DEF CON ক্লাউড ভিলেজ CTF ডিজাইনিং থেকে 7টি পাঠ শেখা

DEF CON ক্লাউড ভিলেজ CTF ডিজাইনিং থেকে 7টি পাঠ শেখা

সময় স্ট্যাম্প: 10 জানুয়ারী, 2024 8:00 অপরাহ্ন
DEF CON ক্লাউড ভিলেজ CTF PlatoBlockchain ডেটা ইন্টেলিজেন্স ডিজাইনিং থেকে 7 টি পাঠ শিখেছি। উল্লম্ব অনুসন্ধান. আ.

ক্যাপচার দ্য ফ্ল্যাগ (CTF) ইভেন্টগুলি মজাদার এবং শিক্ষামূলক উভয়ই, সাইবার নিরাপত্তা পেশাদারদের একটি গঠনমূলক এবং নিরাপদ পরিবেশে নতুন ধারণা শেখার সময় তাদের হ্যাকিং দক্ষতাগুলিকে ফ্লেক্স করার একটি উপায় প্রদান করে৷ সু-পরিকল্পিত CTFগুলি ব্যক্তি এবং দলকে কর্মক্ষম চ্যালেঞ্জ, অভিনব আক্রমণের পথ এবং সৃজনশীল পরিস্থিতির সামনে তুলে ধরে যা পরে আক্রমণাত্মক এবং প্রতিরক্ষামূলক নিরাপত্তা পেশাদার হিসাবে তাদের কাজে প্রয়োগ করা যেতে পারে।

কিন্তু সমস্ত CTF সমানভাবে তৈরি করা হয় না, এবং আরও অনেক কিছু আছে যা একটি সফল CTF প্রতিযোগিতার ডিজাইন করার জন্য শুধুমাত্র চ্যালেঞ্জগুলি নিয়ে আসার চেয়ে বেশি। প্রযুক্তিগত নকশা চ্যালেঞ্জের পাশাপাশি, পরিবেশ স্থাপন এবং প্রকৃতপক্ষে প্রতিযোগিতা চালানোর সাথে জড়িত অপারেশনাল বিবেচ্য বিষয়গুলি, একটি আকর্ষক গেম সেট আপ করার জন্য প্রয়োজনীয় সৃজনশীল পরিকল্পনা এবং চ্যালেঞ্জগুলিকে গেমফাই করার সাথে সম্পর্কিত বিশদে ফ্যাক্টরিং, যেমন কীভাবে স্কোরিংয়ে ট্রেডঅফ। কাঠামো স্থাপন করা হয়।

“একজন ডিজাইনার হিসেবে আমি এটাকে [CTF] চ্যালেঞ্জিং মজা করতে চাই। আমি এমন লোকদের পুরস্কৃত করতে চাই যারা চতুর, যারা সত্যিই এতে কাজ করে এবং যারা অবিচল থাকে,” জেনকো হওং বলেছেন, নেটস্কোপের থ্রেট রিসার্চ ল্যাবস টিমের প্রধান গবেষক এবং গত বছরের DEF CON ক্লাউড ভিলেজ CTF-এর দলনেতা৷ "আমাদের জন্য এটি কার্যকর করার জন্যও ব্যবহারিক হতে হবে।"

মজার এবং ব্যবহারিক মানসিকতা ছিল যেটি হোয়াং DEF CON CTF-এ নিয়ে এসেছিল, একটি বিশাল বহু-দিনের ব্যাপার যেখানে 400 জনেরও বেশি ব্যক্তি এবং দল চ্যালেঞ্জে তাদের হাত চেষ্টা করেছিল এবং 20 জনের একটি দল ইভেন্টটি পরিচালনা করার জন্য তার অধীনে কাজ করছে। একজন প্রবীণ গবেষক এবং অভিজ্ঞ CTF অংশগ্রহণকারী, Hwong এই ইভেন্টের আগে কখনও CTF চালাননি। চাকরিতে তার প্রথম প্রচেষ্টার জন্য তার সবচেয়ে বড় আশা ছিল ইভেন্টের চ্যালেঞ্জগুলির প্রাসঙ্গিকতা এবং বাস্তবতাকে সমতল করা, যা কখনও কখনও আজ CTF-তে একটি বাগাবু হতে পারে।

