7 õppetundi DEF CON Cloud Village CTF projekteerimisest

7 õppetundi DEF CON Cloud Village CTF projekteerimisest

Ajatempel: 10. jaanuar 2024 8:00
7 õppetundi DEF CON Cloud Village CTF PlatoBlockchain andmeanalüüsi kujundamisel. Vertikaalne otsing. Ai.

Capture the Flag (CTF) üritused on nii lõbusad kui ka harivad, pakkudes küberturvalisuse spetsialistidele võimalust oma häkkimisoskusi arendada, õppides samal ajal uusi kontseptsioone konstruktiivses ja turvalises keskkonnas. Hästi läbimõeldud CTF-id seavad üksikisikud ja meeskonnad operatiivsetele väljakutsetele, uudsetele rünnakuteedele ja loomingulistele stsenaariumidele, mida saab hiljem oma töös rakendada nii ründava kui ka kaitsva turvaprofessionaalina.

Kuid mitte kõik CTF-id pole võrdsed ja eduka CTF-i võistluse kavandamisel on vaja palju muud kui lihtsalt väljakutsete leidmine. Lisaks tehnilise disaini väljakutsetele on seotud ka keskkonna loomise ja võistluse tegeliku läbiviimisega seotud tegevuskaalutlused, kaasahaarava mängu loomiseks vajalik loominguline planeerimine ning väljakutsete mängulisusega seotud üksikasjade arvessevõtmine, näiteks punktide arvutamise kompromissid. struktuur on üles seatud.

"Disainerina tahan, et see [CTF] pakuks väljakutseid. Ma tahan premeerida inimesi, kes on nutikad, kes selle nimel tõesti töötavad ja kes on järjekindlad, ”ütleb Netskope'i ohuuuringute laborirühma juhtivteadur ja eelmise aasta DEF CON Cloud Village CTF-i meeskonnajuht Jenko Hwong. "Samuti peab see olema meie jaoks praktiline."

Lõbus ja praktiline oli mõtteviis, mille Hwong tõi DEF CON CTF-ile, mis oli tohutu mitmepäevane afäär, mille käigus proovis väljakutses kätt üle 400 inimese ja meeskonna ning tema alluvuses töötas 20-liikmeline meeskond, et üritust läbi viia. Veteranteadlane ja kogenud CTF-i osaleja Hwong polnud enne seda sündmust kunagi CTF-i juhtinud. Üks tema suurimaid lootusi esimesel töökohal proovimisel oli tõsta üritusel esinevate väljakutsete asjakohasust ja realistlikkust, mis võib tänapäeval CTF-ides mõnikord osutuda segaseks.

„Mõnikord tuleb nendes CTF-ides väga raske väljakutse, aga mis selle mõte on? See on dekrüpteerimise või krüpteerimise probleem, kus sündmus kõlab "Siin on midagi, palju õnne" ja siis peate hüppama läbi kõigist nendest rõngastest, mis ei pruugi olla tegelikkusest täielikult lahutatud, kuid ei sobi tegelikult suuremasse süžee," ütleb ta. "Niisiis, kui mulle helistati, oli mul mõte: "Hüppame sisse, mõtleme välja hea loo ja hea väljakutsete komplekti, mis on lõbusad, kuid samas mõistlikud ja võivad olla seotud teadusuuringute läbitungimise testimise tegeliku maailmaga." kaitsemeetmed, mis toimub reaalses maailmas.

Projekti süvenedes pidas ta aga eriti keeruliseks seda, kui vähe teavet CTF-ide käitamise kohta on. Enamik kirjutisi on osalejatelt, kes hindavad sündmust ja selgitavad, kuidas nad väljakutseid lahendasid, kuid harva pakutakse teavet ürituse läbiviimise parimate tavade kohta. Selle tulemusena ütles ta, et tema ja ta meeskond pidid tegema palju tööd, et luua väljakutseid peaaegu nullist.

"Üldiselt jagab kogukond palju, miks me siis CTF-i väljakutseid ei jaga?" ta ütleb. "Ma arvan, et saame paremini hakkama."

Turvakogukonna jagamise vaimus jagab ta mõningaid olulisi õppetunde, mida tema meeskond oma teel omandas, et teised CTF-i disaini eest vastutavad saaksid protsessist õppida ja mõista. Tema eesmärk on korraldada üritus uuesti ja tugineda eelmisel aastal õpitule. Samuti loodab ta, et teised jagavad oma parimaid tavasid ja isegi tehnilisi üksikasju, et kogu turvaringkond saaks pakutavate CTF-ide kvaliteeti parandada.

Võti on jutuvestmine

Hwong ütleb, et tema DEF CON Cloud Village'i meeskond oli väga huvitatud süžee loomisest, mis oli kaasahaarav ja lõbus. Ta ütleb, et pidas seda lugu filmistsenaariumiks, kuhu olid sisse ehitatud realistlikud küberstsenaariumid. Sündmuse jaoks valisid nad teemaks "Päkapikud", mis oli lõbus ja naljakas. kuid oluline polnud mitte ainult süžee kirjutamine, vaid ka see, kuidas tehnilisi väljakutseid loo sees planeeriti.

