DEF CON Cloud Village CTF کی ڈیزائننگ سے سیکھے گئے 7 اسباق

DEF CON Cloud Village CTF کی ڈیزائننگ سے سیکھے گئے 7 اسباق

ٹائم سٹیمپ: 10 جنوری 2024 8:00 PM
7 Lessons Learned From Designing DEF CON Cloud Village CTF PlatoBlockchain Data Intelligence. Vertical Search. Ai.

کیپچر دی فلیگ (CTF) ایونٹس تفریحی اور تعلیمی دونوں طرح کے ہوتے ہیں، جو سائبر سیکیورٹی کے پیشہ ور افراد کو تعمیری اور محفوظ ماحول میں نئے تصورات سیکھتے ہوئے اپنی ہیکنگ کی مہارتوں کو بہتر کرنے کا ایک طریقہ فراہم کرتے ہیں۔ اچھی طرح سے ڈیزائن کردہ CTFs افراد اور ٹیموں کو آپریشنل چیلنجوں، نئے حملے کے راستوں، اور تخلیقی منظرناموں سے روشناس کراتے ہیں جو بعد میں ان کے کام میں جارحانہ اور دفاعی سیکورٹی پروفیشنلز کے طور پر لاگو کیے جا سکتے ہیں۔

لیکن تمام CTFs برابر نہیں بنائے گئے ہیں، اور چیلنجوں کا سامنا کرنے کے علاوہ اور بھی بہت کچھ ہے جو ایک کامیاب CTF مقابلے کو ڈیزائن کرنے میں جاتا ہے۔ تکنیکی ڈیزائن کے چیلنجوں کے ساتھ ساتھ، ماحول کو ترتیب دینے اور حقیقت میں مقابلہ چلانے کے ساتھ آپریشنل غور و فکر بھی شامل ہے، ایک دل چسپ گیم کو ترتیب دینے کے لیے درکار تخلیقی منصوبہ بندی، اور چیلنجز کو گیمفائی کرنے سے متعلق تفصیلات پر غور کرنا، جیسے کہ اسکور کرنے کے طریقوں میں ٹریڈ آف۔ ڈھانچہ قائم ہے.

“As a designer I want it [the CTF] to be challenging fun. I want to reward people who are clever, who really work at it, and who are persistent,” says Jenko Hwong, principal researcher on Netskope’s Threat Research Labs team and team leader for last year’s DEF CON Cloud Village CTF. “It also has to be practical for us to carry out.”

Fun and practical was the mindset that Hwong brought to the DEF CON CTF, a massive multi-day affair that had over 400 individuals and teams trying their hands at the challenge and a team of 20 working under him to run the event. A veteran researcher and seasoned CTF participant, Hwong had never run a CTF before this event. One of his biggest hopes for his first try at the job was to level up the relevancy and realism of the challenges in the event, which can sometimes be a bugaboo in CTFs today.

"بعض اوقات ان CTFs میں آپ کو واقعی ایک مشکل چیلنج درپیش ہوتا ہے لیکن ایسا لگتا ہے کہ اس کا کیا فائدہ ہے؟ یہ ایک ڈکرپشن یا انکرپشن کا مسئلہ ہوگا، جہاں واقعہ ہوتا ہے، 'یہاں کچھ ہے، گڈ لک'، اور پھر آپ کو ان تمام ہپس سے کودنا پڑے گا جو حقیقت سے مکمل طور پر الگ نہیں ہوسکتے ہیں لیکن حقیقت میں کسی بڑے میں فٹ نہیں ہوتے ہیں۔ کہانی، "وہ کہتے ہیں. "لہذا، جب مجھے کال موصول ہوئی، تو میرا خیال تھا کہ 'آئیے کودتے ہیں، آئیے ایک اچھی کہانی اور چیلنجز کا ایک اچھا مجموعہ تلاش کریں جو مزے دار ہوں گے لیکن یہ بھی معنی خیز اور شاید تحقیقی رسائی کی جانچ کی حقیقی دنیا سے متعلق ہے، دفاعی اقدامات، حقیقی دنیا میں کیا ہو رہا ہے۔''