“কখনও কখনও এই CTF-তে আপনি সত্যিই কঠিন চ্যালেঞ্জ পান কিন্তু এটার মানে কি? এটি একটি ডিক্রিপশন বা এনক্রিপশন সমস্যা হবে, যেখানে ইভেন্টটি যায়, 'এখানে কিছু আছে, সৌভাগ্য,' এবং তারপরে আপনাকে এই সমস্ত হুপগুলির মধ্য দিয়ে যেতে হবে যা বাস্তবতা থেকে সম্পূর্ণরূপে বিচ্ছিন্ন নাও হতে পারে কিন্তু সত্যিই একটি বড় বিষয়ের সাথে খাপ খায় না গল্পরেখা,” তিনি বলেছেন। “সুতরাং, যখন আমি কল পেলাম, তখন আমার চিন্তা ছিল 'আসুন ঝাঁপিয়ে পড়ি, আসুন একটি ভাল গল্প এবং চ্যালেঞ্জের একটি ভাল সেট বের করি যা মজাদার হবে তবে এটি অর্থবহ এবং সম্ভবত গবেষণা অনুপ্রবেশ পরীক্ষার বাস্তব জগতের সাথে সম্পর্কিত, প্রতিরক্ষামূলক ব্যবস্থা, বাস্তব জগতে কি ঘটছে।'

যদিও তিনি প্রজেক্টে ঢুকেছিলেন, যদিও, একটি জিনিস তিনি বিশেষভাবে চ্যালেঞ্জিং খুঁজে পেয়েছেন তা হল CTF চালানোর বিষয়ে সেখানে কত কম তথ্য রয়েছে। বেশিরভাগ লেখাই অংশগ্রহণকারীদের থেকে যারা একটি ইভেন্টকে রেট দেয় এবং ব্যাখ্যা করে যে তারা কীভাবে চ্যালেঞ্জগুলি সমাধান করেছে, কিন্তু একটি ইভেন্ট চালানোর সর্বোত্তম অনুশীলন সম্পর্কে খুব কমই তথ্য দেওয়া হয়। ফলস্বরূপ, তিনি বলেছিলেন যে তাকে এবং তার দলকে এক টন কাজ করতে হয়েছিল যা প্রায় স্ক্র্যাচ থেকে চ্যালেঞ্জ তৈরি করেছিল।

"সম্প্রদায় সাধারণত এক টন ভাগ করে, তাহলে কেন আমরা CTF চ্যালেঞ্জগুলি ভাগ করছি না?" তিনি বলেন. "আমি আমরা আরো ভালো করতে পারে."

নিরাপত্তা সম্প্রদায় ভাগাভাগি করার সেই চেতনায়, তিনি কিছু গুরুত্বপূর্ণ পাঠ শেয়ার করেন যা তার দল পথ ধরে তুলেছিল যাতে CTF ডিজাইনের দায়িত্বে থাকা অন্যরা এই প্রক্রিয়া থেকে শিখতে এবং বুঝতে পারে। তার লক্ষ্য হল ইভেন্টটি আবার চালানো এবং তারা গত বছর যা শিখেছে তার উপর ভিত্তি করে গড়ে তোলা। তিনি আরও আশা করেন যে অন্যরা তাদের সর্বোত্তম অনুশীলন এবং এমনকি প্রযুক্তিগত বিশদ ভাগ করবে, যাতে পুরো নিরাপত্তা সম্প্রদায় অফার করা CTF-এর গুণমান উন্নত করতে পারে।

গল্প বলাই মুখ্য

হোয়াং বলেছেন যে তার DEF CON ক্লাউড ভিলেজ টিম এমন একটি গল্পরেখা তৈরি করতে খুব আগ্রহী ছিল যা আকর্ষণীয় এবং মজাদার ছিল। তিনি বলেছেন যে তিনি গল্পটিকে বাস্তবসম্মত সাইবার দৃশ্যকল্প সহ একটি সিনেমার স্ক্রিপ্ট হিসাবে ভেবেছিলেন। ইভেন্টের জন্য তারা 'গ্নোমস'-এর একটি থিম বেছে নিয়েছিল যা মজাদার এবং মজার ছিল। তবে এটি কেবল গল্পের লেখাই গুরুত্বপূর্ণ ছিল না বরং গল্পের মধ্যে কীভাবে প্রযুক্তিগত চ্যালেঞ্জগুলি পরিকল্পনা করা হয়েছিল তাও গুরুত্বপূর্ণ ছিল।

