7 уроків, отриманих під час проектування DEF CON Cloud Village CTF

7 уроків, отриманих під час проектування DEF CON Cloud Village CTF

Мітка часу: 10 січня 2024 р. 8:00
7 Lessons Learned From Designing DEF CON Cloud Village CTF PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Події Capture the Flag (CTF) є водночас веселими та освітніми, вони дають професіоналам із кібербезпеки спосіб вдосконалити свої навички хакерства, вивчаючи нові концепції в конструктивному та безпечному середовищі. Добре розроблені CTF наражають окремих осіб і команди на оперативні виклики, нові шляхи атак і креативні сценарії, які згодом можуть бути застосовані в їхній роботі в якості професіоналів у сфері безпеки як у наступальних, так і в захисних сферах.

Але не всі CTF створені рівними, і для розробки успішного змагання CTF потрібно набагато більше, ніж просто поставити завдання. Разом із проблемами технічного дизайну існують також робочі міркування, пов’язані з налаштуванням середовища та фактичним проведенням змагань, креативним плануванням, необхідним для створення захоплюючої гри, та врахуванням деталей, пов’язаних із гейміфікацією викликів, таких як компроміси під час підрахунку балів. структура налаштована.

“As a designer I want it [the CTF] to be challenging fun. I want to reward people who are clever, who really work at it, and who are persistent,” says Jenko Hwong, principal researcher on Netskope’s Threat Research Labs team and team leader for last year’s DEF CON Cloud Village CTF. “It also has to be practical for us to carry out.”

Fun and practical was the mindset that Hwong brought to the DEF CON CTF, a massive multi-day affair that had over 400 individuals and teams trying their hands at the challenge and a team of 20 working under him to run the event. A veteran researcher and seasoned CTF participant, Hwong had never run a CTF before this event. One of his biggest hopes for his first try at the job was to level up the relevancy and realism of the challenges in the event, which can sometimes be a bugaboo in CTFs today.

«Іноді в цих CTF ви отримуєте справді важкі виклики, але здається, який у цьому сенс? Це буде проблема дешифрування чи шифрування, де подія звучить так: "Ось щось, бажаю удачі", а потім вам доведеться проскочити через усі ці обручі, які можуть бути не повністю відірвані від реальності, але насправді не вписуються в більшу сюжет", - каже він. «Отже, коли мені зателефонували, я подумав: «Давайте приєднаємось, давайте придумаємо гарну історію та хороший набір завдань, які будуть веселими, але також матимуть сенс і, можливо, стосуватимуться реального світу дослідницького тестування на проникнення, оборонні заходи, що відбувається в реальному світі».

Однак, коли він занурився в проект, одна річ, яку він виявив особливо складною, полягає в тому, як мало інформації про роботу CTF. Більшість записів надходять від учасників, які оцінюють подію та пояснюють, як вони вирішували завдання, але рідко надається інформація про найкращі практики проведення події. У результаті він сказав, що йому та його команді довелося виконати масу роботи, створюючи проблеми майже з нуля.

«Спільнота зазвичай ділиться багатьма, тож чому б нам не поділитися викликами CTF?» він каже. «Я думаю, що ми можемо зробити краще».

У цьому дусі спільноти безпеки він ділиться деякими важливими уроками, отриманими його командою на цьому шляху, щоб інші, відповідальні за розробку CTF, могли навчитися та зрозуміти цей процес. Його мета — знову провести захід і ґрунтуватися на тому, чого вони навчилися минулого року. Він також сподівається, що інші поділяться своїм передовим досвідом і навіть технічними деталями, щоб уся спільнота безпеки могла покращити якість пропонованих CTF.

Розповідь – це ключ

Hwong says that his DEF CON Cloud Village team was very keen on crafting a storyline that was engaging and fun. He says he thought of the story as a movie script with realistic cyber scenarios built in. For the event they chose a theme of ‘Gnomes’ that was fun and funny. but it wasn’t just the storyline writing that was important but also how the technical challenges were planned within the story.

«Сюжетна лінія про гоблінів і гномів охоплювала все, але найважливішим було розробити розумні сценарії, з якими ви можете зіткнутися як професіонал безпеки, зокрема шляхи атак і розумні засоби захисту, з якими ви можете зіткнутися», — каже він. «Чим більше ми можемо робити це як дизайнери CTF, тим краще це для навчання і тим веселіше буде CTF».

Використовуйте підхід до розробки програмного забезпечення

Хвонг рекомендує, що розробникам CTF варто застосувати підхід до розробки програмного забезпечення для розробки технічних елементів свого завдання.

«Потрібно подумати про дизайн, реалізацію та тестування», — каже він, пояснюючи, що він і його команда на важкому шляху зрозуміли, наскільки складним може бути тестування завдань у складному середовищі CTF, яким учасники можуть маніпулювати різними способами. .

«Те, що сталося — і я візьму на себе провину як провідний творець за те, що не керував тестуванням — ми пропустили негативний результат тестування, а також перевірку життєздатності», — каже він. «Частково це пов’язано з тим, що у нас не було достатньо часу для тестування, тому я продовжував блокувати деякі середовища під час змагання, щоб деякі з завдань не були надто легкими та не було лазівок. Я думаю, що в один момент протягом години чи двох я закінчив тим, що зробив щось нерозв’язне на певному етапі».

Таким чином, один із важливих уроків, які він засвоїв, полягає в тому, що дизайнери CTF повинні привнести в розробку програмного забезпечення суворість, яка проходить весь шлях через тестування та роботу з життєздатності.

Оперативна суворість…і трохи кофеїну

Ретельність у розробці програмного забезпечення — не єдина технічна можливість, яка має бути представлена. Екіпаж, який керує CTF, також потребує серйозної оперативної суворості.

«У нас були чудові люди, які керували серверами й обліковими записами AWS, обліковими записами Google і Azure і стежили за тим, щоб усе працювало, а ми стежили за процесом», — каже він. «З усіма цими речами потрібно працювати. І якщо ви проігноруєте це, це може означати, що речі вийдуть з ладу, зламаються або у вас проблеми з продуктивністю».

Одна з операційних проблем, з якою вони зіткнулися, полягала в тому, що вони зазнали певного зіткнення між учасниками та проблемами, оскільки команда працювала з обмеженнями, оскільки вони не могли створити автономне середовище для кожного учасника в AWS, Google і Azure.

«Оскільки це було в одному середовищі, це допомогло їм в інших викликах, і якщо у вас є виклик, який вимагає зміни середовища, тоді люди наступають один одному на пальці, змінюючи спільний об’єкт», – сказав він, пояснивши, що він і його команді довелося скинути правила під час просування CTF, щоб учасники не зіткнулися один з одним.

Він і його команда намагаються навчитися на досвіді, щоб знайти практичний метод — з точки зору часу, зусиль і витрат — надати учасникам справді ізольоване середовище, не роблячи весь CTF менш життєздатним, оскільки речі ламаються або виконуються вічно.

Насамкінець, Хвонг каже, що на робочому фронті організатори шоу CTF також повинні пам’ятати про постійний зв’язок, який вони повинні підтримувати між своєю командою та учасниками.

«Я був на Discord після півночі, і я питаю: «Я маю виступити зранку, чи не підете спати?», — пожартував Хвонг, який пояснив, що учасники матимуть запитання, і вони збираються будь-коли дзвоніть організаторам, щоб отримати поради та вказівки.

Розробляти різні рівні складності важко

Правильно визначити рівні складності завдань і створити справедливу систему підрахунку очок може бути важче, ніж новачок-організатор CTF може спочатку подумати, попередив Хвонг. Він пояснив, що кілька рівнів, які його команда розробила як простіші, учасникам було складніше пройти, ніж вони очікували, тоді як деякі складніші рівні успішно пройшли більша кількість учасників, ніж очікувалося.

Hand-in-hand with the difficulty leveling challenge is figuring out a scoring system that makes sense. After his experience at DEF CON, Hwong is a proponent of doing some kind of Bell Curve scoring system. But he says the problem isn’t as straightforward as instituting a curve. There’s also the issue of normalizing and balancing out the advantage that big CTF teams have in racking up challenge points—an issue that one of the participants provided him feedback about after the event.

«Тож якщо ваші виклики можна розділити та виконувати паралельно кількома гравцями, якщо у мене 10 людей, я буду 10 разів швидко. І тому є перевага», – каже він. «Його думка полягала в тому, що він трохи нівелює динаміку. Якщо є речі, в яких він дійсно, дуже хороший, він може бути єдиним, хто вирішить це, і він отримає максимальну кількість балів. Дзвоноподібна крива винагородить його в порівнянні з масштабом, не обов’язково має значення, якщо це щось у його рубці досвіду з точки зору 10 проти одного. Тут є деякі спірні речі, над якими ми повинні працювати».

Однією з можливостей є послідовність викликів, але недоліком цього є те, що це може зробити CTF надто жорстким і лінійним, і це може створити вузьке місце або залежності, які можуть підірвати одне або більше завдань. Хвонг каже, що він також хотів би бачити, як більше CTF винагороджують учасників за такі методи, як те, наскільки непомітно вони діють у середовищі або точки стикування, якщо залишають занадто багато слідів і відбитків пальців, і це область, яку він хотів би вивчити, коли планує майбутні події .

Незважаючи на це, динамічний підрахунок очок — це те, що могло б полегшити деякі проблеми вирівнювання, і він і його команда прагнуть до цього в наступному році.

Синій команді потрібно більше веселих викликів CTF

Після роботи над своїм першим CTF Хвонг також все більше вірить, що ці події недостатньо допомагають кинути виклик і залучити учасників синьої команди.

«Вправи синьої команди, як правило, виглядають так: «У нас неправильно налаштоване середовище з великою кількістю вразливостей». Чи можете ви піти їх полагодити?», — каже він. І вони просто перевіряють, чи змінилися ці конфігурації чи ні, чи можу я отримати доступ до цього публічного відра. І щойно ви зробите це приватним, ми знаємо, що ви це виправили, і ви отримаєте бали. Було б набагато краще зробити щось на додачу до цього, наприклад, що, якщо ви скомпрометовані, у вашому оточенні є зловмисник, ви повинні знайти його та вигнати. Отже, у вас зараз відбувається інцидент, і поки зловмисник є, у нього є облікові дані, і поки він буде щось робити, ви можете його виявити. Це ваша робота як учасника. І поки ви не відкликаєте їхній доступ, ви не розв’яжете це питання й не отримаєте максимальну кількість балів».

Такі сценарії важче реалізувати, але вони більш реалістичні для захисників і зроблять CTF більш цінними для них, каже він, пояснюючи, що це буде на його радарі наступного разу.

CTF потребують більше свіжих і актуальних компонентів.

Hwong also challenges CTF designers—and himself–to incorporate more fresh exploit and vulnerability information into their challenges. This was one of the things he wished he had more time to dive into in his first go at DEF CON Cloud Village and which he’s resolved to improve for next year.

“This is one of the areas where CTFs can be more of a learning and training tool,” he explains. “We would love to use relevant ideas and exploits fresh from researchers occurring earlier in the year or even presented at DEF CON.”

CTF «Будівельні блоки» для покращення «повторного використання»

Нарешті, один із найбільших уроків Хвонга, який він засвоїв, полягає в тому, що індустрії потрібно знайти більше способів створення багаторазових компонентів для CTF, як це роблять розробники програмного забезпечення для програм. Він мріє допомогти організувати відкрите сховище GitHub з невеликими вправами в коді, які можуть стати будівельними блоками для побудови CTF.

«Вам все одно доведеться налаштувати це та додати власну родзинку, але ідея полягає в тому, що давайте приберемо перші 60%, щоб організатори CTF могли зосередитися на дійсно нових речах. Таким чином ніхто не винаходить колесо», – каже він. «І тоді решта 40% можуть додавати нові техніки, сценарії та сюжетні лінії».

Часова мітка:

Більше від Темне читання