داشتن انگیزه‌ی کافی است. یعنی خودتان باید علاقه‌مند به یادگیری باشید. متاسفانه، در این مورد کاری از ما ساخته نیست و فقط می‌توانیم دعا کنیم!
خب راستش چرا … یک کار از دستمان ساخته است و آن هم تشویق کردن نفرات برتر است. فکر کردیم و دیدیم بهترین راه تشویق، جایزه دادن است؛ بنابراین به نفرات برتر جایزه تعلق خواهد گرفت.
پس از گذرانده شدن هر ۸ منزل و کامل شدن مدرسه‌ی پرچم، بر اساس جدول امتیازات به نفر اول و دوم، به ترتیب ۵ و ۳ میلیون تومان جایزه داده می‌شود. [بله، خودمان هم می‌دانیم که جایزه‌ی بسیار ارزنده‌ای است.]
اما ۶ ماه زمانی طولانی است و انصافا اگر حتی یک میلیارد تومان در انتها جایزه داده شود، انگیزه‌ی فرد در گذر زمان سست و کم می‌شود.
به همین دلیل، برای نفرات برتر هر منزل هم جایزه در نظر گرفتیم اما کمی ماجرا دارد.

این جایزه مخصوص قشر مظلوم دانشجو است [در واقع همه دانشجو هستیم]و به قید قرعه است.
گفتیم که برای هر منزل ۲ سوال داریم که یکی از آنها دشوارتر است. برای حل‌کنندگان سوال آسان، ۵۰۰ هزارتومان و برای حل‌کنندگان سوال سخت، ۱ میلیون تومان جایزه در نظر گرفته شده است. از آنجایی که متاسفانه به گنج قارون(!) دسترسی نداریم، مجبوریم که میان افرادی که سوال را حل کرده‌اند و پاسخ کامل آن را برای ما ارسال کرده‌اند، قرعه‌کشی کنیم و برای هر منزل فقط به یک نفر جایزه را تقدیم کنیم. خب البته، من هم می‌دانم در دنیایی هستیم که عده‌ای بیش از حد لازم خوش‌شانس هستند و ممکن است مدام قرعه به نام آنها درآید! به همین دلیل برای این که عدالت را برقرار کنیم، اگر کسی در یک منزل جایزه را ببرد، بارهای بعد در قرعه‌کشی شرکت داده نمی‌شود و از این بابت خاطرتان جمع باشد!

پرچم به هشت دسته تقسیم می‌شود

دسته‌بندی‌ها

جرم‌شناسی

۱۳۹۹/۰۶/۱۷

اندروید

۱۳۹۹/۰۷/۰۵

مهندسی معکوس

۱۳۹۹/۰۷/۲۰

بدافزار

۱۳۹۹/۰۸/۰۴

وب

۱۳۹۹/۰۸/۲۰

رمزنگاری

۱۳۹۹/۰۹/۱۸

سیستم‌عامل

۱۳۹۹/۱۱/۰۷

شترگاوپلنگ

۱۳۹۹/۱۲/۰۵

تیم ما

Iroh

آیرو

معنای اسم

عموی زوکو

مهارت‌ها

N/A

سرگذشت

در دبیرستان قدم در راه برنامه‌نویسی وب نهاد و تا انتهای آن رفت. اما در انتها به اون گفتند: «کجای کاری؟ این تازه اول راه است!» نقل است که ایشان بر خلاف سایرین، نگاشت راه‌حل به مسئله دارد: یا راهی خواهد یافت یا راهی خواهد ساخت. آنقدر به همه چیز مسلط است که مهارت را تهی از معنا کرده است.

علایق و تفریحات

مجموعه های علمی-تخیلی یا فانتزی، استفاده نکردن از نرم‌افزارهای غیر متن‌باز[، انگیزه دادن به دیگران برای حذف فیزیکی خودش]

Rooney

رونی

معنای اسم

فامیل آقای جوکر

مهارت‌ها

نوعی از رمز‌نگاری که پایه‌گذارش خودش است، نگاه کردن به آسیب‌پذیری‌ها و اکسپلویت نکردنشان!

سرگذشت

رونی علاقه‌مند به حل مسئله است. در دبیرستان (برخلاف سایرین که با برنامه‌نویسی آشنا شده‌اند) با دریافت هزینه از ملت، به عمل ظریف حدس زدن گذرواژه‌ی یاهومسنجرِ فامیل آن‌ها مشغول بوده است و از همان جا به امنیت علاقه‌مند شده است. CTF را دوست دارد چون نقطه‌ی اشتراک حل مساله و امنیت است.

علایق و تفریحات

خیره شدن به آسیب‌پذیری‌ها

Leemo

لیمو

معنای اسم

میوه‌ای از میوه‌های بهشت

مهارت‌ها

جرم‌شناسی پست‌مدرن، رمزنگاری

سرگذشت

لیمو اهل تهران نیست. او از کودکی به هنر و ریاضیات علاقه داشته، با ویندوز عجین شده و هیچ‌گاه به آن پشت نخواهد کرد. همواره به‌دنبال جمع‌آوری اطلاعات از اطراف بود تا اینکه با جرم‌شناسی آشنا و به سمت امنیت و رمزنگاری کشیده شد. او توانست سبک پست‌مدرن را در جرم‌شناسی بنیان‌گذاری کند و مرزهای امپرسیونیسم این حوزه را جابجا کرد.

علایق و تفریحات

نصب بی‌نهایت لینوکس بر روی ویندوز، آشپزی و نقاشی

Reuben

روبین

معنای اسم

نهاده‌شده روی باینری

مهارت‌ها

پیچیده کردن چیزهای ساده و پرداختن به حاشیه‌ها

سرگذشت

بعد از کنکور، اتفاقی در تهران با لیمو آشنا شد و الفبای امنیت را از او فرا گرفت. از آنجا که با مبانی مهندسی کامپیوتر آشنا نبود، زمان زیادی را صرف مطالعه‌ی درس‌های این رشته به طور خودخوان کرد در حالی‌ که هر روز به خودش می‌گفت هیچی از امنیت بلد نیست. روبین به فرزند کوچک خانواده سیستم‌عامل POSIX علاقه‌‌مند است.

علایق و تفریحات

تماشای آثار اینگمار برگمان و Vimeo Staff Picks، حافظ‌خوانی، بیسکویت ساقه‌طلایی با چای‌شیرین

تماس


info [AT] parcham [Noghte] io