"গবলিন এবং জিনোমের গল্পের লাইন সব কিছুর চারপাশে আবৃত ছিল কিন্তু গুরুত্বপূর্ণ বিষয় ছিল যুক্তিসঙ্গত পরিস্থিতি যা আপনি একটি নিরাপত্তা পেশাদার হিসাবে সম্মুখীন হতে পারেন, আক্রমণের পথ এবং যুক্তিসঙ্গত প্রতিরক্ষা সহ আপনি সম্মুখীন হতে চান," তিনি বলেছেন। "CTF ডিজাইনার হিসাবে আমরা যত বেশি এটি করতে পারি, এটি শেখার জন্য তত ভাল এবং CTF এর জন্য আরও মজাদার।"

একটি সফ্টওয়্যার উন্নয়ন পদ্ধতি নিন

CTF নির্মাতাদের অবশ্যই তাদের চ্যালেঞ্জের প্রযুক্তিগত উপাদানগুলি ডিজাইন করার জন্য একটি সফ্টওয়্যার বিকাশের পদ্ধতি গ্রহণ করা উচিত, Hwong সুপারিশ করেন।

"আপনাকে ডিজাইন, বাস্তবায়ন এবং পরীক্ষার কথা ভাবতে হবে," তিনি বলেন, ব্যাখ্যা করে যে তিনি এবং তার দল কঠিন উপায়ে শিখেছেন যে একটি জটিল CTF পরিবেশে চ্যালেঞ্জগুলি পরীক্ষা করা কতটা কঠিন হতে পারে যা অংশগ্রহণকারীদের দ্বারা বিভিন্ন উপায়ে পরিচালনা করা যেতে পারে। .

"কি হয়েছে - এবং আমি পরীক্ষা পরিচালনা না করার জন্য প্রধান নির্মাতা হিসাবে দোষ নেব - আমরা কি নেতিবাচক পরীক্ষার পাস, সেইসাথে কার্যকরতা পরীক্ষাগুলি মিস করেছি," তিনি বলেছেন। "এর একটি অংশ হল আমাদের পরীক্ষা করার জন্য পর্যাপ্ত সময় ছিল না, তাই আমি কিছু পরিবেশকে লক ডাউন করে রেখেছিলাম যেহেতু চ্যালেঞ্জটি চলছিল তাই কিছু চ্যালেঞ্জ খুব সহজ হবে না এবং কোনও ত্রুটি ছিল না। আমি মনে করি এক পর্যায়ে এক বা দুই ঘন্টার জন্য আমি একটি নির্দিষ্ট ধাপে অমীমাংসিত কিছু তৈরি করেছি।"

সুতরাং, তিনি যে বড় শিক্ষাগুলি শিখেছেন তার মধ্যে একটি হল যে CTF ডিজাইনারদের সফ্টওয়্যার বিকাশের কঠোরতাকে টেবিলে আনতে হবে যা পরীক্ষা এবং কার্যকারিতা কাজের মাধ্যমে সর্বত্র চলে।

অপারেশনাল দৃঢ়তা...এবং কিছুটা ক্যাফিন

সফ্টওয়্যার বিকাশে সতর্কতা কেবলমাত্র প্রযুক্তিগত ক্ষমতা নয় যা টেবিলে আসতে হবে। একটি CTF চালানো ক্রুদেরও কিছু গুরুতর অপারেশনাল কঠোরতা প্রয়োজন।

"আমাদের কিছু চমত্কার লোক ছিল যারা সার্ভার এবং AWS অ্যাকাউন্ট এবং Google এবং Azure অ্যাকাউন্টগুলি চালাচ্ছিল এবং নিশ্চিত করছি যে জিনিসগুলি চলমান রয়েছে এবং আমরা জিনিসগুলি পর্যবেক্ষণ করছিলাম," তিনি বলেছেন। “সেই সব জিনিস সামলাতে হবে। এবং আপনি যদি এটিকে উপেক্ষা করেন তবে এর অর্থ হতে পারে জিনিসগুলি ব্যর্থ হওয়া, ভেঙে যাওয়া বা আপনার পারফরম্যান্স সমস্যা রয়েছে।"