"Goblini ja päkapikkude süžee hõlmas kõike, kuid oluline oli välja mõelda mõistlikud stsenaariumid, millega võite turvaprofessionaalina kokku puutuda, sealhulgas rünnakuteed ja mõistlikud kaitsemeetmed," ütleb ta. "Mida rohkem saame seda CTF-i kujundajatena teha, seda parem on see õppimiseks ja seda lõbusam on CTF."

Kasutage tarkvaraarenduse lähenemisviisi

CTF-i loojad peaksid oma väljakutse tehniliste elementide kujundamisel kindlasti kasutama tarkvaraarenduse lähenemisviisi, soovitab Hwong.

"Peate mõtlema disainile, juurutamisele ja testimisele," ütleb ta ja selgitab, et tema ja tema meeskond õppisid kõvasti, kui raske võib olla väljakutsete testimine keerulises CTF-keskkonnas, mida osalejad saavad mitmel viisil manipuleerida. .

"Mis juhtus – ja ma pean loojana süüdistama, et testimist ei juhendanud – on see, et me jätsime vahele negatiivse testimise ja ka elujõulisuse kontrollimise," ütleb ta. „Osa sellest on see, et meil ei olnud testimiseks piisavalt aega, nii et jätkasin mõne keskkonna lukustamist, kuna väljakutse oli pooleli, et mõned väljakutsed ei oleks liiga lihtsad ja lünki ei oleks. Ma arvan, et ühel hetkel tegin tund või kaks teatud sammul midagi lahendamatut.

Niisiis, üks suuremaid õppetunde, mille ta õppis, on see, et CTF-i disainerid peavad tarkvaraarenduse ranguse tabelisse viima, mis läbib testimise ja elujõulisuse töö.

Töökindlus… ja natuke kofeiini

Tarkvaraarenduse täpsus ei ole ainus tehniline võimekus, mis peab tulema. CTF-i juhiv meeskond vajab ka tõsist töökindlust.

"Meil olid suurepärased inimesed, kes juhtisid servereid ja AWS-i kontosid ning Google'i ja Azure'i kontosid ning hoolitsesid selle eest, et asjad toimiksid ja et me jälgiksime asju," ütleb ta. "Kõigi nende asjadega tuleb tegeleda. Ja kui te seda ignoreerite, võib see lihtsalt tähendada, et asjad ebaõnnestuvad, purunevad või teil on jõudlusprobleeme.

Üks tööprobleemidest, millega nad kokku puutusid, oli see, et nad kogesid kokkupõrkeid osalejate ja väljakutsete vahel, kuna meeskond tegutses piirangutega, kuna nad ei suutnud luua AWS-is, Google'is ja Azure'is iga osaleja jaoks eraldiseisvat keskkonda.

"Kuna see oli samas keskkonnas, aitas see neid teistel väljakutsetel ja kui teil on väljakutse, mis nõuab keskkonna muutmist, siis inimesed astuvad üksteisele varvastele ja vahetavad ühist objekti," ütles ta ja selgitas, et tema ja tema meeskond pidi poliitikad lähtestama, kui CTF liikus edasi, et osalejad üksteisega kokku ei jookseks.

Tema ja tema meeskond püüavad kogemustest õppida, et välja mõelda praktiline meetod – nii aja, jõupingutuste kui ka kulutuste vaatenurgast –, et anda osalejatele tõeliselt isoleeritud keskkond, muutmata kogu CTF-i vähem elujõuliseks, sest asjad lähevad katki või võtavad elluviimine igaviku.

Lõpuks ütleb Hwong, et CTF-i näitustel jooksjad peavad samuti arvestama pideva suhtlusega, mida nad peavad hõlbustama oma meeskonna ja osalejate vahel.

"Olin pärast südaööd Discordis ja mõtlen: "Mul on hommikul rääkida, kas sa läheksid magama?" naljatas Hwong, kes selgitas, et osalejatel on küsimusi ja nad kavatsevad otsige korraldajaid kogu aeg näpunäiteid ja näpunäiteid otsima.

Erinevate raskusastmete kujundamine on raske

Väljakutsete raskusastmete õige määramine ja õiglase punktisüsteemi loomine võib olla raskem, kui algaja CTF-i korraldaja esialgu arvata võib, hoiatas Hwong. Ta selgitas, et mõned tasemed, mille tema meeskond kavandas lihtsamaks, oli osalejatel oodatust keerulisem läbida, samas kui mõne keerulisema taseme lõpetas oodatust rohkem osalejaid.

Käsikäes nivelleerimise raskustega on mõtteka punktisüsteemi väljamõtlemine. Pärast DEF CONi kogemust pooldab Hwong Bell Curve punktisüsteemi. Kuid tema sõnul pole probleem nii lihtne kui kõvera loomine. Probleemiks on ka suurte CTF-meeskondade eeliste normaliseerimine ja tasakaalustamine väljakutsepunktide kogumisel – probleem, mille kohta üks osaleja andis talle pärast sündmust tagasisidet.

"Nii et kui teie väljakutseid saab jagada ja teha paralleelselt mitme mängijaga, siis kui mul on 10 inimest, olen 10 korda kiire. Ja seega on eelis,” ütleb ta. "Tema mõte oli mingi dünaamiline punktitase see natuke. Kui on asju, milles ta on väga-väga hea, võib ta olla ainus, kes selle lahendab ja ta saab maksimumpunktid. Kelluke kõver premeerib teda mastaabis, ei pruugi olla oluline, kas see on midagi tema roolikambrist, kus on 10 versus üks. Siin on mõned vaieldavad asjad, mille peame läbi töötama.

Üks võimalus on muuta väljakutsed järjestikuseks, kuid selle negatiivne külg on see, et see võib muuta CTF-i liiga jäigaks ja lineaarseks ning see võib tekitada kitsaskoha või sõltuvusi, mis võivad ühe või mitu väljakutset õhkida. Hwong ütleb, et talle meeldiks ka rohkem CTF-e, kes premeeriksid osalejaid selliste tehnikate eest nagu see, kui vargsi nad keskkonnas või dokkimispunktides tegutsevad, kui nad jätavad liiga palju jalajälgi ja sõrmejälgi. See on valdkond, mida ta tahaks tulevaste sündmuste kavandamisel uurida. .

Sellest hoolimata võib dünaamiline punktiarvestus mõningaid tasandusprobleeme leevendada ning tema ja ta meeskond püüavad seda järgmisel aastal teha.

Sinised meeskonnad vajavad lõbusamaid CTF-i väljakutseid

Pärast oma esimese CTF-i läbitöötamist usub Hwong üha enam ka, et need sündmused ei aita sinise meeskonna osalejaid vaidlustada ja tõeliselt kaasata.

"Sinise meeskonna harjutused kipuvad minema järgmiselt: "Meil on valesti konfigureeritud keskkond, kus on palju turvaauke. Kas sa saad neid parandada?'' ütleb ta. Ja nad lihtsalt testivad, kas neid konfiguratsioone muudetakse või mitte või kas mul on juurdepääs sellele avalikule ämbrile. Ja niipea, kui muudate selle privaatseks, teame, et parandasite selle ja saate punkte. Oleks palju parem teha asju lisaks sellele, näiteks kui olete sattunud ohtu, teie keskkonnas on ründaja, peate ta üles leidma ja välja viskama. Nii et teil on praegu toimumas intsident ja seni, kuni ründaja on, on tal mandaat ja seni, kuni nad midagi teevad, võite selle tuvastada. See on teie kui osaleja töö. Ja kuni te nende juurdepääsu tühistate, ei lahenda te seda ja te ei saa maksimumpunkte."

Selliseid stsenaariume on raskem teha, kuid need on kaitsjate jaoks realistlikumad ja muudavad CTF-id nende jaoks väärtuslikumaks, ütleb ta ja selgitab, et see on tema järgmise korra radaril.

CTF-id vajavad rohkem värskeid ja asjakohaseid komponente.

Hwong esitab väljakutse ka CTF-i disaineritele – ja iseendale – lisama oma väljakutsetesse rohkem värsket ekspluateerimise ja haavatavuse teavet. See oli üks asju, millesse ta soovis, et tal oleks rohkem aega sukeldumiseks esimesel DEF CON Cloud Village'i külastusel ja mida ta on otsustanud järgmiseks aastaks parandada.

"See on üks valdkondi, kus CTF-id võivad olla rohkem õppimis- ja koolitustööriistad, " selgitab ta. "Meile meeldiks kasutada asjakohaseid ideid ja värskeid teadlasi, mis on ilmunud aasta alguses või isegi esitletud DEF CONil."

CTF "ehitusplokid" korduvkasutatavuse parandamiseks

Lõpuks, üks suurimaid õppetunde, mida Hwong ütleb, on see, et tööstus peab leidma rohkem võimalusi CTF-i jaoks korduvkasutatavate komponentide loomiseks, nagu tarkvaraarendajad teevad rakenduste jaoks. Ta unistab aidata korraldada avatud GitHubi hoidla väikeste harjutuste koodiga, mis võivad moodustada CTF-i loomise ehitusplokid.

"Peate seda ikkagi kohandama ja oma keerdkäike lisama, kuid mõte on, et võtame esimesed 60% teelt välja, et CTF-i korraldajad saaksid keskenduda tõeliselt uudsetele asjadele. Nii ei leiuta keegi jalgratast uuesti,” ütleb ta. "Ja siis ülejäänud 40% saab lisada uusi tehnikaid, stsenaariume ja süžeeliine."

Ajatempel:

Veel alates Tume lugemine