7 Erkenntnisse aus der Gestaltung von DEF CON Cloud Village CTF

7 Erkenntnisse aus der Gestaltung von DEF CON Cloud Village CTF

Zeitstempel: 10. Januar 2024, 8:00 Uhr
7 Erkenntnisse aus dem Entwurf von DEF CON Cloud Village CTF PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.

Capture the Flag (CTF)-Veranstaltungen sind sowohl unterhaltsam als auch lehrreich und bieten Cybersicherheitsexperten die Möglichkeit, ihre Hacking-Fähigkeiten zu verbessern und gleichzeitig neue Konzepte in einer konstruktiven und sicheren Umgebung zu erlernen. Gut gestaltete CTFs setzen Einzelpersonen und Teams operativen Herausforderungen, neuartigen Angriffspfaden und kreativen Szenarien aus, die später bei ihrer Arbeit sowohl als offensive als auch defensive Sicherheitsexperten angewendet werden können.

Aber nicht alle CTFs sind gleich, und bei der Gestaltung eines erfolgreichen CTF-Wettbewerbs gehört viel mehr dazu, als sich nur die Herausforderungen auszudenken. Neben den technischen Designherausforderungen gibt es auch betriebliche Überlegungen im Zusammenhang mit der Einrichtung der Umgebung und der tatsächlichen Durchführung des Wettbewerbs, der kreativen Planung, die für die Einrichtung eines ansprechenden Spiels erforderlich ist, und der Berücksichtigung von Details im Zusammenhang mit der Gamifizierung der Herausforderungen, wie z. B. Kompromisse bei der Bewertung Struktur aufgebaut ist.

„Als Designer möchte ich, dass es [das CTF] herausfordernd und unterhaltsam ist. Ich möchte Leute belohnen, die klug sind, die wirklich daran arbeiten und die beharrlich sind“, sagt Jenko Hwong, Hauptforscher im Threat Research Labs-Team von Netskope und Teamleiter des letztjährigen DEF CON Cloud Village CTF. „Außerdem muss es für uns praktisch umsetzbar sein.“

Unterhaltsam und praktisch war die Denkweise, die Hwong in die DEF CON CTF einbrachte, eine riesige mehrtägige Veranstaltung, bei der sich über 400 Einzelpersonen und Teams an der Herausforderung versuchten und ein 20-köpfiges Team unter seiner Leitung die Veranstaltung leitete. Als erfahrener Forscher und erfahrener CTF-Teilnehmer hatte Hwong vor dieser Veranstaltung noch nie ein CTF durchgeführt. Eine seiner größten Hoffnungen bei seinem ersten Versuch in diesem Job bestand darin, die Relevanz und den Realismus der Herausforderungen der Veranstaltung zu verbessern, was bei CTFs heutzutage manchmal ein Schreckgespenst sein kann.

„Manchmal wird man bei diesen CTFs vor eine wirklich große Herausforderung gestellt, aber es stellt sich die Frage: Was soll das alles? Es handelt sich um ein Entschlüsselungs- oder Verschlüsselungsproblem, bei dem das Ereignis lautet: „Hier ist etwas, viel Glück“, und dann muss man sich durch all diese Hürden springen, die vielleicht nicht völlig von der Realität getrennt sind, aber nicht wirklich in ein größeres Ganzes passen Handlung“, sagt er. „Als ich den Anruf erhielt, dachte ich: ‚Lasst uns einsteigen, uns eine gute Geschichte und eine Reihe guter Herausforderungen ausdenken, die Spaß machen, aber auch Sinn ergeben und vielleicht einen Bezug zur realen Welt der Forschungspenetrationstests haben.‘ Abwehrmaßnahmen, was in der realen Welt passiert.‘“

Als er sich jedoch mit dem Projekt beschäftigte, stellte er vor allem die Tatsache fest, dass es nur wenige Informationen über die Durchführung von CTFs gibt. Die meisten Beiträge stammen von Teilnehmern, die eine Veranstaltung bewerten und erklären, wie sie Herausforderungen gelöst haben. Informationen zu Best Practices bei der Durchführung einer Veranstaltung werden jedoch selten angeboten. Infolgedessen sagte er, dass er und sein Team eine Menge Arbeit leisten müssten, um Herausforderungen nahezu von Grund auf neu zu schaffen.

„Die Community teilt im Allgemeinen eine Menge, also warum teilen wir nicht CTF-Herausforderungen?“ er sagt. „Ich denke, wir können es besser machen.“

Im Geiste des Austauschs mit der Sicherheitsgemeinschaft teilt er einige wichtige Lektionen mit, die sein Team dabei gelernt hat, damit andere, die für das CTF-Design verantwortlich sind, aus dem Prozess lernen und es verstehen können. Sein Ziel ist es, die Veranstaltung erneut durchzuführen und auf dem aufzubauen, was sie letztes Jahr gelernt haben. Er hofft auch, dass andere ihre Best Practices und sogar technische Details teilen, damit die gesamte Sicherheitsgemeinschaft die Qualität der angebotenen CTFs verbessern kann.

Geschichtenerzählen ist der Schlüssel

Hwong sagt, dass sein DEF CON Cloud Village-Team sehr daran interessiert war, eine fesselnde und unterhaltsame Handlung zu entwickeln. Er sagt, er habe sich die Geschichte als ein Drehbuch mit realistischen Cyber-Szenarien vorgestellt. Für die Veranstaltung wählten sie das Thema „Gnome“, das lustig und unterhaltsam war. Aber es war nicht nur das Schreiben der Handlung wichtig, sondern auch die Art und Weise, wie die technischen Herausforderungen innerhalb der Geschichte geplant wurden.

„Die Handlung der Kobolde und Zwerge drehte sich um alles, aber das Wichtigste war, sich vernünftige Szenarien auszudenken, denen man als Sicherheitsexperte begegnen könnte, einschließlich Angriffspfaden und vernünftiger Verteidigungsmaßnahmen, denen man begegnen würde“, sagt er. „Je mehr wir als CTF-Designer tun können, desto besser ist es für das Lernen und desto mehr Spaß macht das CTF.“

Wählen Sie einen Softwareentwicklungsansatz

CTF-Ersteller sollten bei der Gestaltung der technischen Elemente ihrer Herausforderung unbedingt einen Softwareentwicklungsansatz verfolgen, empfiehlt Hwong.

„Man muss an Design, Implementierung und Tests denken“, sagt er und erklärt, dass er und sein Team auf die harte Tour gelernt haben, wie schwierig es sein kann, Herausforderungen in einer komplexen CTF-Umgebung zu testen, die von den Teilnehmern auf vielfältige Weise manipuliert werden kann .

„Was passiert ist – und ich als Hauptersteller nehme die Schuld dafür auf mich, dass wir die Tests nicht geleitet haben – ist, dass wir sowohl den negativen Test als auch die Durchführbarkeitsprüfungen verpasst haben“, sagt er. „Ein Teil davon lag daran, dass wir nicht genug Zeit zum Testen hatten, also habe ich einige Umgebungen weiterhin gesperrt, während die Herausforderung lief, damit einige der Herausforderungen nicht zu einfach waren und es keine Lücken gab. Ich glaube, irgendwann habe ich ein oder zwei Stunden lang bei einem bestimmten Schritt etwas Unlösbares geschaffen.“

Eine der wichtigsten Lektionen, die er gelernt hat, ist, dass CTF-Designer eine strenge Softwareentwicklung an den Tag legen müssen, die sich durch die gesamte Test- und Machbarkeitsarbeit zieht.

Operative Strenge … und ein bisschen Koffein

Akribie bei der Softwareentwicklung ist nicht die einzige technische Fähigkeit, die erforderlich ist. Auch die Besatzung, die ein CTF betreibt, benötigt eine gewisse operative Präzision.

„Wir hatten einige großartige Leute, die die Server und die AWS-Konten sowie die Google- und Azure-Konten verwalteten und dafür sorgten, dass alles lief und wir die Dinge überwachten“, sagt er. „All diese Dinge müssen gehandhabt werden. Und wenn Sie es ignorieren, könnte es einfach bedeuten, dass Dinge ausfallen, kaputt gehen oder Sie Leistungsprobleme haben.“

Eines der operativen Probleme, auf die sie stießen, bestand darin, dass es zu Kollisionen zwischen Teilnehmern und Herausforderungen kam, da das Team mit der Einschränkung arbeitete, dass es nicht für jeden Teilnehmer in AWS, Google und Azure eine eigenständige Umgebung erstellen konnte.

„Weil es in der gleichen Umgebung war, hat es ihnen bei anderen Herausforderungen geholfen, und wenn es eine Herausforderung gibt, die eine Veränderung der Umgebung erfordert, dann gibt es Leute, die sich gegenseitig auf die Füße treten und ein gemeinsames Objekt verändern“, erklärte er, dass er und seine Das Team musste die Richtlinien zurücksetzen, während die CTF vorangetrieben wurde, damit die Teilnehmer nicht aufeinander trafen.

Er und sein Team versuchen, aus der Erfahrung zu lernen und eine praktische Methode zu finden – aus Sicht von Zeit, Aufwand und Kosten –, um den Teilnehmern eine wirklich isolierte Umgebung zu bieten, ohne dass die gesamte CTF weniger rentabel wird, weil Dinge kaputt gehen oder die Ausführung ewig dauert.

Abschließend sagt Hwong, dass CTF-Showrunner im operativen Bereich auch auf die ständige Kommunikation achten müssen, die sie zwischen ihrem Team und den Teilnehmern ermöglichen müssen.

„Ich war nach Mitternacht auf Discord und dachte: ‚Ich muss morgen früh einen Vortrag halten. Würdest du schlafen gehen?‘“, scherzte Hwong, der erklärte, dass die Teilnehmer Fragen haben werden und das auch tun werden Rufen Sie die Organisatoren rund um die Uhr an, um Tipps und Hinweise zu erhalten.

Es ist schwierig, verschiedene Schwierigkeitsgrade zu entwerfen

Hwong warnte, dass es schwieriger sein könnte, die Schwierigkeitsgrade der Herausforderungen richtig einzustellen und ein faires Punktesystem zu erstellen, als ein neuer CTF-Organisator zunächst denkt. Er erklärte, dass einige der Levels, die sein Team als einfacher konzipiert hatte, für die Teilnehmer schwieriger zu bewältigen waren als erwartet, während einige der anspruchsvolleren Levels von mehr Teilnehmern erfolgreich abgeschlossen wurden als erwartet.

Hand in Hand mit der Schwierigkeitsgrad-Herausforderung muss ein sinnvolles Punktesystem gefunden werden. Nach seiner Erfahrung bei der DEF CON ist Hwong ein Befürworter einer Art Bell-Curve-Scoring-System. Aber er sagt, das Problem sei nicht so einfach wie die Einführung einer Kurve. Außerdem geht es darum, den Vorteil, den große CTF-Teams beim Sammeln von Herausforderungspunkten haben, zu normalisieren und auszugleichen – ein Thema, zu dem ihm einer der Teilnehmer nach der Veranstaltung Feedback gab.

„Wenn Ihre Herausforderungen also aufgeteilt und parallel von mehreren Spielern bewältigt werden können, ist es schnell, wenn ich 10 Leute habe. Das ist also ein Vorteil“, sagt er. „Sein Punkt war, dass eine Art dynamisches Scoring das Ganze ein wenig ausgleicht. Wenn es Dinge gibt, in denen er wirklich, wirklich gut ist, ist er vielleicht der Einzige, der sie löst, und erhält die Höchstpunktzahl. Die Glockenkurve wird ihn im Vergleich zur Skalierung belohnen. Dabei spielt es keine Rolle, ob es sich dabei um etwas handelt, das in seinem Kompetenzschatz in Bezug auf 10 gegen eins liegt. Hier gibt es einige fragwürdige Dinge, die wir klären müssen.“

Eine Möglichkeit besteht darin, Herausforderungen sequentiell zu gestalten. Der Nachteil dabei ist jedoch, dass dadurch die CTF zu starr und linear wird und ein Engpass oder Abhängigkeiten entstehen, die eine oder mehrere Herausforderungen sprengen könnten. Hwong sagt, er würde es auch gerne sehen, wenn mehr CTFs die Teilnehmer für Techniken belohnen würden, etwa dafür, wie heimlich sie in einer Umgebung agieren oder Punkte andocken, wenn sie zu viele Fußabdrücke und Fingerabdrücke hinterlassen, und das ist ein Bereich, den er bei der Gestaltung zukünftiger Veranstaltungen gerne erkunden würde .