তারা যে অপারেশনাল সমস্যাগুলির মধ্যে পড়েছিল তার মধ্যে একটি হল তারা অংশগ্রহণকারীদের এবং চ্যালেঞ্জগুলির মধ্যে কিছু সংঘর্ষের সম্মুখীন হয়েছিল, কারণ দলটি একটি সীমাবদ্ধতার সাথে কাজ করছিল যে তারা AWS, Google, এবং Azure জুড়ে প্রতিটি অংশগ্রহণকারীদের জন্য একটি স্বতন্ত্র পরিবেশ তৈরি করতে পারেনি।

"কারণ এটি একই পরিবেশে ছিল, এটি তাদের অন্যান্য চ্যালেঞ্জগুলিতে সাহায্য করেছিল এবং যদি আপনার কাছে এমন একটি চ্যালেঞ্জ থাকে যার জন্য পরিবেশ পরিবর্তন করা প্রয়োজন তবে আপনার কাছে লোকেরা একে অপরের পায়ের আঙ্গুলের উপর পা রাখছে, একটি ভাগ করা বস্তু পরিবর্তন করছে," তিনি বলেন, ব্যাখ্যা করে যে তিনি এবং তার CTF এগিয়ে যাওয়ার সাথে সাথে দলটিকে নীতিগুলি পুনরায় সেট করতে হয়েছিল যাতে অংশগ্রহণকারীরা একে অপরের সাথে ঝাঁপিয়ে পড়তে না পারে।

তিনি এবং তার দল অভিজ্ঞতা থেকে শেখার চেষ্টা করছেন একটি ব্যবহারিক পদ্ধতি বের করার জন্য- সময়, প্রচেষ্টা এবং ব্যয়ের দৃষ্টিকোণ থেকে- যাতে অংশগ্রহণকারীদের সম্পূর্ণ CTF কম কার্যকর না করে সত্যিকারের বিচ্ছিন্ন পরিবেশ দেওয়া হয় কারণ জিনিসগুলি ভেঙে যায় বা কার্যকর হতে চিরতরে লাগে।

অবশেষে, হোয়াং বলেছেন যে অপারেশনাল ফ্রন্টে CTF শো রানারদেরও তাদের দল এবং অংশগ্রহণকারীদের মধ্যে সহজতর করার জন্য অবিরাম যোগাযোগের বিষয়ে সচেতন থাকতে হবে।

"আমি মধ্যরাতের পরে ডিসকর্ডে ছিলাম এবং আমি মনে করি, 'সকালে আমার একটি বক্তৃতা আছে, আপনি কি ঘুমাতে যাবেন?'" রসিকতা করে হোয়াং, যিনি ব্যাখ্যা করেছিলেন যে অংশগ্রহণকারীদের প্রশ্ন থাকবে এবং তারা সেখানে যাচ্ছেন সব সময় টিপস এবং পয়েন্টারের জন্য সংগঠকদের পিং করুন।

বিভিন্ন ডিফিকাল্টি লেভেল ডিজাইন করা কঠিন

চ্যালেঞ্জের অসুবিধার স্তরগুলি সঠিকভাবে পাওয়া এবং একটি ন্যায্য স্কোরিং সিস্টেম তৈরি করা একজন নবাগত CTF সংগঠক প্রাথমিকভাবে ভাবতে পারে তার চেয়ে কঠিন হতে পারে, হুং সতর্ক করে দিয়েছিলেন। তিনি ব্যাখ্যা করেছিলেন যে তার দল যে কয়েকটি স্তরকে সহজ হিসাবে ডিজাইন করেছে তা অংশগ্রহণকারীদের জন্য তাদের প্রত্যাশার চেয়ে সম্পূর্ণ করা আরও কঠিন ছিল, যখন আরও কিছু চ্যালেঞ্জিং স্তরগুলি প্রত্যাশার চেয়ে বেশি অংশগ্রহণকারীদের দ্বারা সফলভাবে শেষ হয়েছিল।

