DEF CON Cloud Village CTF کی ڈیزائننگ سے سیکھے گئے 7 اسباق

DEF CON Cloud Village CTF کی ڈیزائننگ سے سیکھے گئے 7 اسباق

DEF CON Cloud Village CTF PlatoBlockchain ڈیٹا انٹیلی جنس کی ڈیزائننگ سے سیکھے گئے 7 اسباق۔ عمودی تلاش۔ عی

کیپچر دی فلیگ (CTF) ایونٹس تفریحی اور تعلیمی دونوں طرح کے ہوتے ہیں، جو سائبر سیکیورٹی کے پیشہ ور افراد کو تعمیری اور محفوظ ماحول میں نئے تصورات سیکھتے ہوئے اپنی ہیکنگ کی مہارتوں کو بہتر کرنے کا ایک طریقہ فراہم کرتے ہیں۔ اچھی طرح سے ڈیزائن کردہ CTFs افراد اور ٹیموں کو آپریشنل چیلنجوں، نئے حملے کے راستوں، اور تخلیقی منظرناموں سے روشناس کراتے ہیں جو بعد میں ان کے کام میں جارحانہ اور دفاعی سیکورٹی پروفیشنلز کے طور پر لاگو کیے جا سکتے ہیں۔

لیکن تمام CTFs برابر نہیں بنائے گئے ہیں، اور چیلنجوں کا سامنا کرنے کے علاوہ اور بھی بہت کچھ ہے جو ایک کامیاب CTF مقابلے کو ڈیزائن کرنے میں جاتا ہے۔ تکنیکی ڈیزائن کے چیلنجوں کے ساتھ ساتھ، ماحول کو ترتیب دینے اور حقیقت میں مقابلہ چلانے کے ساتھ آپریشنل غور و فکر بھی شامل ہے، ایک دل چسپ گیم کو ترتیب دینے کے لیے درکار تخلیقی منصوبہ بندی، اور چیلنجز کو گیمفائی کرنے سے متعلق تفصیلات پر غور کرنا، جیسے کہ اسکور کرنے کے طریقوں میں ٹریڈ آف۔ ڈھانچہ قائم ہے.

"ایک ڈیزائنر کے طور پر میں چاہتا ہوں کہ یہ [CTF] چیلنجنگ تفریح ​​ہو۔ میں ان لوگوں کو انعام دینا چاہتا ہوں جو ہوشیار ہیں، جو واقعی اس پر کام کرتے ہیں، اور جو مستقل مزاج ہیں،" جینکو ہوونگ کہتے ہیں، نیٹسکوپ کی تھریٹ ریسرچ لیبز ٹیم کے پرنسپل محقق اور گزشتہ سال کے DEF CON Cloud Village CTF کے لیے ٹیم لیڈر۔ "یہ ہمارے لیے عملی ہونا بھی ضروری ہے۔"

تفریحی اور عملی ذہنیت تھی جسے ہوونگ نے DEF CON CTF میں لایا، یہ ایک بہت بڑا کثیر روزہ معاملہ تھا جس میں 400 سے زیادہ افراد اور ٹیمیں اس چیلنج میں اپنا ہاتھ آزما رہی تھیں اور ایونٹ کو چلانے کے لیے 20 کی ٹیم اس کے ماتحت کام کر رہی تھی۔ ایک تجربہ کار محقق اور تجربہ کار CTF شریک، Hwong نے اس ایونٹ سے پہلے کبھی CTF نہیں چلایا تھا۔ ملازمت میں اپنی پہلی کوشش کے لیے ان کی سب سے بڑی امیدیں ایونٹ میں درپیش چیلنجوں کی مطابقت اور حقیقت پسندی کو برابر کرنا تھی، جو آج کل CTFs میں کبھی کبھار بگاڑ ثابت ہو سکتا ہے۔

