7 lezioni apprese dalla progettazione di DEF CON Cloud Village CTF

Gli eventi Capture the Flag (CTF) sono sia divertenti che educativi e forniscono ai professionisti della sicurezza informatica un modo per mettere alla prova le proprie capacità di hacking mentre apprendono nuovi concetti in un ambiente costruttivo e sicuro. I CTF ben progettati espongono individui e team a sfide operative, nuovi percorsi di attacco e scenari creativi che possono essere successivamente applicati nel loro lavoro sia come professionisti della sicurezza offensivi che difensivi.

Ma non tutti i CTF sono uguali e nella progettazione di una competizione CTF di successo c'è molto di più che la semplice individuazione delle sfide. Insieme alle sfide di progettazione tecnica, ci sono anche considerazioni operative legate alla creazione dell'ambiente e allo svolgimento effettivo della competizione, alla pianificazione creativa necessaria per impostare un gioco coinvolgente e al fattore dei dettagli relativi alla gamificazione delle sfide, come i compromessi nel modo in cui si ottiene il punteggio. la struttura è allestita.

“Come designer voglio che [il CTF] sia divertente e stimolante. Voglio premiare le persone intelligenti, che ci lavorano davvero e che sono tenaci", afferma Jenko Hwong, ricercatore principale del team Threat Research Labs di Netskope e team leader del DEF CON Cloud Village CTF dello scorso anno. “Deve anche essere pratico da realizzare”.

Divertente e pratica è stata la mentalità che Hwong ha portato al DEF CON CTF, un enorme evento di più giorni che ha visto oltre 400 persone e team cimentarsi nella sfida e un team di 20 persone che lavoravano sotto di lui per gestire l'evento. Ricercatore veterano e partecipante esperto del CTF, Hwong non aveva mai gestito un CTF prima di questo evento. Una delle sue più grandi speranze per il suo primo tentativo di lavoro era quella di aumentare la pertinenza e il realismo delle sfide dell'evento, che a volte può essere uno spauracchio nei CTF di oggi.

“A volte in questi CTF ti trovi di fronte a una sfida davvero difficile, ma qual è il punto? Sarà un problema di decrittazione o crittografia, in cui l'evento dice: "Ecco qualcosa, buona fortuna", e poi dovrai saltare attraverso tutti questi cerchi che potrebbero non essere completamente separati dalla realtà ma che non si adattano davvero a un problema più grande. trama”, dice. "Così, quando ho ricevuto la chiamata, il mio pensiero è stato 'interveniamo, inventiamo una bella storia e una bella serie di sfide che saranno divertenti ma che abbiano anche senso e magari si riferiscano al mondo reale dei test di penetrazione della ricerca, misure difensive, cosa sta succedendo nel mondo reale.'”

Mentre si tuffava nel progetto, però, una cosa che trovava particolarmente impegnativa era la scarsa informazione disponibile sulla gestione dei CTF. La maggior parte dei commenti proviene da partecipanti che valutano un evento e spiegano come hanno risolto le sfide, ma raramente vengono offerte informazioni sulle migliori pratiche nella gestione di un evento. Di conseguenza, ha affermato che lui e il suo team dovevano svolgere un sacco di lavoro creando sfide quasi da zero.

"La comunità generalmente condivide molto, quindi perché non condividiamo le sfide CTF?" lui dice. “Penso che possiamo fare meglio.”

In questo spirito di condivisione della comunità di sicurezza, condivide alcune lezioni importanti che il suo team ha raccolto lungo il percorso in modo che gli altri responsabili della progettazione CTF possano imparare e comprendere dal processo. Il suo obiettivo è organizzare nuovamente l'evento e basarsi su ciò che hanno imparato l'anno scorso. Spera inoltre che altri condividano le loro migliori pratiche e anche i dettagli tecnici, in modo che l'intera comunità della sicurezza possa migliorare la qualità dei CTF offerti.

La narrazione è la chiave

Hwong afferma che il suo team di DEF CON Cloud Village era molto interessato a creare una trama che fosse avvincente e divertente. Dice di aver pensato alla storia come alla sceneggiatura di un film con scenari informatici realistici incorporati. Per l'evento hanno scelto il tema degli "Gnomi" che era divertente e divertente. ma non era importante solo la scrittura della trama, ma anche il modo in cui le sfide tecniche venivano pianificate all'interno della storia.

"La trama dei goblin e degli gnomi racchiudeva tutto, ma l'importante era creare scenari ragionevoli che avresti potuto incontrare come professionista della sicurezza, inclusi percorsi di attacco e difese ragionevoli che avresti incontrato", afferma. "Più riusciamo a farlo come progettisti CTF, meglio è per l'apprendimento e più divertente è il CTF."

Adotta un approccio allo sviluppo software

I creatori di CTF dovrebbero assolutamente adottare un approccio di sviluppo software per progettare gli elementi tecnici della loro sfida, consiglia Hwong.

"Devi pensare alla progettazione, all'implementazione e ai test", afferma, spiegando che lui e il suo team hanno imparato a proprie spese quanto può essere difficile testare le sfide in un ambiente CTF complesso che può essere manipolato dai partecipanti in numerosi modi .

"Quello che è successo, e mi prendo la colpa in qualità di creatore principale per non aver guidato i test, è che non abbiamo superato il test negativo, così come i controlli di fattibilità", dice. “In parte è dovuto al fatto che non avevamo abbastanza tempo per testare, quindi ho continuato a bloccare alcuni ambienti mentre la sfida era in corso, in modo che alcune sfide non fossero troppo facili e non ci fossero scappatoie. Penso che a un certo punto, per un’ora o due, a un certo punto ho finito per creare qualcosa di irrisolvibile”.

Quindi, una delle grandi lezioni che ha imparato è che i progettisti CTF devono mettere sul tavolo il rigore dello sviluppo del software che arriva fino al lavoro di test e fattibilità.

Rigore operativo... e un po' di caffeina

La meticolosità nello sviluppo del software non è l'unica capacità tecnica che deve essere messa in campo. Anche l’equipaggio che gestisce un CTF necessita di un serio rigore operativo.

"Avevamo delle persone fantastiche che gestivano i server, gli account AWS e gli account Google e Azure e si assicuravano che le cose continuassero a funzionare e che stessimo monitorando le cose", afferma. “Tutta questa roba deve essere gestita. E se lo ignori, potrebbe semplicemente significare che le cose falliscono, si rompono o hai problemi di prestazioni.

Uno dei problemi operativi che hanno riscontrato è stato il verificarsi di collisioni tra i partecipanti e di sfide, poiché il team operava con un vincolo in quanto non poteva creare un ambiente autonomo per ogni partecipante su AWS, Google e Azure.

"Poiché era nello stesso ambiente, li ha aiutati in altre sfide e se hai una sfida che richiede un cambiamento dell'ambiente, allora ci sono persone che si pestano i piedi a vicenda, cambiando un oggetto condiviso", ha detto, spiegando che lui e il suo il team ha dovuto reimpostare le politiche man mano che il CTF avanzava in modo che i partecipanti non si incontrassero tra loro.

Lui e il suo team stanno cercando di imparare dall'esperienza per trovare un metodo pratico, dal punto di vista del tempo, dello sforzo e delle spese, per offrire ai partecipanti un ambiente veramente isolato senza rendere l'intero CTF meno praticabile perché le cose si rompono o impiegano un'eternità per essere eseguite.

Infine, Hwong afferma che sul fronte operativo anche gli showrunner della CTF devono essere consapevoli della comunicazione costante che dovranno facilitare tra la loro squadra e i partecipanti.

"Ero su Discord dopo mezzanotte e ho pensato, 'Ho un discorso da tenere domattina, andresti a dormire?'" Ha scherzato Hwong, che ha spiegato che i partecipanti avranno delle domande e contatta gli organizzatori per suggerimenti e indicazioni a tutte le ore.

Progettare diversi livelli di difficoltà è difficile

Ottenere i giusti livelli di difficoltà delle sfide e creare un sistema di punteggio equo potrebbe essere più difficile di quanto un organizzatore CTF alle prime armi possa inizialmente pensare, ha avvertito Hwong. Ha spiegato che alcuni dei livelli che il suo team ha progettato come più facili sono stati più difficili da completare per i partecipanti rispetto a quanto previsto, mentre alcuni dei livelli più impegnativi sono stati completati con successo da più partecipanti del previsto.

Di pari passo con la sfida del livellamento della difficoltà è trovare un sistema di punteggio che abbia senso. Dopo la sua esperienza al DEF CON, Hwong è un sostenitore di una sorta di sistema di punteggio Bell Curve. Ma dice che il problema non è così semplice come istituire una curva. C'è anche il problema di normalizzare e bilanciare il vantaggio che i grandi team CTF hanno nell'accumulare punti sfida, un problema su cui uno dei partecipanti gli ha fornito feedback dopo l'evento.

“Quindi, se le tue sfide possono essere divise e affrontate in parallelo da più giocatori, se ho 10 persone, sarò veloce 10 volte. E quindi c'è un vantaggio”, dice. “Il suo punto era che una sorta di punteggio dinamico lo livella un po’. Se ci sono cose in cui è davvero, davvero bravo, potrebbe essere l'unico a risolverle e otterrà il massimo dei punti. La curva a campana lo ricompenserà rispetto alla scala, non necessariamente importante se è qualcosa nella sua competenza in termini di 10 contro uno. Ci sono alcune cose discutibili qui su cui dobbiamo lavorare.

Una possibilità è rendere le sfide sequenziali, ma lo svantaggio è che ciò potrebbe rendere la CTF troppo rigida e lineare e potrebbe creare un collo di bottiglia o dipendenze che potrebbero far saltare una o più sfide. Hwong dice che gli piacerebbe anche vedere più CTF premiare i partecipanti su tecniche come il modo in cui operano furtivamente in un ambiente o punti di attracco se lasciano troppe impronte e impronte digitali, e questa è un'area che vorrebbe esplorare mentre progetta eventi futuri .

Indipendentemente da ciò, però, il punteggio dinamico è qualcosa che potrebbe alleviare alcuni dei problemi di livellamento e lui e il suo team lo stanno perseguendo per il prossimo anno.

Le squadre blu hanno bisogno di sfide CTF più divertenti

Dopo aver elaborato il suo primo CTF, Hwong crede sempre più che questi eventi non facciano abbastanza per sfidare e coinvolgere davvero i partecipanti della squadra blu.

“Gli esercizi del team blu tendono ad andare così: 'Abbiamo un ambiente mal configurato con molte vulnerabilità. Puoi andare ad aggiustarli?'”, dice. "E quello che fanno è semplicemente verificare se tali configurazioni sono state modificate o meno o se posso accedere a questo bucket pubblico. E non appena lo rendi privato, sappiamo che hai risolto il problema e ottieni punti. Sarebbe molto meglio fare altre cose in più, ad esempio se sei compromesso, c'è un aggressore nel tuo ambiente, devi trovarlo e cacciarlo fuori. Quindi c'è un incidente in corso proprio adesso, e finché c'è l'aggressore, ha le credenziali e finché fa qualcosa, potresti essere in grado di rilevarlo. Questo è il tuo lavoro come partecipante. E finché non revochi il loro accesso, non risolvi il problema e non ottieni il massimo dei punti."

Questo tipo di scenari sono più difficili da realizzare ma sono più realistici per i difensori e renderanno i CTF più preziosi per loro, dice, spiegando che questo sarà sul suo radar per la prossima volta.

I CTF hanno bisogno di componenti più nuovi e rilevanti.

Hwong sfida inoltre i progettisti di CTF, e se stesso, a incorporare informazioni più aggiornate su exploit e vulnerabilità nelle loro sfide. Questa era una delle cose in cui avrebbe voluto avere più tempo per immergersi durante la sua prima volta al DEF CON Cloud Village e che ha deciso di migliorare per il prossimo anno.

"Questa è una delle aree in cui i CTF possono essere maggiormente uno strumento di apprendimento e formazione", spiega. "Ci piacerebbe utilizzare idee ed exploit rilevanti appena ottenuti dai ricercatori all'inizio dell'anno o addirittura presentati al DEF CON."

Gli elementi costitutivi della CTF per migliorare la "riutilizzabilità"

Infine, una delle più grandi lezioni che Hwong dice di aver imparato è che l’industria deve trovare più modi per creare componenti riutilizzabili per CTF proprio come fanno gli sviluppatori di software per le applicazioni. Sogna di aiutare a organizzare un repository GitHub aperto di piccoli esercizi di codice che possano costituire gli elementi costitutivi della costruzione di un CTF.

“Dovrai comunque personalizzarlo e aggiungere il tuo tocco personale, ma l'idea è di togliere il primo 60% in modo che gli organizzatori della CTF possano concentrarsi su cose davvero nuove. In questo modo nessuno reinventerà la ruota”, afferma. "E poi il restante 40% può aggiungere nuove tecniche, scenari e trame."

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cloud-security/7-lessons-learned-from-designing-a-defcon-ctf