সমস্যা সমতল করার চ্যালেঞ্জের সাথে হাতে হাত মিলিয়ে একটি স্কোরিং সিস্টেম খুঁজে বের করা যা অর্থবহ। DEF CON-তে তার অভিজ্ঞতার পর, Hwong একধরনের বেল কার্ভ স্কোরিং সিস্টেম করার একজন প্রবক্তা। কিন্তু তিনি বলেছেন যে সমস্যাটি একটি বক্ররেখা প্রতিষ্ঠার মতো সহজবোধ্য নয়। বড় CTF টিমের চ্যালেঞ্জ পয়েন্টগুলি তৈরি করার ক্ষেত্রে যে সুবিধাটি রয়েছে তা স্বাভাবিককরণ এবং ভারসাম্য বজায় রাখার সমস্যাও রয়েছে—একটি সমস্যা যা অংশগ্রহণকারীদের একজন তাকে ইভেন্টের পরে প্রতিক্রিয়া প্রদান করেছিল।

“সুতরাং যদি আপনার চ্যালেঞ্জগুলিকে ভাগ করা যায় এবং সমান্তরাল একাধিক খেলোয়াড়ের মধ্যে করা যায়, যদি আমি 10 জন পেয়ে থাকি তবে আমি 10 গুণ দ্রুত হব। এবং তাই একটি সুবিধা আছে,” তিনি বলেন. “তার পয়েন্ট ছিল গতিশীল স্কোরিং স্তরের কিছু সাজানোর এটা সামান্য বিট. যদি এমন কিছু থাকে যা সে সত্যিই, সত্যিই ভাল, তবে সে একমাত্র ব্যক্তি হতে পারে যে এটি সমাধান করে এবং সে সর্বাধিক পয়েন্ট পাবে। বেল বক্ররেখা তাকে পুরস্কৃত করবে স্কেল বনাম অগত্যা ব্যাপার না যদি এটি তার দক্ষতার হুইলহাউসে 10 বনাম একের ক্ষেত্রে কিছু হয়। এখানে কিছু বিতর্কিত বিষয় রয়েছে যা আমাদের কাজ করতে হবে।”

একটি সম্ভাবনা হল চ্যালেঞ্জগুলিকে ক্রমানুসারে তৈরি করা, কিন্তু এর নেতিবাচক দিক হল এটি CTF কে খুব কঠোর এবং রৈখিক করে তুলতে পারে এবং এটি একটি বাধা বা নির্ভরতা তৈরি করতে পারে যা এক বা একাধিক চ্যালেঞ্জকে উড়িয়ে দিতে পারে। Hwong বলেছেন যে তিনি আরও বেশি CTF অংশগ্রহণকারীদের পুরস্কৃত করার কৌশলগুলি দেখতে পছন্দ করবেন যেমন পরিবেশে তারা কীভাবে চুপিসারে কাজ করে বা ডক পয়েন্ট যদি তারা অনেক বেশি পায়ের ছাপ এবং আঙ্গুলের ছাপ রেখে যায়, এবং এটি এমন একটি এলাকা যা তিনি ভবিষ্যতের ইভেন্টগুলি ডিজাইন করার সময় অন্বেষণ করতে চান। .

যাই হোক না কেন, গতিশীল স্কোরিং এমন কিছু যা সমতলকরণের কিছু সমস্যাকে উপশম করতে পারে এবং তিনি এবং তার দল আগামী বছরের জন্য এটি অনুসরণ করছেন।

নীল দলগুলির আরও মজাদার CTF চ্যালেঞ্জ দরকার৷

তার প্রথম CTF এর মাধ্যমে কাজ করার পর, Hwong ক্রমবর্ধমানভাবে বিশ্বাস করে যে এই ইভেন্টগুলি নীল দলের অংশগ্রহণকারীদের চ্যালেঞ্জ এবং সত্যিই জড়িত করার জন্য যথেষ্ট কাজ করে না।

