Esta iniciativa de cibersegurança contou com 64 participantes de 26 instituições distintas, divididos por 10 grupos. A equipa vencedora deste exercício de ataque e defesa informática promovido pela Fundação para a Ciência e a Tecnologia, através da unidade FCCN, foi constituída por elementos da Universidade de Coimbra e do Instituto Politécnico do Cávado e do Ave.
Durante duas horas, cada grupo teve de descobrir vulnerabilidades nos sistemas das restantes equipas, bem como defender os três sistemas a que tinha acesso. Para a construção de uma plataforma que permitisse este exercício de ataque e defesa, em formato totalmente remoto, recorreu-se a vulnerabilidades em PHP, PERL e WORDPRESS, entre outros.
Carlos Friaças, gestor do serviço RCTS CERT da unidade FCCN e responsável pela organização da 1ª Cyberrange RCTS, conta-nos como foi a primeira edição da iniciativa:
Como se desenrolou a dinâmica?
Cada equipa recebeu acesso a três servidores. A ideia foi mitigarem as vulnerabilidades que encontrassem, para que as outras equipas não conseguissem realizar ataques bem-sucedidos.
Uma vez que os servidores de todas as equipas estavam na mesma rede, os participantes tinham também a oportunidade de atacar os servidores das outras equipas, explorando as vulnerabilidades existentes.
Foram ainda criados três servidores com vulnerabilidades diferentes, onde não existiu intencionalmente nenhum esforço de mitigação.
O exercício foi composto também por um leaderboard, que registava pontos relativamente aos ataques bem-sucedidos, e retirava pontos quando as vulnerabilidades eram exploradas.
Qual foi o objetivo do exercício?
Treinar a defesa e o ataque, num ambiente controlado. Perante as dificuldades criadas no decurso do exercício, tivemos como objetivo que os participantes adquirissem conhecimentos sobre algumas vulnerabilidades de segurança.
Quem foram os participantes?
Contámos com elementos das equipas IT de 26 membros da RCTS – Rede Ciência, Tecnologia e Sociedade, que desempenham funções de cibersegurança ou administração de sistemas.
Como foram formadas as equipas?
As equipas foram definidas pela organização. Cada uma contou com 7/8 elementos e foi respeitado, tanto quanto possível, um critério geográfico.
Para quando se espera a próxima Cyberrange RCTS?
Nestes mesmos moldes, é difícil determinar, mas uma vez disponível a plataforma, será apenas necessário disponibilizar servidores com vulnerabilidades distintas das deste exercício para se poder realizar outro. Apontamos, provavelmente, para 2025.
Quais foram as conclusões retiradas deste desafio?
O debriefing foi realizado imediatamente após o final das duas horas de exercício, explicando quais eram as vulnerabilidades que existiram.
Carlos Friaças conclui o seu testemunho com um balanço positivo e um pedido aos participantes: “O nível de participação foi excelente e é importante agradecer a todos pela disponibilidade em participarem numa iniciativa deste tipo, e também aproveitar a oportunidade para solicitar que preencham o questionário/survey que foi enviado”.
