7 tanulság a DEF CON Cloud Village CTF tervezéséből

7 tanulság a DEF CON Cloud Village CTF tervezéséből

Időbélyeg: 10. január 2024. 8:00
7 Lessons Learned From Designing DEF CON Cloud Village CTF PlatoBlockchain Data Intelligence. Vertical Search. Ai.

A Capture the Flag (CTF) eseményei egyszerre szórakoztatóak és oktató jellegűek, és lehetőséget biztosítanak a kiberbiztonsági szakembereknek, hogy kibontakoztathassák hackelési készségeiket, miközben új fogalmakat tanulnak meg egy konstruktív és biztonságos környezetben. A jól megtervezett CTF-ek működési kihívásoknak, újszerű támadási útvonalaknak és kreatív forgatókönyveknek teszik ki az egyéneket és a csapatokat, amelyeket később támadó és védekező biztonsági szakemberekként is alkalmazni lehet munkájuk során.

De nem minden CTF egyforma, és a sikeres CTF-verseny megtervezéséhez sokkal több kell, mint a kihívások megoldása. A műszaki tervezési kihívások mellett a környezet kialakításával és a verseny tényleges lebonyolításával kapcsolatos működési megfontolások, egy izgalmas játék felállításához szükséges kreatív tervezés, valamint a kihívások játékosításával kapcsolatos részletek, például a pontozási mód kompromisszumai. szerkezet van felállítva.

“As a designer I want it [the CTF] to be challenging fun. I want to reward people who are clever, who really work at it, and who are persistent,” says Jenko Hwong, principal researcher on Netskope’s Threat Research Labs team and team leader for last year’s DEF CON Cloud Village CTF. “It also has to be practical for us to carry out.”

Fun and practical was the mindset that Hwong brought to the DEF CON CTF, a massive multi-day affair that had over 400 individuals and teams trying their hands at the challenge and a team of 20 working under him to run the event. A veteran researcher and seasoned CTF participant, Hwong had never run a CTF before this event. One of his biggest hopes for his first try at the job was to level up the relevancy and realism of the challenges in the event, which can sometimes be a bugaboo in CTFs today.

„Néha ezekben a CTF-ekben nagyon nehéz kihívások elé nézünk, de mintha mi értelme van ennek? Ez egy dekódolási vagy titkosítási probléma lesz, amikor az esemény úgy hangzik, hogy "itt van valami, sok szerencsét", és akkor át kell ugrani ezeken a karikán, amelyek talán nem szakadnak el teljesen a valóságtól, de nem igazán férnek bele egy nagyobbba. történetszál” – mondja. „Tehát, amikor megkaptam a hívást, az volt a gondolatom, hogy „ugorjunk be, találjunk ki egy jó történetet és egy jó kihíváskészletet, amely szórakoztató lesz, de értelmes is, és talán a kutatási penetrációs tesztelés valós világához kapcsolódik. védelmi intézkedések, mi történik a való világban.

Amikor azonban belevágott a projektbe, egy dolgot különösen nagy kihívásnak talált, hogy milyen kevés információ áll rendelkezésre a CTF-ek működtetéséről. A legtöbb írás olyan résztvevőktől származik, akik értékelnek egy eseményt, és elmagyarázzák, hogyan oldották meg a kihívásokat, de ritkán kínálnak információt az események lebonyolításának bevált gyakorlatairól. Ennek eredményeképpen azt mondta, hogy neki és csapatának rengeteg munkát kellett elvégeznie, hogy szinte a semmiből kihívásokat teremtsen.

„A közösség általában rengetegen osztozik, akkor miért nem osztjuk meg a CTF kihívásait?” mondja. – Azt hiszem, jobban járhatunk.

A biztonsági közösség megosztásának szellemében megoszt néhány fontos leckét, amelyeket csapata az út során felvett, hogy a CTF-tervezésért felelős többiek tanulhassanak és megértsenek a folyamatból. Célja, hogy újra levezesse a rendezvényt, és építsen a tavaly tanultakra. Azt is reméli, hogy mások is megosztják a legjobb gyakorlataikat, sőt a technikai részleteket is, hogy az egész biztonsági közösség javíthassa a kínált CTF-ek minőségét.

A történetmesélés kulcsfontosságú

Hwong says that his DEF CON Cloud Village team was very keen on crafting a storyline that was engaging and fun. He says he thought of the story as a movie script with realistic cyber scenarios built in. For the event they chose a theme of ‘Gnomes’ that was fun and funny. but it wasn’t just the storyline writing that was important but also how the technical challenges were planned within the story.

„A kobold és a gnómok történetszála mindent körülölelt, de a legfontosabb az volt, hogy ésszerű forgatókönyvek születjenek, amelyekkel biztonsági szakemberként találkozhat, beleértve a támadási útvonalakat és az ésszerű védelmet, amelyekkel találkozhat” – mondja. "Minél többet tehetünk CTF-tervezőként, annál jobb a tanulás és annál szórakoztatóbb a CTF."

Vegyünk egy szoftverfejlesztési megközelítést

A CTF készítőinek mindenképpen szoftverfejlesztési megközelítést kell alkalmazniuk kihívásuk technikai elemeinek megtervezéséhez, javasolja Hwong.

„Gondolnod kell a tervezésre, a megvalósításra és a tesztelésre” – mondja, és elmagyarázza, hogy csapatával kemény úton tanulták meg, milyen nehéz lehet kihívásokat tesztelni egy összetett CTF-környezetben, amelyet a résztvevők többféleképpen manipulálhatnak. .

„Az történt – és én, mint vezető alkotó vállalom a felelősséget, amiért nem irányítottam a tesztelést –, hogy elmulasztottuk a negatív sikeres tesztet, valamint az életképességi ellenőrzéseket” – mondja. „Részben az, hogy nem volt elég időnk a tesztelésre, ezért továbbra is lezártam néhány környezetet, mivel a kihívás folyamatban volt, hogy ne legyen túl könnyű a kihívás, és ne legyenek kiskapuk. Azt hiszem, egy ponton egy-két órán keresztül végül megoldhatatlanná tettem valamit egy bizonyos lépésnél.”

Tehát az egyik nagy tanulság, amit megtanult, az az, hogy a CTF-tervezőknek olyan szoftverfejlesztési szigort kell ledolgozniuk, amely végigkíséri a tesztelést és az életképességi munkát.

Működési szigor… és egy kis koffein

A szoftverfejlesztés aprólékossága nem az egyetlen olyan technikai képesség, amelyre szükség van. A CTF-et üzemeltető legénységnek is komoly működési szigorra van szüksége.

„Néhány csodálatos ember futott a szervereken, az AWS-fiókokon, a Google- és az Azure-fiókokon, és gondoskodtak arról, hogy a dolgok továbbra is működjenek, és hogy figyelemmel kísérjük a dolgokat” – mondja. „Az összes dolgot kezelni kell. És ha figyelmen kívül hagyja, az csak azt jelentheti, hogy a dolgok meghiúsulnak, elromolhatnak, vagy teljesítményproblémái vannak.”

Az egyik működési probléma, amibe ütköztek, az volt, hogy ütközést tapasztaltak a résztvevők és a kihívások között, mivel a csapat olyan kényszerekkel dolgozott, hogy nem tudtak önálló környezetet létrehozni minden résztvevő számára az AWS-ben, a Google-ban és az Azure-ban.

"Mivel ugyanabban a környezetben volt, segített nekik más kihívásokban, és ha olyan kihívás van, amely megköveteli a környezet megváltoztatását, akkor az emberek egymás lábujjaira lépnek, és közös tárgyat cserélnek" - mondta, elmagyarázva, hogy ő és A csapatnak vissza kellett állítania az irányelveket, miközben a CTF előrehaladt, hogy a résztvevők ne ütközzenek egymással.

Ő és csapata próbál tanulni a tapasztalatokból, hogy kitaláljanak egy olyan gyakorlati módszert – idő, erőfeszítés és költség szempontjából –, hogy a résztvevőknek valóban elszigetelt környezetet biztosítsanak anélkül, hogy az egész CTF életképtelenné válna, mert a dolgok megszakadnak, vagy örökké tart a végrehajtás.

Végül Hwong azt mondja, hogy az operatív fronton a CTF show-futóinak szem előtt kell tartaniuk az állandó kommunikációt, amelyet a csapatuk és a résztvevők között kell elősegíteniük.

„Éjfél után a Discordon voltam, és azt gondolom: „Reggel beszélnem kell, elmennél aludni?” – viccelődött Hwong, aki elmagyarázta, hogy a résztvevőknek lesznek kérdéseik, és ők is meg fognak válaszolni. minden órában pingálja a szervezőket tippekért és tippekért.

Különböző nehézségi szintek tervezése nehéz

Hwong figyelmeztetett, hogy a kihívások nehézségi szintjének helyes meghatározása és egy igazságos pontozási rendszer létrehozása nehezebb lehet, mint azt egy kezdő CTF-szervező elsőre gondolná. Kifejtette, hogy a csapata által könnyebbnek tervezett szintek közül néhányat nehezebben teljesítettek a résztvevők, mint gondolták volna, míg néhány nagyobb kihívást jelentő szintet a vártnál több résztvevő sikeresen teljesített.

Hand-in-hand with the difficulty leveling challenge is figuring out a scoring system that makes sense. After his experience at DEF CON, Hwong is a proponent of doing some kind of Bell Curve scoring system. But he says the problem isn’t as straightforward as instituting a curve. There’s also the issue of normalizing and balancing out the advantage that big CTF teams have in racking up challenge points—an issue that one of the participants provided him feedback about after the event.

„Tehát, ha a kihívásokat fel lehet osztani, és több játékossal párhuzamosan lehet végrehajtani, ha 10 emberem van, akkor 10-szer leszek, az gyors. És így van előnye” – mondja. „Az ő lényege valamiféle dinamikus pontszerzés volt, ez egy kicsit. Ha vannak dolgok, amiben nagyon-nagyon jó, akkor lehet, hogy ő az egyetlen, aki megoldja, és maximális pontot kap. A haranggörbe jutalmazza őt a skála ellenében, nem feltétlenül számít, ha ez valami az ő kerékvágásban van-e a 10-es és XNUMX-gyel szemben. Vannak itt vitatható dolgok, amelyeken át kell dolgoznunk.”

Az egyik lehetőség az, hogy a kihívásokat egymás után hozzuk létre, de ennek az a hátránya, hogy túl merevvé és lineárissá teheti a CTF-et, és szűk keresztmetszetet vagy függőségeket hozhat létre, amelyek egy vagy több kihívást robbanthatnak ki. Hwong azt is szívesen látná, ha több CTF jutalmazná a résztvevőket olyan technikákért, mint például, hogy milyen lopva működnek a környezetben vagy a dokkolópontokon, ha túl sok lábnyomot és ujjlenyomatot hagynak maguk után, és ezt a területet szeretné felfedezni a jövőbeli események tervezése során. .

Ettől függetlenül a dinamikus pontszerzés olyasvalami, ami enyhíthet néhány kiegyenlítési problémát, és ő és csapata erre törekszik a következő évben.

A kék csapatoknak több szórakoztató CTF-kihívásra van szükségük

Miután végigdolgozta első CTF-jét, Hwong egyre inkább úgy gondolja, hogy ezek az események nem eléggé kihívják a kék csapat résztvevőit, és valóban bevonják őket.

„A kék csapat gyakorlatai általában így mennek: „Rosszul konfigurált környezetünk van, sok sebezhető ponttal. Meg tudod javítani őket?” – mondja. ” És azt csinálják, hogy csak azt tesztelik, hogy ezek a konfigurációk megváltoztak-e vagy sem, vagy hogy hozzáférek-e ehhez a nyilvános tárolóhoz. És amint priváttá teszi, tudjuk, hogy kijavította, és pontokat kap. Sokkal jobb lenne ezen felül megtenni a dolgokat, például mi van, ha feltörtek, támadó van a környezetében, meg kell találnia és ki kell rúgnia. Tehát most egy incidens van folyamatban, és amíg a támadó megvan, megvannak a hitelesítő adatai, és amíg megteszik a dolgokat, Ön képes lehet észlelni azt. Ez az Ön feladata, mint résztvevő. És amíg nem vonja vissza a hozzáférésüket, addig nem oldja meg, és nem kap maximális pontot.”

Az ilyen forgatókönyveket nehezebb megvalósítani, de reálisabbak a védők számára, és értékesebbé teszik számukra a CTF-eket, mondja, és elmagyarázza, hogy a következő alkalommal ez lesz a radarján.

A CTF-eknek több friss és releváns komponensre van szükségük.

Hwong also challenges CTF designers—and himself–to incorporate more fresh exploit and vulnerability information into their challenges. This was one of the things he wished he had more time to dive into in his first go at DEF CON Cloud Village and which he’s resolved to improve for next year.

“This is one of the areas where CTFs can be more of a learning and training tool,” he explains. “We would love to use relevant ideas and exploits fresh from researchers occurring earlier in the year or even presented at DEF CON.”

CTF „építőelemek” az „újrafelhasználhatóság” javítására

Végül, az egyik legnagyobb tanulság, amit Hwong elmondása szerint megtanult, az az, hogy az iparnak több módot kell találnia a CTF újrafelhasználható összetevőinek létrehozására, ahogy a szoftverfejlesztők teszik az alkalmazásokhoz. Arról álmodik, hogy segítsen megszervezni egy nyílt GitHub-tárat kis gyakorlatok kódjában, amelyek a CTF felépítésének építőkövei lehetnek.

"Továbbra is testre kell szabnia, és hozzá kell adnia a saját csavarjait, de az ötlet az, hogy az első 60%-ot tegyük ki az útból, hogy a CTF szervezői igazán újszerű dolgokra összpontosíthassanak. Így senki sem találja fel újra a kereket” – mondja. "A maradék 40% pedig új technikák, forgatókönyvek és történetszálak hozzáadása."

Időbélyeg:

Még több Sötét olvasmány