"নীল দলের অনুশীলনগুলি এইরকম হতে থাকে: 'আমাদের অনেক দুর্বলতা সহ একটি ভুল কনফিগার করা পরিবেশ রয়েছে। তুমি কি সেগুলো ঠিক করতে যাবে?'" সে বলে। " এবং তারা যা করে তা হল তারা পরীক্ষা করে যে সেই কনফিগারেশনগুলি পরিবর্তন করা হয়েছে কিনা বা আমি এই পাবলিক বাকেটটি অ্যাক্সেস করতে পারি কিনা। এবং যত তাড়াতাড়ি আপনি এটি ব্যক্তিগত করবেন, আমরা জানি আপনি এটি ঠিক করেছেন এবং আপনি পয়েন্ট পাবেন। এর উপরে জিনিসগুলি করা আরও ভাল হবে, যেমন আপনি যদি আপস করেন, আপনার পরিবেশে একজন আক্রমণকারী আছে, আপনাকে তাদের খুঁজে বের করতে হবে এবং তাদের বের করে দিতে হবে। সুতরাং আপনার কাছে এখনই একটি ঘটনা চলছে, এবং যতক্ষণ আক্রমণকারী আছে, তাদের কাছে প্রমাণপত্র রয়েছে এবং যতক্ষণ তারা কাজ করবে, আপনি এটি সনাক্ত করতে সক্ষম হতে পারেন। এটি একটি অংশগ্রহণকারী হিসাবে আপনার কাজ. এবং আপনি তাদের অ্যাক্সেস প্রত্যাহার না করা পর্যন্ত, আপনি এটি সমাধান করবেন না এবং আপনি সর্বাধিক পয়েন্ট পাবেন না।"

এই ধরনের পরিস্থিতিগুলি করা কঠিন কিন্তু তারা ডিফেন্ডারদের জন্য আরও বাস্তবসম্মত এবং তাদের জন্য CTFগুলিকে আরও মূল্যবান করে তুলবে, তিনি বলেছেন, পরবর্তী সময়ের জন্য এটি তার রাডারে রয়েছে।

CTF-এর আরও তাজা এবং প্রাসঙ্গিক উপাদান প্রয়োজন।

Hwong CTF ডিজাইনারদের-এবং নিজেও-কে তাদের চ্যালেঞ্জগুলিতে আরও নতুন শোষণ এবং দুর্বলতার তথ্য অন্তর্ভুক্ত করার জন্য চ্যালেঞ্জ করে। এটি এমন একটি জিনিস যা তিনি DEF CON ক্লাউড ভিলেজে প্রথম যাওয়ার জন্য আরও বেশি সময় পেতে চেয়েছিলেন এবং যা তিনি আগামী বছরের জন্য উন্নত করার সংকল্প করেছেন৷

"এটি এমন একটি ক্ষেত্র যেখানে CTFs একটি শেখার এবং প্রশিক্ষণের হাতিয়ার হতে পারে," তিনি ব্যাখ্যা করেন। "আমরা প্রাসঙ্গিক ধারণাগুলি ব্যবহার করতে পছন্দ করব এবং বছরের শুরুতে বা এমনকি DEF CON-এ উপস্থাপিত গবেষকদের কাছ থেকে তাজা শোষণ করতে চাই।"

'পুনঃব্যবহারযোগ্যতা' উন্নত করতে CTF 'বিল্ডিং ব্লক'

অবশেষে, হোয়াং বলেছেন যে তিনি শিখেছেন সবচেয়ে বড় পাঠগুলির মধ্যে একটি হল যে সফ্টওয়্যার বিকাশকারীরা অ্যাপ্লিকেশনগুলির জন্য যেমন করে CTF-এর জন্য পুনঃব্যবহারযোগ্য উপাদানগুলি তৈরি করার জন্য শিল্পকে আরও উপায় খুঁজে বের করতে হবে। কোডে ছোট ব্যায়ামের একটি উন্মুক্ত গিটহাব ভান্ডার সংগঠিত করতে তার স্বপ্ন রয়েছে যা একটি CTF তৈরির বিল্ডিং ব্লক তৈরি করতে পারে।

“আপনাকে এখনও এটিকে কাস্টমাইজ করতে হবে এবং আপনার নিজস্ব টুইস্ট যোগ করতে হবে, কিন্তু ধারণাটি হল প্রথম 60% পথের বাইরে নিয়ে আসা যাক যাতে CTF সংগঠকরা সত্যিই অভিনব জিনিসগুলিতে ফোকাস করতে পারে৷ এইভাবে কেউ চাকাটি পুনরায় উদ্ভাবন করছে না, "তিনি বলেছেন। "এবং তারপরে অবশিষ্ট 40% নতুন কৌশল, দৃশ্যকল্প এবং গল্পরেখা যোগ করতে পারে।"

সময় স্ট্যাম্প:

থেকে আরো অন্ধকার পড়া