7 lekcij, pridobljenih pri oblikovanju DEF CON Cloud Village CTF

Dogodki Capture the Flag (CTF) so zabavni in poučni ter strokovnjakom za kibernetsko varnost ponujajo način, da razvijejo svoje veščine vdiranja, medtem ko se učijo novih konceptov v konstruktivnem in varnem okolju. Dobro zasnovani CTF izpostavijo posameznike in ekipe operativnim izzivom, novim potem napadov in ustvarjalnim scenarijem, ki jih lahko kasneje uporabijo pri svojem delu tako kot ofenzivni in defenzivni varnostni strokovnjaki.

Vendar niso vsi CTF-ji ustvarjeni enaki in pri oblikovanju uspešnega CTF-tekmovanja je veliko več, kot le predstavljanje izzivov. Poleg izzivov tehnične zasnove obstajajo tudi operativni vidiki, povezani z nastavitvijo okolja in dejanskim vodenjem tekmovanja, kreativnim načrtovanjem, potrebnim za postavitev privlačne igre, in upoštevanjem podrobnosti, povezanih z igranjem izzivov, kot so kompromisi pri točkovanju. struktura je postavljena.

“As a designer I want it [the CTF] to be challenging fun. I want to reward people who are clever, who really work at it, and who are persistent,” says Jenko Hwong, principal researcher on Netskope’s Threat Research Labs team and team leader for last year’s DEF CON Cloud Village CTF. “It also has to be practical for us to carry out.”

Fun and practical was the mindset that Hwong brought to the DEF CON CTF, a massive multi-day affair that had over 400 individuals and teams trying their hands at the challenge and a team of 20 working under him to run the event. A veteran researcher and seasoned CTF participant, Hwong had never run a CTF before this event. One of his biggest hopes for his first try at the job was to level up the relevancy and realism of the challenges in the event, which can sometimes be a bugaboo in CTFs today.

»Včasih v teh CTF-jih dobiš res težek izziv, ampak kaj je smisel tega? To bo težava pri dešifriranju ali šifriranju, kjer gre dogodek: 'Tu je nekaj, veliko sreče', nato pa morate skočiti skozi vse te obroče, ki morda niso popolnoma ločeni od realnosti, vendar se v resnici ne prilegajo večjemu zgodbo,« pravi. »Torej, ko sem prejel klic, sem mislil: 'vskočimo, pogruntajmo dobro zgodbo in dober nabor izzivov, ki bodo zabavni, a tudi smiselni in morda povezani z resničnim svetom raziskovalnega penetracijskega testiranja, obrambni ukrepi, kaj se dogaja v resničnem svetu.'«

Ko se je poglobil v projekt, se mu je zdela še posebej težavna stvar, kako malo je informacij o izvajanju CTF-jev. Večina zapisov je od udeležencev, ki ocenjujejo dogodek in razložijo, kako so rešili izzive, le redko pa so na voljo informacije o najboljših praksah pri vodenju dogodka. Posledično je dejal, da sta morala on in njegova ekipa opraviti ogromno dela in ustvarjati izzive skoraj iz nič.

"Skupnost si na splošno deli veliko, zakaj si torej ne delimo izzivov CTF?" on reče. "Mislim, da smo lahko boljši."

V tem duhu delitve varnostne skupnosti deli nekaj pomembnih lekcij, ki jih je njegova ekipa pobrala na poti, tako da se lahko drugi, odgovorni za oblikovanje CTF, naučijo in razumejo iz procesa. Njegov cilj je ponovno izvesti dogodek in nadgraditi tisto, kar so se naučili lani. Upa tudi, da bodo drugi delili svoje najboljše prakse in celo tehnične podrobnosti, tako da lahko celotna varnostna skupnost izboljša kakovost ponujenih CTF-jev.

Pripovedovanje zgodb je ključno

Hwong says that his DEF CON Cloud Village team was very keen on crafting a storyline that was engaging and fun. He says he thought of the story as a movie script with realistic cyber scenarios built in. For the event they chose a theme of ‘Gnomes’ that was fun and funny. but it wasn’t just the storyline writing that was important but also how the technical challenges were planned within the story.

»Zgodba o goblinih in gnomih je bila ovita okoli vsega, a pomembno je bilo, da so se pojavili razumni scenariji, na katere bi lahko naleteli kot strokovnjak za varnost, vključno s potmi napadov in razumnimi obrambami, na katere bi naleteli,« pravi. "Več kot lahko to storimo kot oblikovalci CTF, bolje je za učenje in bolj zabaven je CTF."

Uporabite pristop k razvoju programske opreme

Ustvarjalci CTF bi morali pri oblikovanju tehničnih elementov svojega izziva zagotovo uporabiti pristop razvoja programske opreme, priporoča Hwong.

»Pomisliti morate na oblikovanje, izvedbo in testiranje,« pravi in ​​pojasnjuje, da sta se on in njegova ekipa na težji način naučila, kako težko je lahko preizkušati izzive v zapletenem okolju CTF, s katerim lahko udeleženci manipulirajo na številne načine. .

»Kar se je zgodilo – in jaz bom kot glavni ustvarjalec prevzel krivdo, ker nisem vodil testiranja – je, da smo zgrešili negativno opravljeno testiranje in tudi preverjanja sposobnosti preživetja,« pravi. »Delno je to, da nismo imeli dovolj časa za testiranje, zato sem še naprej zaklepal nekatera okolja, ko je bil izziv v teku, da nekateri izzivi ne bi bili prelahki in da ni bilo nobenih vrzeli. Mislim, da sem na neki točki za uro ali dve na koncu naredil nekaj nerešljivega na določenem koraku.«

Torej, ena od velikih lekcij, ki se jih je naučil, je, da morajo oblikovalci CTF-ja na mizo prinesti strogost razvoja programske opreme, ki gre vse skozi testiranje in delo na področju preživetja.

Operativna strogost ... in malo kofeina

Natančnost pri razvoju programske opreme ni edina tehnična zmogljivost, ki mora priti na mizo. Posadka, ki upravlja CTF, prav tako potrebuje resno operativno strogost.

»Imeli smo nekaj čudovitih ljudi, ki so vodili strežnike in račune AWS ter računa Google in Azure ter skrbeli, da so stvari delovale naprej in da smo stvari spremljali,« pravi. »Vse te stvari je treba obravnavati. In če ga ignorirate, lahko pomeni, da stvari ne uspejo, se pokvarijo ali imate težave z zmogljivostjo.«

Ena od operativnih težav, na katero so naleteli, je bila, da so doživeli nekaj kolizije med udeleženci in izzivi, saj je ekipa delovala z omejitvijo, saj ni mogla ustvariti samostojnega okolja za vsakega udeleženca v AWS, Googlu in Azure.

»Ker je bilo v istem okolju, jim je pomagalo pri drugih izzivih in če imate izziv, ki zahteva spremembo okolja, potem imate ljudi, ki si stopijo na prste in spremenijo skupni predmet,« je dejal in pojasnil, da sta on in njegov ekipa je morala ponastaviti pravilnike, ko se je CTF premikal naprej, da udeleženci ne bi naleteli drug na drugega.

On in njegova ekipa se poskušata učiti iz izkušenj, da bi ugotovili praktično metodo – z vidika časa, truda in stroškov – da bi udeležencem omogočili resnično izolirano okolje, ne da bi bil celoten CTF manj uspešen, ker se stvari pokvarijo ali traja večno, da se izvedejo.

Nazadnje Hwong pravi, da morajo biti tekmovalci CTF showov na operativni fronti pozorni tudi na nenehno komunikacijo, ki jo bodo morali omogočiti med svojo ekipo in udeleženci.

»Po polnoči sem bil na Discordu in sem si rekel, 'Zjutraj moram govoriti, bi šel spat?'« se je pošalil Hwong, ki je pojasnil, da bodo udeleženci imeli vprašanja in da bodo ves čas kličite organizatorje za nasvete in napotke.

Oblikovanje različnih težavnostnih stopenj je težko

Hwong je opozoril, da je pravilno določiti težavnostne stopnje izzivov in ustvariti pravičen sistem točkovanja, kar je morda težje, kot si začetnik organizator CTF sprva misli. Pojasnil je, da je bilo nekaj stopenj, ki jih je njegova ekipa zasnovala kot lažje, za udeležence težje dokončati, kot so pričakovali, medtem ko je nekatere zahtevnejše stopnje uspešno končalo več udeležencev, kot je bilo pričakovano.

Hand-in-hand with the difficulty leveling challenge is figuring out a scoring system that makes sense. After his experience at DEF CON, Hwong is a proponent of doing some kind of Bell Curve scoring system. But he says the problem isn’t as straightforward as instituting a curve. There’s also the issue of normalizing and balancing out the advantage that big CTF teams have in racking up challenge points—an issue that one of the participants provided him feedback about after the event.

»Torej, če je mogoče vaše izzive razdeliti in opraviti vzporedno z več igralci, če imam 10 ljudi, bom 10-krat hiter. In tako obstaja prednost,« pravi. »Njegova poanta je bila neke vrste dinamično točkovanje, ki ga nekoliko izravna. Če so stvari, v katerih je res zelo dober, je morda edini, ki to reši in bo dobil največ točk. Zvonasta krivulja ga bo nagradila v primerjavi z lestvico, ni nujno pomembno, če gre za nekaj v njegovem strokovnem prostoru v smislu 10 proti ena. Tukaj je nekaj spornih stvari, ki jih moramo rešiti."

Ena od možnosti je, da izzive naredite zaporedne, vendar je slaba stran tega, da bi CTF lahko postal preveč tog in linearen, kar bi lahko povzročilo ozko grlo ali odvisnosti, ki bi lahko razstrelile enega ali več izzivov. Hwong pravi, da bi prav tako rad videl, da več CTF-jev nagrajuje udeležence za tehnike, kot je, kako prikrito delujejo v okolju ali priklopne točke, če pustijo preveč sledi in prstnih odtisov, in to je področje, ki bi ga rad raziskal, ko načrtuje prihodnje dogodke. .

Ne glede na to pa je dinamično točkovanje nekaj, kar bi lahko ublažilo nekatere težave z izravnavo, in on in njegova ekipa si prizadevata za to v prihodnjem letu.

Modre ekipe potrebujejo več zabavnih CTF izzivov

Po tem, ko je opravil svoj prvi CTF, Hwong prav tako vedno bolj verjame, da ti dogodki ne naredijo dovolj za izziv in resnično angažiranje udeležencev modre ekipe.

»Vaje modre ekipe gredo takole: 'Imamo napačno konfigurirano okolje z veliko ranljivostmi. Jih lahko greš popraviti?'« pravi. ” In samo preizkusijo, ali so te konfiguracije spremenjene ali ne, ali lahko dostopam do tega javnega vedra. In takoj, ko ga naredite zasebnega, vemo, da ste ga popravili, in dobite točke. Veliko bolje bi bilo, če bi poleg tega naredili stvari, na primer kaj, če ste ogroženi, je v vašem okolju napadalec, ki ga morate najti in izgnati. Torej imate incident, ki se trenutno dogaja, in dokler napadalec obstaja, ima poverilnice in dokler bo nekaj naredil, ga boste morda lahko odkrili. To je vaša naloga kot udeleženca. In dokler jim ne prekličete dostopa, tega ne rešite in ne dobite največ točk.”

Takšne scenarije je težje izvesti, vendar so bolj realistični za branilce in bodo naredili CTF-je zanje bolj dragocene, pravi in ​​pojasnjuje, da bo to naslednjič na njegovem radarju.

CTF-ji potrebujejo več svežih in ustreznih komponent.

Hwong also challenges CTF designers—and himself–to incorporate more fresh exploit and vulnerability information into their challenges. This was one of the things he wished he had more time to dive into in his first go at DEF CON Cloud Village and which he’s resolved to improve for next year.

“This is one of the areas where CTFs can be more of a learning and training tool,” he explains. “We would love to use relevant ideas and exploits fresh from researchers occurring earlier in the year or even presented at DEF CON.”

CTF 'Gradniki' za izboljšanje 'ponovne uporabe'

Nazadnje, ena največjih lekcij, kot pravi Hwong, je, da mora industrija najti več načinov za ustvarjanje komponent za večkratno uporabo za CTF, tako kot razvijalci programske opreme za aplikacije. Sanja o pomoči pri organizaciji odprtega repozitorija GitHub z majhnimi vajami v kodi, ki lahko tvorijo gradnike za gradnjo CTF.

»Še vedno ga boste morali prilagoditi in dodati svoj pridih, toda ideja je, da odstranimo prvih 60 %, da se bodo organizatorji CTF lahko osredotočili na resnično nove stvari. Tako nihče ne izumlja kolesa,« pravi. "In potem lahko preostalih 40% dodaja nove tehnike, scenarije in zgodbe."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/cloud-security/7-lessons-learned-from-designing-a-defcon-ctf