جیسا کہ اس نے اس پروجیکٹ میں کبوتر ڈالا، تاہم، ایک چیز اسے خاص طور پر چیلنجنگ لگی کہ CTFs کو چلانے کے بارے میں کتنی کم معلومات موجود ہیں۔ زیادہ تر تحریریں ان شرکاء کی طرف سے ہوتی ہیں جو کسی ایونٹ کی درجہ بندی کرتے ہیں اور یہ بتاتے ہیں کہ انہوں نے چیلنجز کو کیسے حل کیا، لیکن ایونٹ کو چلانے کے بہترین طریقوں کے بارے میں معلومات شاذ و نادر ہی پیش کی جاتی ہیں۔ نتیجے کے طور پر، انہوں نے کہا کہ انہیں اور ان کی ٹیم کو ایک ٹن کام کرنا پڑا جس سے تقریباً شروع سے ہی چیلنجز پیدا ہوئے۔

"کمیونٹی عام طور پر ایک ٹن شیئر کرتی ہے، تو ہم CTF چیلنجز کا اشتراک کیوں نہیں کر رہے؟" وہ کہتے ہیں. "مجھے لگتا ہے کہ ہم بہتر کر سکتے ہیں۔"

سیکیورٹی کمیونٹی کے اشتراک کے اس جذبے میں، وہ کچھ اہم اسباق شیئر کرتے ہیں جو اس کی ٹیم نے راستے میں اٹھائے تھے تاکہ CTF ڈیزائن کے انچارج اس عمل سے سیکھ سکیں اور سمجھ سکیں۔ اس کا مقصد ایونٹ کو دوبارہ چلانا اور پچھلے سال جو کچھ سیکھا اس پر استوار کرنا ہے۔ وہ یہ بھی امید کرتا ہے کہ دوسرے لوگ اپنے بہترین طریقوں، اور یہاں تک کہ تکنیکی تفصیلات بھی شیئر کریں گے، تاکہ پوری سیکیورٹی کمیونٹی پیش کیے جانے والے CTFs کے معیار کو بہتر بنا سکے۔

کہانی سنانا کلید ہے۔

Hwong says that his DEF CON Cloud Village team was very keen on crafting a storyline that was engaging and fun. He says he thought of the story as a movie script with realistic cyber scenarios built in. For the event they chose a theme of ‘Gnomes’ that was fun and funny. but it wasn’t just the storyline writing that was important but also how the technical challenges were planned within the story.

وہ کہتے ہیں "گوبلن اور گنومز کی کہانی ہر چیز کے گرد لپٹی ہوئی تھی لیکن اہم بات یہ تھی کہ معقول منظرنامے سامنے آ رہے تھے جن کا سامنا ایک سیکورٹی پروفیشنل کے طور پر ہو سکتا ہے، بشمول حملے کے راستے اور مناسب دفاع جس کا آپ سامنا کریں گے،" وہ کہتے ہیں۔ "جتنا زیادہ ہم CTF ڈیزائنرز کے طور پر کر سکتے ہیں، یہ سیکھنے کے لیے اتنا ہی بہتر ہے اور CTF میں اتنا ہی مزہ آتا ہے۔"

سافٹ ویئر ڈویلپمنٹ اپروچ لیں۔

Hwong تجویز کرتا ہے کہ CTF تخلیق کاروں کو اپنے چیلنج کے تکنیکی عناصر کو ڈیزائن کرنے کے لیے یقینی طور پر سافٹ ویئر ڈویلپمنٹ کا طریقہ اختیار کرنا چاہیے۔

"آپ کو ڈیزائن، عمل درآمد اور جانچ کے بارے میں سوچنا پڑے گا،" وہ بتاتے ہوئے کہتے ہیں کہ انہوں نے اور ان کی ٹیم نے مشکل طریقے سے سیکھا ہے کہ ایک پیچیدہ CTF ماحول میں چیلنجز کو جانچنا کتنا مشکل ہو سکتا ہے جس میں شرکاء کے ذریعے متعدد طریقوں سے ہیرا پھیری کی جا سکتی ہے۔ .

"کیا ہوا — اور میں ٹیسٹنگ کی رہنمائی نہ کرنے کے لیے مرکزی تخلیق کار کے طور پر ذمہ داری قبول کروں گا — کیا ہم منفی ٹیسٹنگ پاس کے ساتھ ساتھ قابل عمل جانچ پڑتال سے محروم ہو گئے،" وہ کہتے ہیں۔ "اس کا ایک حصہ یہ ہے کہ ہمارے پاس ٹیسٹ کرنے کے لیے کافی وقت نہیں تھا، اس لیے میں کچھ ماحول کو بند کرنا جاری رکھے ہوئے تھا کیونکہ چیلنج چل رہا تھا اس لیے کچھ چیلنجز زیادہ آسان نہیں ہوں گے اور کوئی خامیاں نہیں تھیں۔ مجھے لگتا ہے کہ ایک یا دو گھنٹے کے لئے ایک موقع پر میں نے ایک خاص قدم پر ناقابل حل چیز بنا لی۔

لہذا، اس نے جو بڑا سبق سیکھا ہے ان میں سے ایک یہ ہے کہ CTF ڈیزائنرز کو سافٹ ویئر ڈویلپمنٹ کی سختی کو میز پر لانے کی ضرورت ہے جو جانچ اور قابل عمل کام کے ذریعے پوری طرح چلتی ہے۔

آپریشنل سختی… اور تھوڑا سا کیفین

سافٹ ویئر ڈویلپمنٹ میں احتیاط ہی واحد تکنیکی صلاحیت نہیں ہے جسے میز پر آنے کی ضرورت ہے۔ سی ٹی ایف چلانے والے عملے کو بھی کچھ سنجیدہ آپریشنل سختی کی ضرورت ہے۔

"ہمارے پاس کچھ شاندار لوگ تھے جو سرورز اور AWS اکاؤنٹس اور Google اور Azure اکاؤنٹس چلا رہے تھے اور اس بات کو یقینی بناتے تھے کہ چیزیں چلتی رہیں اور ہم چیزوں کی نگرانی کر رہے تھے،" وہ کہتے ہیں۔ "اس سب چیزوں کو سنبھالنا ہے۔ اور اگر آپ اسے نظر انداز کرتے ہیں، تو اس کا مطلب یہ ہو سکتا ہے کہ چیزیں ناکام ہو جائیں، ٹوٹ جائیں یا آپ کو کارکردگی کے مسائل ہوں۔

آپریشنل مسائل میں سے ایک جس کا ان کو سامنا کرنا پڑا وہ یہ تھا کہ انہیں شرکاء اور چیلنجوں کے درمیان کچھ ٹکراؤ کا سامنا کرنا پڑا، کیونکہ ٹیم ایک رکاوٹ کے ساتھ کام کر رہی تھی کہ وہ AWS، Google، اور Azure میں ہر شریک کے لیے ایک الگ ماحول پیدا نہیں کر سکتی تھی۔

"چونکہ یہ ایک ہی ماحول میں تھا، اس نے دوسرے چیلنجوں میں ان کی مدد کی اور اگر آپ کو کوئی چیلنج درپیش ہے جس کے لیے ماحول کو تبدیل کرنے کی ضرورت ہے تو آپ لوگوں کو ایک دوسرے کی انگلیوں پر قدم رکھنا ہے، ایک مشترکہ چیز کو تبدیل کرنا ہے،" انہوں نے وضاحت کرتے ہوئے کہا کہ وہ اور ان کے ٹیم کو پالیسیوں کو دوبارہ ترتیب دینا پڑا کیونکہ CTF آگے بڑھتا ہے تاکہ شرکاء ایک دوسرے سے نہ ملیں۔

وہ اور اس کی ٹیم تجربے سے سیکھنے کی کوشش کر رہے ہیں کہ ایک عملی طریقہ تلاش کریں — وقت، کوشش اور اخراجات کے تناظر سے — تاکہ شرکاء کو پورے CTF کو کم قابل عمل بنائے بغیر واقعی الگ تھلگ ماحول فراہم کیا جا سکے کیونکہ چیزیں ٹوٹ جاتی ہیں یا اس پر عمل درآمد میں ہمیشہ کے لیے وقت لگ جاتا ہے۔

آخر میں، ہوونگ کا کہنا ہے کہ آپریشنل فرنٹ پر CTF شو کے رنرز کو بھی مسلسل رابطے کا خیال رکھنا ہوگا جس کی انہیں اپنی ٹیم اور شرکاء کے درمیان سہولت فراہم کرنے کی ضرورت ہوگی۔

"میں آدھی رات کے بعد ڈسکارڈ پر تھا اور میں ایسا ہی ہوں، 'مجھے صبح دینے کے لیے بات کرنی ہے، کیا آپ سو جائیں گے؟'" ہوونگ نے مذاق میں کہا، جس نے وضاحت کی کہ شرکاء کے سوالات ہوں گے اور وہ جا رہے ہیں۔ ہر وقت ٹپس اور پوائنٹرز کے لیے منتظمین کو پنگ کرتے رہیں۔

مشکل کی مختلف سطحوں کو ڈیزائن کرنا مشکل ہے۔

ہوونگ نے خبردار کیا کہ چیلنجوں کی مشکل سطحوں کو درست کرنا اور ایک منصفانہ اسکورنگ سسٹم بنانا اس سے زیادہ مشکل ہوسکتا ہے جتنا کہ ایک نوزائیدہ CTF منتظم ابتدائی طور پر سوچ سکتا ہے۔ انہوں نے وضاحت کی کہ ان کی ٹیم نے جن سطحوں کو آسان بنایا تھا ان میں سے کچھ کو شرکاء کے لیے ان کی توقع سے زیادہ مکمل کرنا مشکل تھا، جب کہ کچھ زیادہ چیلنجنگ لیولز کو توقع سے زیادہ شرکاء نے کامیابی کے ساتھ مکمل کیا۔

Hand-in-hand with the difficulty leveling challenge is figuring out a scoring system that makes sense. After his experience at DEF CON, Hwong is a proponent of doing some kind of Bell Curve scoring system. But he says the problem isn’t as straightforward as instituting a curve. There’s also the issue of normalizing and balancing out the advantage that big CTF teams have in racking up challenge points—an issue that one of the participants provided him feedback about after the event.

"لہذا اگر آپ کے چیلنجز کو متوازی متعدد کھلاڑیوں میں تقسیم کیا جا سکتا ہے، اگر میرے پاس 10 لوگ ہوں تو میں 10 گنا تیز ہو جاؤں گا۔ اور اس طرح ایک فائدہ ہے، "وہ کہتے ہیں. "اس کا نقطہ کچھ متحرک اسکورنگ کی سطحوں کو تھوڑا سا تھا۔ اگر ایسی چیزیں ہیں جن میں وہ واقعی، واقعی اچھا ہے، تو وہ صرف وہی ہو سکتا ہے جو اسے حل کرتا ہے اور اسے زیادہ سے زیادہ پوائنٹس ملیں گے۔ گھنٹی کا منحنی خطوط اس کو انعام دے گا بمقابلہ پیمانے سے اس سے کوئی فرق نہیں پڑتا ہے کہ یہ 10 بمقابلہ ایک کے لحاظ سے اس کی مہارت کے وہیل ہاؤس میں کچھ ہے۔ یہاں کچھ قابل بحث چیزیں ہیں جن پر ہمیں کام کرنا ہے۔

ایک امکان چیلنجوں کو ترتیب وار بنانا ہے، لیکن اس کا منفی پہلو یہ ہے کہ یہ CTF کو بہت سخت اور لکیری بنا سکتا ہے، اور یہ ایک رکاوٹ یا انحصار پیدا کر سکتا ہے جو ایک یا زیادہ چیلنجوں کو اڑا سکتا ہے۔ ہوونگ کا کہنا ہے کہ وہ یہ دیکھنا بھی پسند کریں گے کہ مزید CTFs شرکاء کو تکنیکوں پر انعامات دیں جیسے کہ وہ ماحول میں کس طرح چپکے سے کام کرتے ہیں یا اگر وہ بہت زیادہ قدموں کے نشانات اور انگلیوں کے نشانات چھوڑ دیتے ہیں، اور یہ وہ علاقہ ہے جسے وہ تلاش کرنا چاہتا ہے جب وہ مستقبل کے واقعات کو ڈیزائن کرتا ہے۔ .