"بعض اوقات ان CTFs میں آپ کو واقعی ایک مشکل چیلنج درپیش ہوتا ہے لیکن ایسا لگتا ہے کہ اس کا کیا فائدہ ہے؟ یہ ایک ڈکرپشن یا انکرپشن کا مسئلہ ہوگا، جہاں واقعہ ہوتا ہے، 'یہاں کچھ ہے، گڈ لک'، اور پھر آپ کو ان تمام ہپس سے کودنا پڑے گا جو حقیقت سے مکمل طور پر الگ نہیں ہوسکتے ہیں لیکن حقیقت میں کسی بڑے میں فٹ نہیں ہوتے ہیں۔ کہانی، "وہ کہتے ہیں. "لہذا، جب مجھے کال موصول ہوئی، تو میرا خیال تھا کہ 'آئیے کودتے ہیں، آئیے ایک اچھی کہانی اور چیلنجز کا ایک اچھا مجموعہ تلاش کریں جو مزے دار ہوں گے لیکن یہ بھی معنی خیز اور شاید تحقیقی رسائی کی جانچ کی حقیقی دنیا سے متعلق ہے، دفاعی اقدامات، حقیقی دنیا میں کیا ہو رہا ہے۔''

جیسا کہ اس نے اس پروجیکٹ میں کبوتر ڈالا، تاہم، ایک چیز اسے خاص طور پر چیلنجنگ لگی کہ CTFs کو چلانے کے بارے میں کتنی کم معلومات موجود ہیں۔ زیادہ تر تحریریں ان شرکاء کی طرف سے ہوتی ہیں جو کسی ایونٹ کی درجہ بندی کرتے ہیں اور یہ بتاتے ہیں کہ انہوں نے چیلنجز کو کیسے حل کیا، لیکن ایونٹ کو چلانے کے بہترین طریقوں کے بارے میں معلومات شاذ و نادر ہی پیش کی جاتی ہیں۔ نتیجے کے طور پر، انہوں نے کہا کہ انہیں اور ان کی ٹیم کو ایک ٹن کام کرنا پڑا جس سے تقریباً شروع سے ہی چیلنجز پیدا ہوئے۔

"کمیونٹی عام طور پر ایک ٹن شیئر کرتی ہے، تو ہم CTF چیلنجز کا اشتراک کیوں نہیں کر رہے؟" وہ کہتے ہیں. "مجھے لگتا ہے کہ ہم بہتر کر سکتے ہیں۔"

سیکیورٹی کمیونٹی کے اشتراک کے اس جذبے میں، وہ کچھ اہم اسباق شیئر کرتے ہیں جو اس کی ٹیم نے راستے میں اٹھائے تھے تاکہ CTF ڈیزائن کے انچارج اس عمل سے سیکھ سکیں اور سمجھ سکیں۔ اس کا مقصد ایونٹ کو دوبارہ چلانا اور پچھلے سال جو کچھ سیکھا اس پر استوار کرنا ہے۔ وہ یہ بھی امید کرتا ہے کہ دوسرے لوگ اپنے بہترین طریقوں، اور یہاں تک کہ تکنیکی تفصیلات بھی شیئر کریں گے، تاکہ پوری سیکیورٹی کمیونٹی پیش کیے جانے والے CTFs کے معیار کو بہتر بنا سکے۔

کہانی سنانا کلید ہے۔

ہوونگ کا کہنا ہے کہ اس کی DEF CON Cloud Village کی ٹیم ایک ایسی کہانی کی لکیر تیار کرنے میں بہت دلچسپی رکھتی تھی جو دل چسپ اور تفریحی ہو۔ ان کا کہنا ہے کہ اس نے کہانی کو ایک فلمی اسکرپٹ کے طور پر سوچا جس میں حقیقت پسندانہ سائبر منظرنامے بنائے گئے ہیں۔ ایونٹ کے لیے انہوں نے 'Gnomes' کی تھیم کا انتخاب کیا جو کہ مزے دار اور مضحکہ خیز تھا۔ لیکن یہ صرف کہانی لکھنا ہی اہم نہیں تھا بلکہ یہ بھی تھا کہ کہانی کے اندر تکنیکی چیلنجز کی منصوبہ بندی کیسے کی گئی تھی۔

وہ کہتے ہیں "گوبلن اور گنومز کی کہانی ہر چیز کے گرد لپٹی ہوئی تھی لیکن اہم بات یہ تھی کہ معقول منظرنامے سامنے آ رہے تھے جن کا سامنا ایک سیکورٹی پروفیشنل کے طور پر ہو سکتا ہے، بشمول حملے کے راستے اور مناسب دفاع جس کا آپ سامنا کریں گے،" وہ کہتے ہیں۔ "جتنا زیادہ ہم CTF ڈیزائنرز کے طور پر کر سکتے ہیں، یہ سیکھنے کے لیے اتنا ہی بہتر ہے اور CTF میں اتنا ہی مزہ آتا ہے۔"

سافٹ ویئر ڈویلپمنٹ اپروچ لیں۔

Hwong تجویز کرتا ہے کہ CTF تخلیق کاروں کو اپنے چیلنج کے تکنیکی عناصر کو ڈیزائن کرنے کے لیے یقینی طور پر سافٹ ویئر ڈویلپمنٹ کا طریقہ اختیار کرنا چاہیے۔

"آپ کو ڈیزائن، عمل درآمد اور جانچ کے بارے میں سوچنا پڑے گا،" وہ بتاتے ہوئے کہتے ہیں کہ انہوں نے اور ان کی ٹیم نے مشکل طریقے سے سیکھا ہے کہ ایک پیچیدہ CTF ماحول میں چیلنجز کو جانچنا کتنا مشکل ہو سکتا ہے جس میں شرکاء کے ذریعے متعدد طریقوں سے ہیرا پھیری کی جا سکتی ہے۔ .

"کیا ہوا — اور میں ٹیسٹنگ کی رہنمائی نہ کرنے کے لیے مرکزی تخلیق کار کے طور پر ذمہ داری قبول کروں گا — کیا ہم منفی ٹیسٹنگ پاس کے ساتھ ساتھ قابل عمل جانچ پڑتال سے محروم ہو گئے،" وہ کہتے ہیں۔ "اس کا ایک حصہ یہ ہے کہ ہمارے پاس ٹیسٹ کرنے کے لیے کافی وقت نہیں تھا، اس لیے میں کچھ ماحول کو بند کرنا جاری رکھے ہوئے تھا کیونکہ چیلنج چل رہا تھا اس لیے کچھ چیلنجز زیادہ آسان نہیں ہوں گے اور کوئی خامیاں نہیں تھیں۔ مجھے لگتا ہے کہ ایک یا دو گھنٹے کے لئے ایک موقع پر میں نے ایک خاص قدم پر ناقابل حل چیز بنا لی۔

لہذا، اس نے جو بڑا سبق سیکھا ہے ان میں سے ایک یہ ہے کہ CTF ڈیزائنرز کو سافٹ ویئر ڈویلپمنٹ کی سختی کو میز پر لانے کی ضرورت ہے جو جانچ اور قابل عمل کام کے ذریعے پوری طرح چلتی ہے۔

آپریشنل سختی… اور تھوڑا سا کیفین

سافٹ ویئر ڈویلپمنٹ میں احتیاط ہی واحد تکنیکی صلاحیت نہیں ہے جسے میز پر آنے کی ضرورت ہے۔ سی ٹی ایف چلانے والے عملے کو بھی کچھ سنجیدہ آپریشنل سختی کی ضرورت ہے۔

"ہمارے پاس کچھ شاندار لوگ تھے جو سرورز اور AWS اکاؤنٹس اور Google اور Azure اکاؤنٹس چلا رہے تھے اور اس بات کو یقینی بناتے تھے کہ چیزیں چلتی رہیں اور ہم چیزوں کی نگرانی کر رہے تھے،" وہ کہتے ہیں۔ "اس سب چیزوں کو سنبھالنا ہے۔ اور اگر آپ اسے نظر انداز کرتے ہیں، تو اس کا مطلب یہ ہو سکتا ہے کہ چیزیں ناکام ہو جائیں، ٹوٹ جائیں یا آپ کو کارکردگی کے مسائل ہوں۔

آپریشنل مسائل میں سے ایک جس کا ان کو سامنا کرنا پڑا وہ یہ تھا کہ انہیں شرکاء اور چیلنجوں کے درمیان کچھ ٹکراؤ کا سامنا کرنا پڑا، کیونکہ ٹیم ایک رکاوٹ کے ساتھ کام کر رہی تھی کہ وہ AWS، Google، اور Azure میں ہر شریک کے لیے ایک الگ ماحول پیدا نہیں کر سکتی تھی۔

"چونکہ یہ ایک ہی ماحول میں تھا، اس نے دوسرے چیلنجوں میں ان کی مدد کی اور اگر آپ کو کوئی چیلنج درپیش ہے جس کے لیے ماحول کو تبدیل کرنے کی ضرورت ہے تو آپ لوگوں کو ایک دوسرے کی انگلیوں پر قدم رکھنا ہے، ایک مشترکہ چیز کو تبدیل کرنا ہے،" انہوں نے وضاحت کرتے ہوئے کہا کہ وہ اور ان کے ٹیم کو پالیسیوں کو دوبارہ ترتیب دینا پڑا کیونکہ CTF آگے بڑھتا ہے تاکہ شرکاء ایک دوسرے سے نہ ملیں۔

وہ اور اس کی ٹیم تجربے سے سیکھنے کی کوشش کر رہے ہیں کہ ایک عملی طریقہ تلاش کریں — وقت، کوشش اور اخراجات کے تناظر سے — تاکہ شرکاء کو پورے CTF کو کم قابل عمل بنائے بغیر واقعی الگ تھلگ ماحول فراہم کیا جا سکے کیونکہ چیزیں ٹوٹ جاتی ہیں یا اس پر عمل درآمد میں ہمیشہ کے لیے وقت لگ جاتا ہے۔

آخر میں، ہوونگ کا کہنا ہے کہ آپریشنل فرنٹ پر CTF شو کے رنرز کو بھی مسلسل رابطے کا خیال رکھنا ہوگا جس کی انہیں اپنی ٹیم اور شرکاء کے درمیان سہولت فراہم کرنے کی ضرورت ہوگی۔

"میں آدھی رات کے بعد ڈسکارڈ پر تھا اور میں ایسا ہی ہوں، 'مجھے صبح دینے کے لیے بات کرنی ہے، کیا آپ سو جائیں گے؟'" ہوونگ نے مذاق میں کہا، جس نے وضاحت کی کہ شرکاء کے سوالات ہوں گے اور وہ جا رہے ہیں۔ ہر وقت ٹپس اور پوائنٹرز کے لیے منتظمین کو پنگ کرتے رہیں۔

مشکل کی مختلف سطحوں کو ڈیزائن کرنا مشکل ہے۔

ہوونگ نے خبردار کیا کہ چیلنجوں کی مشکل سطحوں کو درست کرنا اور ایک منصفانہ اسکورنگ سسٹم بنانا اس سے زیادہ مشکل ہوسکتا ہے جتنا کہ ایک نوزائیدہ CTF منتظم ابتدائی طور پر سوچ سکتا ہے۔ انہوں نے وضاحت کی کہ ان کی ٹیم نے جن سطحوں کو آسان بنایا تھا ان میں سے کچھ کو شرکاء کے لیے ان کی توقع سے زیادہ مکمل کرنا مشکل تھا، جب کہ کچھ زیادہ چیلنجنگ لیولز کو توقع سے زیادہ شرکاء نے کامیابی کے ساتھ مکمل کیا۔

مشکل برابر کرنے کے چیلنج کے ساتھ ہاتھ ملا کر ایک اسکورنگ سسٹم کا پتہ لگانا ہے جو سمجھ میں آتا ہے۔ DEF CON میں اپنے تجربے کے بعد، ہوونگ کسی قسم کا بیل کریو اسکورنگ سسٹم کرنے کا حامی ہے۔ لیکن ان کا کہنا ہے کہ مسئلہ اتنا سیدھا نہیں ہے جتنا کہ وکر قائم کرنا۔ چیلنج پوائنٹس کو حاصل کرنے میں بڑی سی ٹی ایف ٹیموں کو حاصل ہونے والے فائدے کو معمول پر لانے اور متوازن کرنے کا مسئلہ بھی ہے — ایک ایسا مسئلہ جس کے بارے میں شرکاء میں سے ایک نے اسے ایونٹ کے بعد فیڈ بیک فراہم کیا۔

"لہذا اگر آپ کے چیلنجز کو متوازی متعدد کھلاڑیوں میں تقسیم کیا جا سکتا ہے، اگر میرے پاس 10 لوگ ہوں تو میں 10 گنا تیز ہو جاؤں گا۔ اور اس طرح ایک فائدہ ہے، "وہ کہتے ہیں. "اس کا نقطہ کچھ متحرک اسکورنگ کی سطحوں کو تھوڑا سا تھا۔ اگر ایسی چیزیں ہیں جن میں وہ واقعی، واقعی اچھا ہے، تو وہ صرف وہی ہو سکتا ہے جو اسے حل کرتا ہے اور اسے زیادہ سے زیادہ پوائنٹس ملیں گے۔ گھنٹی کا منحنی خطوط اس کو انعام دے گا بمقابلہ پیمانے سے اس سے کوئی فرق نہیں پڑتا ہے کہ یہ 10 بمقابلہ ایک کے لحاظ سے اس کی مہارت کے وہیل ہاؤس میں کچھ ہے۔ یہاں کچھ قابل بحث چیزیں ہیں جن پر ہمیں کام کرنا ہے۔

ایک امکان چیلنجوں کو ترتیب وار بنانا ہے، لیکن اس کا منفی پہلو یہ ہے کہ یہ CTF کو بہت سخت اور لکیری بنا سکتا ہے، اور یہ ایک رکاوٹ یا انحصار پیدا کر سکتا ہے جو ایک یا زیادہ چیلنجوں کو اڑا سکتا ہے۔ ہوونگ کا کہنا ہے کہ وہ یہ دیکھنا بھی پسند کریں گے کہ مزید CTFs شرکاء کو تکنیکوں پر انعامات دیں جیسے کہ وہ ماحول میں کس طرح چپکے سے کام کرتے ہیں یا اگر وہ بہت زیادہ قدموں کے نشانات اور انگلیوں کے نشانات چھوڑ دیتے ہیں، اور یہ وہ علاقہ ہے جسے وہ تلاش کرنا چاہتا ہے جب وہ مستقبل کے واقعات کو ڈیزائن کرتا ہے۔ .

قطع نظر، اگرچہ، متحرک اسکورنگ ایک ایسی چیز ہے جو سطح بندی کے کچھ مسائل کو کم کر سکتی ہے اور وہ اور ان کی ٹیم آنے والے سال کے لیے اس کا تعاقب کر رہی ہے۔

بلیو ٹیموں کو مزید تفریحی CTF چیلنجز کی ضرورت ہے۔

اپنے پہلے CTF کے ذریعے کام کرنے کے بعد، Hwong کو یہ بھی یقین ہے کہ یہ ایونٹس بلیو ٹیم کے شرکاء کو چیلنج کرنے اور واقعی مشغول کرنے کے لیے کافی نہیں ہیں۔

"بلیو ٹیم کی مشقیں اس طرح ہوتی ہیں: 'ہمارے پاس بہت سے خطرات کے ساتھ ایک غلط کنفیگرڈ ماحول ہے۔ کیا آپ انہیں ٹھیک کر سکتے ہیں؟'' وہ کہتے ہیں۔ اور وہ کیا کرتے ہیں وہ صرف یہ جانچتے ہیں کہ آیا وہ کنفیگریشنز تبدیل ہوئی ہیں یا نہیں یا میں اس عوامی بالٹی تک رسائی حاصل کر سکتا ہوں۔ اور جیسے ہی آپ اسے نجی بناتے ہیں، ہم جانتے ہیں کہ آپ نے اسے ٹھیک کر دیا ہے اور آپ کو پوائنٹس ملتے ہیں۔ اس کے اوپر کام کرنا بہتر ہوگا، جیسے کہ اگر آپ سے سمجھوتہ کیا جاتا ہے، آپ کے ماحول میں کوئی حملہ آور ہے، آپ کو انہیں تلاش کرنا ہوگا اور انہیں باہر نکالنا ہوگا۔ لہذا آپ کے پاس ابھی ایک واقعہ چل رہا ہے، اور جب تک حملہ آور ہے، ان کے پاس اسناد ہیں اور جب تک وہ چیزیں کریں گے، آپ اس کا پتہ لگانے کے قابل ہو سکتے ہیں۔ یہ ایک شریک کے طور پر آپ کا کام ہے. اور جب تک آپ ان کی رسائی کو منسوخ نہیں کرتے، آپ اسے حل نہیں کرتے اور آپ کو زیادہ سے زیادہ پوائنٹس نہیں ملتے۔

اس قسم کے منظرناموں کو کرنا مشکل ہے لیکن وہ محافظوں کے لیے زیادہ حقیقت پسندانہ ہیں اور ان کے لیے CTFs کو زیادہ قیمتی بنا دیں گے، وہ بتاتے ہوئے کہتے ہیں کہ یہ اگلی بار ان کے ریڈار پر ہے۔

CTFs کو مزید تازہ اور متعلقہ اجزاء کی ضرورت ہے۔

Hwong CTF ڈیزائنرز کو بھی چیلنج کرتا ہے — اور اپنے آپ کو — ان کے چیلنجوں میں مزید تازہ استحصال اور کمزوری کی معلومات کو شامل کریں۔ یہ ان چیزوں میں سے ایک تھی جس کی اس کی خواہش تھی کہ اس کے پاس DEF CON Cloud Village میں اپنے پہلے سفر میں غوطہ لگانے کے لیے مزید وقت ہو اور جس میں اس نے اگلے سال بہتری لانے کا عزم کیا ہے۔

"یہ ان شعبوں میں سے ایک ہے جہاں CTFs سیکھنے اور تربیت کا زیادہ ذریعہ ہو سکتا ہے،" وہ بتاتے ہیں۔ "ہم سال کے شروع میں ہونے والے یا یہاں تک کہ DEF CON میں پیش کیے گئے محققین کے متعلقہ خیالات اور کارناموں کو استعمال کرنا پسند کریں گے۔"

CTF 'بلڈنگ بلاکس' 'دوبارہ قابل استعمال' کو بہتر بنانے کے لیے

آخر میں، ہوونگ کا کہنا ہے کہ اس نے سیکھا سب سے بڑا سبق یہ ہے کہ صنعت کو CTF کے لیے دوبارہ قابل استعمال اجزاء بنانے کے لیے مزید طریقے تلاش کرنے کی ضرورت ہے جس طرح سافٹ ویئر ڈویلپرز ایپلی کیشنز کے لیے کرتے ہیں۔ اس کے خواب ہیں کہ وہ کوڈ میں چھوٹی مشقوں کے ایک کھلے GitHub ذخیرے کو منظم کرنے میں مدد کرے جو CTF کی تعمیر کے بنیادی بلاکس کو تشکیل دے سکے۔

"آپ کو ابھی بھی اسے اپنی مرضی کے مطابق بنانا ہوگا اور اپنا موڑ شامل کرنا ہوگا، لیکن خیال یہ ہے کہ آئیے پہلے 60% کو راستے سے ہٹا دیں تاکہ CTF منتظمین واقعی نئی چیزوں پر توجہ مرکوز کرسکیں۔ اس طرح کوئی بھی پہیے کو دوبارہ نہیں بنا رہا ہے،" وہ کہتے ہیں۔ "اور پھر بقیہ 40٪ نئی تکنیکوں، منظرناموں اور کہانیوں کو شامل کر سکتے ہیں۔"

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا