7 μαθήματα που αντλήθηκαν από το σχεδιασμό του DEF CON Cloud Village CTF

Οι εκδηλώσεις Capture the Flag (CTF) είναι διασκεδαστικές και εκπαιδευτικές, παρέχοντας στους επαγγελματίες της κυβερνοασφάλειας έναν τρόπο να αναπτύξουν τις δεξιότητές τους στο hacking ενώ μαθαίνουν νέες έννοιες σε ένα εποικοδομητικό και ασφαλές περιβάλλον. Τα καλά σχεδιασμένα CTF εκθέτουν άτομα και ομάδες σε επιχειρησιακές προκλήσεις, νέα μονοπάτια επίθεσης και δημιουργικά σενάρια που μπορούν αργότερα να εφαρμοστούν στη δουλειά τους τόσο ως επιθετικοί όσο και ως αμυντικοί επαγγελματίες ασφάλειας.

Αλλά δεν δημιουργούνται όλα τα CTF ίσα, και υπάρχουν πολλά περισσότερα που απαιτούνται για το σχεδιασμό ενός επιτυχημένου διαγωνισμού CTF από το να αντιμετωπίζετε απλώς τις προκλήσεις. Μαζί με τις προκλήσεις τεχνικού σχεδιασμού, υπάρχουν επίσης επιχειρησιακά ζητήματα που σχετίζονται με τη δημιουργία του περιβάλλοντος και την πραγματική λειτουργία του διαγωνισμού, ο δημιουργικός σχεδιασμός που απαιτείται για τη δημιουργία ενός συναρπαστικού παιχνιδιού και ο συνυπολογισμός λεπτομερειών που σχετίζονται με την παιχνιδοποίηση των προκλήσεων, όπως αντισταθμίσεις στον τρόπο βαθμολογίας δομή.

«Ως σχεδιαστής θέλω [το CTF] να είναι προκλητική διασκέδαση. Θέλω να ανταμείψω ανθρώπους που είναι έξυπνοι, που εργάζονται πραγματικά σε αυτό και είναι επίμονοι», λέει ο Jenko Hwong, κύριος ερευνητής στην ομάδα Threat Research Labs της Netskope και επικεφαλής της ομάδας για το περσινό DEF CON Cloud Village CTF. «Πρέπει επίσης να είναι πρακτικό για να το πραγματοποιήσουμε».

Διασκεδαστική και πρακτική ήταν η νοοτροπία που έφερε ο Hwong στο DEF CON CTF, μια τεράστια πολυήμερη υπόθεση που είχε πάνω από 400 άτομα και ομάδες που προσπάθησαν να αντιμετωπίσουν την πρόκληση και μια ομάδα 20 ατόμων που εργάζονταν υπό τον ίδιο για να διευθύνουν την εκδήλωση. Βετεράνος ερευνητής και έμπειρος συμμετέχων στο CTF, ο Hwong δεν είχε κάνει ποτέ CTF πριν από αυτό το γεγονός. Μία από τις μεγαλύτερες ελπίδες του για την πρώτη του προσπάθεια στη δουλειά ήταν να βελτιώσει τη συνάφεια και τον ρεαλισμό των προκλήσεων της διοργάνωσης, κάτι που μερικές φορές μπορεί να είναι ένα bugaboo στα CTFs σήμερα.

«Μερικές φορές σε αυτά τα CTF αντιμετωπίζεις μια πολύ δύσκολη πρόκληση, αλλά είναι σαν να τι νόημα έχει αυτό; Θα είναι ένα πρόβλημα αποκρυπτογράφησης ή κρυπτογράφησης, όπου το συμβάν πηγαίνει, "Να κάτι, καλή τύχη", και στη συνέχεια θα πρέπει να περάσετε μέσα από όλα αυτά τα στεφάνια που μπορεί να μην είναι εντελώς χωρισμένα από την πραγματικότητα, αλλά δεν ταιριάζουν πραγματικά σε ένα μεγαλύτερο ιστορία», λέει. «Λοιπόν, όταν έλαβα την κλήση, σκέφτηκα «ας πηδήξουμε, ας βρούμε μια καλή ιστορία και μια καλή σειρά προκλήσεων που θα είναι διασκεδαστικές, αλλά και που έχουν νόημα και ίσως σχετίζονται με τον πραγματικό κόσμο των δοκιμών διείσδυσης στην έρευνα. αμυντικά μέτρα, τι συμβαίνει στον πραγματικό κόσμο».