قطع نظر، اگرچہ، متحرک اسکورنگ ایک ایسی چیز ہے جو سطح بندی کے کچھ مسائل کو کم کر سکتی ہے اور وہ اور ان کی ٹیم آنے والے سال کے لیے اس کا تعاقب کر رہی ہے۔

بلیو ٹیموں کو مزید تفریحی CTF چیلنجز کی ضرورت ہے۔

اپنے پہلے CTF کے ذریعے کام کرنے کے بعد، Hwong کو یہ بھی یقین ہے کہ یہ ایونٹس بلیو ٹیم کے شرکاء کو چیلنج کرنے اور واقعی مشغول کرنے کے لیے کافی نہیں ہیں۔

"بلیو ٹیم کی مشقیں اس طرح ہوتی ہیں: 'ہمارے پاس بہت سے خطرات کے ساتھ ایک غلط کنفیگرڈ ماحول ہے۔ کیا آپ انہیں ٹھیک کر سکتے ہیں؟'' وہ کہتے ہیں۔ اور وہ کیا کرتے ہیں وہ صرف یہ جانچتے ہیں کہ آیا وہ کنفیگریشنز تبدیل ہوئی ہیں یا نہیں یا میں اس عوامی بالٹی تک رسائی حاصل کر سکتا ہوں۔ اور جیسے ہی آپ اسے نجی بناتے ہیں، ہم جانتے ہیں کہ آپ نے اسے ٹھیک کر دیا ہے اور آپ کو پوائنٹس ملتے ہیں۔ اس کے اوپر کام کرنا بہتر ہوگا، جیسے کہ اگر آپ سے سمجھوتہ کیا جاتا ہے، آپ کے ماحول میں کوئی حملہ آور ہے، آپ کو انہیں تلاش کرنا ہوگا اور انہیں باہر نکالنا ہوگا۔ لہذا آپ کے پاس ابھی ایک واقعہ چل رہا ہے، اور جب تک حملہ آور ہے، ان کے پاس اسناد ہیں اور جب تک وہ چیزیں کریں گے، آپ اس کا پتہ لگانے کے قابل ہو سکتے ہیں۔ یہ ایک شریک کے طور پر آپ کا کام ہے. اور جب تک آپ ان کی رسائی کو منسوخ نہیں کرتے، آپ اسے حل نہیں کرتے اور آپ کو زیادہ سے زیادہ پوائنٹس نہیں ملتے۔

اس قسم کے منظرناموں کو کرنا مشکل ہے لیکن وہ محافظوں کے لیے زیادہ حقیقت پسندانہ ہیں اور ان کے لیے CTFs کو زیادہ قیمتی بنا دیں گے، وہ بتاتے ہوئے کہتے ہیں کہ یہ اگلی بار ان کے ریڈار پر ہے۔

CTFs کو مزید تازہ اور متعلقہ اجزاء کی ضرورت ہے۔

Hwong also challenges CTF designers—and himself–to incorporate more fresh exploit and vulnerability information into their challenges. This was one of the things he wished he had more time to dive into in his first go at DEF CON Cloud Village and which he’s resolved to improve for next year.

“This is one of the areas where CTFs can be more of a learning and training tool,” he explains. “We would love to use relevant ideas and exploits fresh from researchers occurring earlier in the year or even presented at DEF CON.”

CTF 'بلڈنگ بلاکس' 'دوبارہ قابل استعمال' کو بہتر بنانے کے لیے

آخر میں، ہوونگ کا کہنا ہے کہ اس نے سیکھا سب سے بڑا سبق یہ ہے کہ صنعت کو CTF کے لیے دوبارہ قابل استعمال اجزاء بنانے کے لیے مزید طریقے تلاش کرنے کی ضرورت ہے جس طرح سافٹ ویئر ڈویلپرز ایپلی کیشنز کے لیے کرتے ہیں۔ اس کے خواب ہیں کہ وہ کوڈ میں چھوٹی مشقوں کے ایک کھلے GitHub ذخیرے کو منظم کرنے میں مدد کرے جو CTF کی تعمیر کے بنیادی بلاکس کو تشکیل دے سکے۔

"آپ کو ابھی بھی اسے اپنی مرضی کے مطابق بنانا ہوگا اور اپنا موڑ شامل کرنا ہوگا، لیکن خیال یہ ہے کہ آئیے پہلے 60% کو راستے سے ہٹا دیں تاکہ CTF منتظمین واقعی نئی چیزوں پر توجہ مرکوز کرسکیں۔ اس طرح کوئی بھی پہیے کو دوبارہ نہیں بنا رہا ہے،" وہ کہتے ہیں۔ "اور پھر بقیہ 40٪ نئی تکنیکوں، منظرناموں اور کہانیوں کو شامل کر سکتے ہیں۔"

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا