7 lecții învățate din proiectarea DEF CON Cloud Village CTF

Evenimentele Capture the Flag (CTF) sunt atât distractive, cât și educaționale, oferind profesioniștilor în securitate cibernetică o modalitate de a-și dezvolta abilitățile de hacking în timp ce învață noi concepte într-un mediu constructiv și sigur. CTF-urile bine concepute expun indivizii și echipele la provocări operaționale, căi de atac noi și scenarii creative care pot fi aplicate ulterior în activitatea lor, atât ca profesioniști în securitate ofensiv cât și defensiv.

Dar nu toate CTF-urile sunt create egale și există mult mai multe lucruri care sunt necesare pentru a concepe o competiție de succes CTF decât doar a veni cu provocările. Alături de provocările de proiectare tehnică, există și considerații operaționale implicate în configurarea mediului și derularea efectivă a competiției, planificarea creativă necesară pentru a crea un joc captivant și luarea în considerare a detaliilor legate de gamificarea provocărilor, cum ar fi compromisuri în modul de punctare. structura este configurată.

“As a designer I want it [the CTF] to be challenging fun. I want to reward people who are clever, who really work at it, and who are persistent,” says Jenko Hwong, principal researcher on Netskope’s Threat Research Labs team and team leader for last year’s DEF CON Cloud Village CTF. “It also has to be practical for us to carry out.”

Fun and practical was the mindset that Hwong brought to the DEF CON CTF, a massive multi-day affair that had over 400 individuals and teams trying their hands at the challenge and a team of 20 working under him to run the event. A veteran researcher and seasoned CTF participant, Hwong had never run a CTF before this event. One of his biggest hopes for his first try at the job was to level up the relevancy and realism of the challenges in the event, which can sometimes be a bugaboo in CTFs today.

„Uneori, în aceste CTF-uri, primești o provocare foarte grea, dar e ca și cum ce rost are asta? Va fi o problemă de decriptare sau de criptare, în cazul în care evenimentul va spune „Uite ceva, mult noroc”, și apoi trebuie să treci prin toate aceste cercuri care poate nu sunt complet divorțate de realitate, dar nu se potrivesc cu adevărat într-unul mai mare. poveste”, spune el. „Așadar, când am primit apelul, gândul meu a fost „să sărim, să descoperim o poveste bună și un set bun de provocări care vor fi distractive, dar și care au sens și care pot avea legătură cu lumea reală a testării de penetrare a cercetării”. măsuri defensive, ce se întâmplă în lumea reală.'”

Totuși, pe măsură ce sa implicat în proiect, un lucru pe care l-a găsit deosebit de provocator este cât de puține informații există despre rularea CTF-urilor. Cele mai multe scrieri sunt de la participanți care evaluează un eveniment și explică cum au rezolvat provocările, dar rareori sunt oferite informații despre cele mai bune practici în desfășurarea unui eveniment. Drept urmare, el a spus că el și echipa sa au trebuit să facă o mulțime de muncă, creând provocări aproape de la zero.

„Comunitatea împărtășește în general o mulțime, așa că de ce nu împărtășim provocările CTF?” el spune. „Cred că putem face mai bine.”

În acel spirit de împărtășire a comunității de securitate, el împărtășește câteva lecții importante pe care echipa sa le-a preluat pe parcurs, astfel încât alții responsabili cu proiectarea CTF să poată învăța și înțelege din proces. Scopul lui este să organizeze din nou evenimentul și să se bazeze pe ceea ce au învățat anul trecut. El speră, de asemenea, că alții își vor împărtăși cele mai bune practici și chiar detalii tehnice, astfel încât întreaga comunitate de securitate să poată îmbunătăți calitatea CTF-urilor oferite.

Povestirea este cheia

Hwong says that his DEF CON Cloud Village team was very keen on crafting a storyline that was engaging and fun. He says he thought of the story as a movie script with realistic cyber scenarios built in. For the event they chose a theme of ‘Gnomes’ that was fun and funny. but it wasn’t just the storyline writing that was important but also how the technical challenges were planned within the story.

„Povestea spiridușilor și a gnomilor a cuprins totul, dar lucrul important a fost să vină la iveală scenarii rezonabile pe care le-ai putea întâlni ca profesionist în securitate, inclusiv căi de atac și apărări rezonabile pe care le-ai întâlni”, spune el. „Cu cât putem face asta mai mult ca designeri CTF, cu atât este mai bine pentru a învăța și este mai distractiv.”

Luați o abordare de dezvoltare software

Creatorii CTF ar trebui cu siguranță să adopte o abordare de dezvoltare software pentru a proiecta elementele tehnice ale provocării lor, recomandă Hwong.

„Trebuie să te gândești la proiectare, implementare și testare”, spune el, explicând că el și echipa sa au învățat la greu cât de dificil poate fi să testezi provocările într-un mediu complex CTF care poate fi manipulat de participanți în mai multe moduri. .

„Ceea ce s-a întâmplat – și voi lua vina în calitate de creator principal pentru că nu am ghidat testarea – este că am ratat trecerea la testare negativă, precum și verificările de viabilitate”, spune el. „O parte este că nu am avut suficient timp pentru a testa, așa că am continuat să blochez unele medii, deoarece provocarea era în curs, astfel încât unele dintre provocări să nu fie prea ușoare și să nu existe lacune. Cred că la un moment dat, timp de o oră sau două, am ajuns să fac ceva de nerezolvat la un anumit pas.”

Așadar, una dintre marile lecții pe care le-a învățat este că designerii CTF trebuie să aducă rigoarea dezvoltării de software la masă, care merge până la testare și munca de viabilitate.

Rigurozitate operațională... și puțină cofeină

Meticulozitatea în dezvoltarea de software nu este singura capacitate tehnică care trebuie să fie pusă în discuție. Echipajul care conduce un CTF are, de asemenea, nevoie de o rigoare operațională serioasă.

„Am avut niște oameni fabulosi care rulează serverele și conturile AWS și conturile Google și Azure și ne asigurăm că lucrurile continuă să funcționeze și că le monitorizăm”, spune el. „Toate chestiile astea trebuie gestionate. Și dacă îl ignori, ar putea însemna doar că lucrurile eșuează, se rup sau ai probleme de performanță.”

Una dintre problemele operaționale cu care s-au confruntat a fost că au experimentat o anumită coliziune între participanți și provocări, deoarece echipa funcționa cu o constrângere în sensul că nu puteau crea un mediu autonom pentru fiecare participant din AWS, Google și Azure.

„Pentru că a fost în același mediu, i-a ajutat în alte provocări și dacă aveți o provocare care necesită schimbarea mediului, atunci aveți oameni care se calcă în picioare, schimbând un obiect comun”, a spus el, explicând că el și el echipa a trebuit să resetați politicile pe măsură ce CTF-ul a avansat, astfel încât participanții să nu se întâlnească unul cu celălalt.

El și echipa sa încearcă să învețe din experiență pentru a găsi o metodă practică - din perspectiva timpului, efortului și cheltuielilor - pentru a oferi participanților un mediu cu adevărat izolat, fără a face întregul CTF mai puțin viabil, deoarece lucrurile se rup sau durează pentru totdeauna să se execute.

În cele din urmă, Hwong spune că pe frontul operațional, alergătorii CTF trebuie să fie atenți și la comunicarea constantă pe care vor trebui să o faciliteze între echipa lor și participanți.

„Am fost pe Discord după miezul nopții și îmi spuneam: „Am o discuție de ținut dimineața, vrei să te culci?”, a glumit Hwong, care a explicat că participanții vor avea întrebări și vor ping organizatorii pentru sfaturi și indicații la orice oră.

Proiectarea diferitelor niveluri de dificultate este dificilă

Obținerea corectă a nivelurilor de dificultate ale provocărilor și crearea unui sistem de punctaj corect pot fi mai dificile decât poate crede inițial un organizator CTF începător, a avertizat Hwong. El a explicat că câteva dintre nivelurile pe care echipa sa le-a proiectat ca fiind mai ușor de finalizat pentru participanți au fost mai dificil de finalizat decât anticipaseră, în timp ce unele dintre nivelurile mai provocatoare au fost finalizate cu succes de mai mulți participanți decât se așteptau.

Hand-in-hand with the difficulty leveling challenge is figuring out a scoring system that makes sense. After his experience at DEF CON, Hwong is a proponent of doing some kind of Bell Curve scoring system. But he says the problem isn’t as straightforward as instituting a curve. There’s also the issue of normalizing and balancing out the advantage that big CTF teams have in racking up challenge points—an issue that one of the participants provided him feedback about after the event.

„Deci, dacă provocările tale pot fi împărțite și făcute în paralel cu mai mulți jucători, dacă am 10 oameni, voi fi de 10 ori este rapid. Și deci există un avantaj”, spune el. „Ideea lui a fost un soi de punctaj dinamic nivelează-l puțin. Dacă sunt lucruri la care se pricepe cu adevărat, foarte bun, s-ar putea să fie singurul care le rezolvă și va obține maximum de puncte. Curba clopotului îl va recompensa în funcție de scară, nu contează neapărat dacă este ceva în timoneria lui de expertiză în termeni de 10 versus unu. Sunt niște lucruri discutabile aici pe care trebuie să le rezolvăm.”

O posibilitate este de a face provocările secvențiale, dar dezavantajul este că ar putea face CTF prea rigid și liniar și ar putea crea un blocaj sau dependențe care ar putea arunca în aer una sau mai multe provocări. Hwong spune că i-ar plăcea, de asemenea, să vadă mai multe CTF-uri recompensând participanții pentru tehnici cum ar fi cât de ascuns aceștia operează într-un mediu sau punctele de andocare dacă lasă prea multe urme și amprente digitale, și acesta este un domeniu pe care ar dori să-l exploreze în timp ce proiectează evenimente viitoare. .

Indiferent, totuși, scorul dinamic este ceva care ar putea atenua unele dintre problemele de nivelare și el și echipa sa urmăresc asta pentru anul care vine.

Echipele albastre au nevoie de provocări CTF mai distractive

După ce a lucrat la primul său CTF, Hwong crede tot mai mult că aceste evenimente nu fac suficient pentru a provoca și a implica cu adevărat participanții echipei albastre.

„Exercițiile echipei albastre tind să se desfășoare astfel: „Avem un mediu configurat greșit, cu multe vulnerabilități. Poți să le repari?””, spune el. ” Și ceea ce fac ei este doar să testeze dacă acele configurații sunt modificate sau nu sau dacă pot accesa această găleată publică. Și de îndată ce o faci privată, știm că l-ai reparat și primești puncte. Ar fi mult mai bine să faci lucruri pe deasupra, cum ar fi dacă ești compromis, dacă există un atacator în mediul tău, trebuie să-l găsești și să-i dai afară. Deci, aveți un incident în curs chiar acum și, atâta timp cât atacatorul este, are acreditări și atâta timp cât vor face lucruri, s-ar putea să îl puteți detecta. Aceasta este treaba ta ca participant. Și până nu le revoci accesul, nu rezolvi și nu obții maximum de puncte.”

Astfel de scenarii sunt mai greu de realizat, dar sunt mai realiste pentru apărători și vor face CTF-urile mai valoroase pentru ei, spune el, explicând că este pe radar pentru data viitoare.

CTF-urile au nevoie de mai multe componente proaspete și relevante.

Hwong also challenges CTF designers—and himself–to incorporate more fresh exploit and vulnerability information into their challenges. This was one of the things he wished he had more time to dive into in his first go at DEF CON Cloud Village and which he’s resolved to improve for next year.

“This is one of the areas where CTFs can be more of a learning and training tool,” he explains. “We would love to use relevant ideas and exploits fresh from researchers occurring earlier in the year or even presented at DEF CON.”

„Blocuri de bază” CTF pentru a îmbunătăți „reutilizarea”

În cele din urmă, una dintre cele mai mari lecții despre care Hwong spune că a învățat este că industria trebuie să găsească mai multe modalități de a crea componente reutilizabile pentru CTF, așa cum o fac dezvoltatorii de software pentru aplicații. El visează să ajute la organizarea unui depozit GitHub deschis de mici exerciții de cod care pot forma elementele de bază ale construirii unui CTF.

„Va trebui în continuare să-l personalizați și să adăugați propria întorsătură, dar ideea este să scoatem primele 60% din drum, astfel încât organizatorii CTF să se poată concentra pe lucruri cu adevărat noi. Astfel nimeni nu reinventează roata”, spune el. „Și apoi restul de 40% pot adăuga noi tehnici, scenarii și povești.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cloud-security/7-lessons-learned-from-designing-a-defcon-ctf