Ungeachtet dessen ist die dynamische Wertung etwas, das einige der Nivellierungsprobleme lindern könnte, und er und sein Team streben dies für das kommende Jahr an.

Blaue Teams brauchen mehr unterhaltsame CTF-Herausforderungen

Nachdem er sein erstes CTF durchgearbeitet hat, ist Hwong auch zunehmend davon überzeugt, dass diese Veranstaltungen nicht genug dazu beitragen, die Teilnehmer des blauen Teams herauszufordern und wirklich einzubinden.

„Blue-Team-Übungen laufen in der Regel so ab: ‚Wir haben eine falsch konfigurierte Umgebung mit vielen Schwachstellen.‘ Kannst du sie reparieren?‘“, sagt er. „Und sie testen einfach, ob diese Konfigurationen geändert werden oder nicht oder ob ich auf diesen öffentlichen Bucket zugreifen kann. Und sobald Sie es privat machen, wissen wir, dass Sie es behoben haben und Sie erhalten Punkte. Es wäre viel besser, darüber hinaus Dinge zu tun, zum Beispiel: Wenn Sie kompromittiert sind und sich ein Angreifer in Ihrer Umgebung befindet, müssen Sie ihn finden und rausschmeißen. Sie haben also gerade einen Vorfall im Gange, und solange der Angreifer über Anmeldeinformationen verfügt und bereit ist, Dinge zu tun, können Sie ihn möglicherweise erkennen. Das ist Ihre Aufgabe als Teilnehmer. Und solange Sie ihren Zugriff nicht widerrufen, lösen Sie das Problem nicht und erhalten nicht die maximale Punktzahl.“

Solche Szenarien seien schwieriger umzusetzen, aber für Verteidiger realistischer und würden CTFs für sie wertvoller machen, sagt er und erklärt, dass er das für das nächste Mal auf dem Schirm habe.

CTFs benötigen mehr frische und relevante Komponenten.

Hwong fordert CTF-Designer – und sich selbst – auch dazu auf, mehr aktuelle Exploit- und Schwachstelleninformationen in ihre Herausforderungen einzubeziehen. Dies war eines der Dinge, von denen er wünschte, dass er bei seinem ersten Versuch im DEF CON Cloud Village mehr Zeit hätte, sich darauf einzulassen, und dass er sich vorgenommen hat, das nächste Jahr zu verbessern.

„Dies ist einer der Bereiche, in denen CTFs eher als Lern- und Trainingsinstrument dienen können“, erklärt er. „Wir würden gerne relevante Ideen und Erkenntnisse nutzen, die von Forschern zu Beginn des Jahres stammen oder sogar auf der DEF CON vorgestellt wurden.“

CTF-„Bausteine“ zur Verbesserung der „Wiederverwendbarkeit“

Eine der größten Lektionen, die Hwong schließlich gelernt hat, ist, dass die Branche mehr Möglichkeiten finden muss, wiederverwendbare Komponenten für CTF zu erstellen, so wie es Softwareentwickler für Anwendungen tun. Er träumt davon, dabei zu helfen, ein offenes GitHub-Repository mit kleinen Codeübungen zu organisieren, die die Bausteine ​​für den Aufbau eines CTF bilden können.

„Sie müssen es immer noch anpassen und Ihre eigene Note hinzufügen, aber die Idee ist, dass wir die ersten 60 % aus dem Weg räumen, damit sich die CTF-Organisatoren auf wirklich neue Dinge konzentrieren können.“ Auf diese Weise erfindet niemand das Rad neu“, sagt er. „Und dann können die restlichen 40 % neue Techniken, Szenarien und Handlungsstränge hinzufügen.“

Zeitstempel:

Mehr von Dunkle Lektüre