Καθώς, όμως, μπήκε στο έργο, ένα πράγμα που βρήκε ιδιαίτερα προκλητικό είναι το πόσο λίγες πληροφορίες υπάρχουν εκεί έξω για την εκτέλεση CTF. Οι περισσότερες εγγραφές προέρχονται από συμμετέχοντες που βαθμολογούν μια εκδήλωση και εξηγούν πώς έλυσαν τις προκλήσεις, αλλά σπάνια παρέχονται πληροφορίες σχετικά με τις βέλτιστες πρακτικές στη διεξαγωγή μιας εκδήλωσης. Ως αποτέλεσμα, είπε ότι αυτός και η ομάδα του έπρεπε να κάνουν έναν τόνο δουλειάς, δημιουργώντας προκλήσεις σχεδόν από την αρχή.

"Η κοινότητα μοιράζεται γενικά έναν τόνο, οπότε γιατί δεν μοιραζόμαστε προκλήσεις CTF;" αυτος λεει. «Πιστεύω ότι μπορούμε να πάμε καλύτερα».

Σε αυτό το πνεύμα της κοινής χρήσης της κοινότητας ασφάλειας, μοιράζεται μερικά σημαντικά μαθήματα που πήρε η ομάδα του στην πορεία, έτσι ώστε οι άλλοι υπεύθυνοι για το σχεδιασμό CTF να μπορούν να μάθουν και να κατανοήσουν από τη διαδικασία. Στόχος του είναι να διοργανώσει ξανά την εκδήλωση και να βασιστεί σε όσα έμαθαν πέρυσι. Ελπίζει επίσης ότι άλλοι θα μοιραστούν τις βέλτιστες πρακτικές τους, ακόμη και τεχνικές λεπτομέρειες, έτσι ώστε ολόκληρη η κοινότητα ασφαλείας να μπορεί να βελτιώσει την ποιότητα των CTF που προσφέρονται.

Η αφήγηση είναι το κλειδί

Ο Hwong λέει ότι η ομάδα του DEF CON Cloud Village ήταν πολύ πρόθυμη να δημιουργήσει μια ιστορία που θα ήταν συναρπαστική και διασκεδαστική. Λέει ότι σκέφτηκε την ιστορία ως ένα σενάριο ταινίας με ενσωματωμένα ρεαλιστικά σενάρια στον κυβερνοχώρο. Για την εκδήλωση επέλεξαν ένα θέμα "Gnomes" που ήταν διασκεδαστικό και αστείο. αλλά δεν ήταν μόνο η γραφή της ιστορίας που ήταν σημαντικό αλλά και ο τρόπος με τον οποίο σχεδιάζονταν οι τεχνικές προκλήσεις μέσα στην ιστορία.

«Η ιστορία των καλικάντζαρων και των καλικάντζαρων περιελάμβανε τα πάντα, αλλά το σημαντικό ήταν να εμφανιστούν λογικά σενάρια που μπορεί να συναντήσετε ως επαγγελματίας ασφάλειας, συμπεριλαμβανομένων των μονοπατιών επίθεσης και των λογικών άμυνων που θα συναντούσατε», λέει. «Όσο περισσότερα μπορούμε να το κάνουμε αυτό ως σχεδιαστές CTF, τόσο καλύτερο είναι για τη μάθηση και τόσο πιο διασκεδαστικό το CTF».

Ακολουθήστε μια προσέγγιση ανάπτυξης λογισμικού

Οι δημιουργοί CTF θα πρέπει οπωσδήποτε να ακολουθήσουν μια προσέγγιση ανάπτυξης λογισμικού για το σχεδιασμό των τεχνικών στοιχείων της πρόκλησης τους, συνιστά η Hwong.

«Πρέπει να σκεφτείτε το σχεδιασμό, την υλοποίηση και τη δοκιμή», λέει, εξηγώντας ότι αυτός και η ομάδα του έμαθαν με τον δύσκολο τρόπο πόσο δύσκολο μπορεί να είναι να δοκιμάζονται προκλήσεις σε ένα περίπλοκο περιβάλλον CTF που μπορεί να χειριστεί οι συμμετέχοντες με πολλούς τρόπους .

«Αυτό που συνέβη—και θα αναλάβω το φταίξιμο ως κύριος δημιουργός που δεν καθοδήγησα τις δοκιμές—είναι ότι χάσαμε το αρνητικό δελτίο δοκιμής, καθώς και τους ελέγχους βιωσιμότητας», λέει. «Μέρος του είναι ότι δεν είχαμε αρκετό χρόνο για δοκιμή, επομένως συνέχισα να κλειδώνω ορισμένα περιβάλλοντα καθώς η πρόκληση ήταν σε εξέλιξη, ώστε ορισμένες από τις προκλήσεις να μην ήταν πολύ εύκολες και να μην υπήρχαν κενά. Νομίζω ότι σε ένα σημείο για μια ή δύο ώρες κατέληξα να κάνω κάτι άλυτο σε ένα συγκεκριμένο βήμα».

Έτσι, ένα από τα μεγάλα μαθήματα που έμαθε είναι ότι οι σχεδιαστές CTF πρέπει να φέρουν την αυστηρότητα στην ανάπτυξη λογισμικού στο τραπέζι που να πηγαίνει σε όλη τη διαδρομή μέσω δοκιμών και εργασιών βιωσιμότητας.

Λειτουργική αυστηρότητα…και λίγη καφεΐνη

Η σχολαστικότητα στην ανάπτυξη λογισμικού δεν είναι η μόνη τεχνική ικανότητα που πρέπει να έρθει στο τραπέζι. Το πλήρωμα που εκτελεί ένα CTF χρειάζεται επίσης κάποια σοβαρή επιχειρησιακή αυστηρότητα.

«Είχαμε μερικούς υπέροχους ανθρώπους που έτρεχαν τους διακομιστές και τους λογαριασμούς AWS και τους λογαριασμούς Google και Azure και φρόντιζαν να συνεχίσουν να τρέχουν και ότι παρακολουθούσαμε τα πράγματα», λέει. «Όλα αυτά τα πράγματα πρέπει να αντιμετωπιστούν. Και αν το αγνοήσετε, μπορεί απλώς να σημαίνει ότι τα πράγματα αποτυγχάνουν, σπάνε ή έχετε προβλήματα απόδοσης».

Ένα από τα λειτουργικά προβλήματα που αντιμετώπισαν ήταν ότι αντιμετώπισαν κάποια σύγκρουση μεταξύ των συμμετεχόντων και των προκλήσεων, καθώς η ομάδα λειτουργούσε με έναν περιορισμό στο ότι δεν μπορούσε να δημιουργήσει ένα αυτόνομο περιβάλλον για κάθε συμμετέχοντα σε AWS, Google και Azure.

«Επειδή ήταν στο ίδιο περιβάλλον, τους βοήθησε σε άλλες προκλήσεις και αν έχετε μια πρόκληση που απαιτεί αλλαγή περιβάλλοντος, τότε έχετε ανθρώπους να πατούν ο ένας στα δάχτυλα του άλλου, να αλλάζουν ένα κοινό αντικείμενο», είπε, εξηγώντας ότι αυτός και ο Η ομάδα έπρεπε να επαναφέρει τις πολιτικές καθώς το CTF προχωρούσε προς τα εμπρός, ώστε οι συμμετέχοντες να μην συναντούν ο ένας τον άλλον.

Αυτός και η ομάδα του προσπαθούν να μάθουν από την εμπειρία για να βρουν μια πρακτική μέθοδο - από την άποψη του χρόνου, της προσπάθειας και των εξόδων - για να δώσουν στους συμμετέχοντες ένα πραγματικά απομονωμένο περιβάλλον χωρίς να καθιστούν ολόκληρο το CTF λιγότερο βιώσιμο επειδή τα πράγματα σπάνε ή χρειάζονται για πάντα για να εκτελεστούν.

Τέλος, ο Hwong λέει ότι στο επιχειρησιακό μέτωπο, οι δρομείς του show CTF πρέπει επίσης να προσέχουν τη συνεχή επικοινωνία που θα πρέπει να διευκολύνουν μεταξύ της ομάδας τους και των συμμετεχόντων.

«Ήμουν στο Discord μετά τα μεσάνυχτα και λέω: «Έχω μια ομιλία το πρωί, θα πάτε για ύπνο;» αστειεύτηκε ο Hwong, ο οποίος εξήγησε ότι οι συμμετέχοντες θα έχουν ερωτήσεις και θα να ζητάτε από τους διοργανωτές συμβουλές και δείκτες όλες τις ώρες.

Ο σχεδιασμός διαφορετικών επιπέδων δυσκολίας είναι δύσκολος

Η σωστή αντιμετώπιση των επιπέδων δυσκολίας των προκλήσεων και η δημιουργία ενός δίκαιου συστήματος βαθμολόγησης μπορεί να είναι πιο δύσκολο από ό,τι μπορεί να σκεφτεί αρχικά ένας αρχάριος διοργανωτής CTF, προειδοποίησε ο Hwong. Εξήγησε ότι μερικά από τα επίπεδα που σχεδίασε η ομάδα του ως ευκολότερα ήταν πιο δύσκολο για τους συμμετέχοντες να ολοκληρώσουν από ό,τι περίμεναν, ενώ μερικά από τα πιο απαιτητικά επίπεδα ολοκληρώθηκαν με επιτυχία από περισσότερους συμμετέχοντες από τον αναμενόμενο.

Χέρι-χέρι με την πρόκληση ισοπέδωσης δυσκολίας είναι να βρείτε ένα σύστημα βαθμολόγησης που έχει νόημα. Μετά την εμπειρία του στο DEF CON, ο Hwong είναι υποστηρικτής του να κάνει κάποιου είδους σύστημα βαθμολόγησης Bell Curve. Αλλά λέει ότι το πρόβλημα δεν είναι τόσο απλό όσο η καθιέρωση μιας καμπύλης. Υπάρχει επίσης το θέμα της ομαλοποίησης και της εξισορρόπησης του πλεονεκτήματος που έχουν οι μεγάλες ομάδες CTF στη συγκέντρωση σημείων πρόκλησης - ένα ζήτημα για το οποίο ένας από τους συμμετέχοντες του έδωσε σχόλια μετά το συμβάν.

«Επομένως, αν οι προκλήσεις σας μπορούν να μοιραστούν και να γίνουν παράλληλα με πολλούς παίκτες, αν έχω 10 άτομα θα είμαι 10 φορές είναι γρήγορο. Και έτσι υπάρχει ένα πλεονέκτημα», λέει. «Το θέμα του ήταν ένα είδος δυναμικού σκοραρίσματος που τα ισοπεδώνει λίγο. Εάν υπάρχουν πράγματα στα οποία είναι πραγματικά, πολύ καλός, μπορεί να είναι ο μόνος που θα το λύσει και θα πάρει τους μέγιστους βαθμούς. Η καμπύλη του κουδουνιού θα τον ανταμείψει έναντι της κλίμακας δεν έχει απαραίτητα σημασία αν είναι κάτι στην τιμονιέρα της τεχνογνωσίας του σε σχέση με 10 έναντι ενός. Υπάρχουν κάποια συζητήσιμα πράγματα εδώ που πρέπει να δουλέψουμε».

Μια πιθανότητα είναι να γίνουν οι προκλήσεις διαδοχικές, αλλά το μειονέκτημα αυτού είναι ότι θα μπορούσε να κάνει το CTF πολύ άκαμπτο και γραμμικό και θα μπορούσε να δημιουργήσει ένα σημείο συμφόρησης ή εξαρτήσεις που θα μπορούσαν να ανατινάξουν μία ή περισσότερες προκλήσεις. Ο Hwong λέει ότι θα ήθελε επίσης να δει περισσότερα CTF να επιβραβεύουν τους συμμετέχοντες σε τεχνικές όπως το πόσο κρυφά λειτουργούν σε ένα περιβάλλον ή σημεία σύνδεσης εάν αφήσουν πάρα πολλά ίχνη και δακτυλικά αποτυπώματα, και αυτός είναι ένας τομέας που θα ήθελε να εξερευνήσει καθώς σχεδιάζει μελλοντικά γεγονότα .

Ανεξάρτητα, όμως, το δυναμικό σκοράρισμα είναι κάτι που θα μπορούσε να μετριάσει μερικά από τα ζητήματα ισοπέδωσης και αυτός και η ομάδα του το επιδιώκουν για την επόμενη χρονιά.

Οι Μπλε ομάδες χρειάζονται περισσότερες διασκεδαστικές προκλήσεις CTF

Αφού δούλεψε το πρώτο του CTF, ο Hwong πιστεύει επίσης όλο και περισσότερο ότι αυτά τα γεγονότα δεν αρκούν για να προκαλέσουν και να προσελκύσουν πραγματικά τους συμμετέχοντες της μπλε ομάδας.

«Οι ασκήσεις της μπλε ομάδας τείνουν να πάνε ως εξής: «Έχουμε ένα εσφαλμένο περιβάλλον με πολλά τρωτά σημεία. Μπορείτε να πάτε να τα φτιάξετε;» λέει. Και αυτό που κάνουν είναι απλώς δοκιμάζουν αν αυτές οι διαμορφώσεις έχουν αλλάξει ή όχι ή αν μπορώ να έχω πρόσβαση σε αυτόν τον δημόσιο κάδο. Και μόλις το κάνετε ιδιωτικό, ξέρουμε ότι το επιλύσατε και λαμβάνετε πόντους. Θα ήταν πολύ καλύτερο να κάνετε πράγματα πάνω από αυτό, όπως τι εάν είστε σε κίνδυνο, υπάρχει ένας εισβολέας στο περιβάλλον σας, πρέπει να τον βρείτε και να τον διώξετε. Επομένως, έχετε ένα περιστατικό που συμβαίνει αυτήν τη στιγμή, και εφόσον είναι ο εισβολέας, έχει διαπιστευτήρια και όσο θα κάνει πράγματα, ίσως μπορείτε να το εντοπίσετε. Αυτή είναι η δουλειά σου ως συμμετέχων. Και μέχρι να τους ανακαλέσεις την πρόσβασή τους, δεν το λύνεις και δεν παίρνεις μέγιστους βαθμούς».

Αυτού του είδους τα σενάρια είναι πιο δύσκολο να γίνουν, αλλά είναι πιο ρεαλιστικά για τους αμυντικούς και θα κάνουν τα CTF πιο πολύτιμα γι 'αυτούς, λέει, εξηγώντας ότι είναι στο ραντάρ του για την επόμενη φορά.

Τα CTF χρειάζονται περισσότερα φρέσκα και σχετικά εξαρτήματα.

Ο Hwong προκαλεί επίσης τους σχεδιαστές CTF —και τον εαυτό του— να ενσωματώσουν περισσότερες φρέσκες πληροφορίες εκμετάλλευσης και ευπάθειας στις προκλήσεις τους. Αυτό ήταν ένα από τα πράγματα που ευχόταν να είχε περισσότερο χρόνο να βουτήξει στην πρώτη του επίσκεψη στο DEF CON Cloud Village και τα οποία αποφάσισε να βελτιώσει την επόμενη χρονιά.

"Αυτός είναι ένας από τους τομείς όπου τα CTF μπορούν να είναι περισσότερο ένα εργαλείο μάθησης και εκπαίδευσης", εξηγεί. «Θα θέλαμε να χρησιμοποιήσουμε σχετικές ιδέες και εκμεταλλεύσεις από ερευνητές που έλαβαν χώρα νωρίτερα μέσα στο έτος ή ακόμη και παρουσιάστηκαν στο DEF CON».

«Δομικά στοιχεία» CTF για τη βελτίωση της «επαναχρησιμοποίησης»

Τέλος, ένα από τα μεγαλύτερα μαθήματα που ο Hwong λέει ότι έμαθε είναι ότι η βιομηχανία πρέπει να βρει περισσότερους τρόπους για τη δημιουργία επαναχρησιμοποιήσιμων στοιχείων για CTF, όπως ακριβώς κάνουν οι προγραμματιστές λογισμικού για εφαρμογές. Ονειρεύεται να βοηθήσει να οργανώσει ένα ανοιχτό αποθετήριο GitHub με μικρές ασκήσεις σε κώδικα που μπορούν να αποτελέσουν τα δομικά στοιχεία για τη δημιουργία ενός CTF.

«Θα πρέπει ακόμα να το προσαρμόσετε και να προσθέσετε τη δική σας ανατροπή, αλλά η ιδέα είναι ας αφαιρέσουμε το πρώτο 60% έτσι ώστε οι διοργανωτές CTF να μπορούν να επικεντρωθούν σε πραγματικά νέα πράγματα. Με αυτόν τον τρόπο κανείς δεν ανακαλύπτει ξανά τον τροχό», λέει. «Και τότε το υπόλοιπο 40% μπορεί να προσθέτει νέες τεχνικές, σενάρια και ιστορίες».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cloud-security/7-lessons-learned-from-designing-a-defcon-ctf