Új hozzászólás Aktív témák
-
- KT -
csendes tag
válasz
Tigerclaw
#16
üzenetére
Koordinációban még nem vagyunk túl profik, de már az is sokat alakult az idők során, a többi versenyen tipikusan sokkal kevesebben (2-3, néha kicsit többen) vagyunk, szóval általában ez nem jelent gondot.
Az iCTF minden évben más és más, így a stratégiát is mindig máshogy kell kialakítani, tavaly pl. előre kiadták az amúgy viszonylag komplexebb szabályrendszert, ebben az évben sokkal egyszerűbb volt, de csak a verseny előtt 1 nappal tudtuk meg.
A verseny úgy indult, hogy kiderült most az a nagy trükk, hogy a szokásos 8-9 feladat helyett most 42(!) éles, futó szolgáltatást kellett megvédenünk / megtámadnunk, viszont ezek közül sok régi (előző években használt) szolgáltatás volt, csak kicsit javítottak, módosítottak rajta, de nem minden.
Tehát az első óra (amíg nem lehetett támadni) kb. azzal telt, hogy Googleztünk minden elérhető információt a szolgáltatásokról (ez párhuzamba húzható azzal, hogy a valós életben is sokan ugyanazokat a szolgáltatásokat használják, amikhez már elérhetőek támadások, vagy éppen azok kivédése). Ezeket összegyűjtöttük és kezdük a sajátjainkat patchelni (kijavítani a hibát), illetve amikor letelt az 1 órás felkészülési idő egyből támadni a többieket a begyűjtött exploitokkal (támadásokkal). Ez olyan jól sikerült, hogy mi voltunk, akik az első 4 sikeres exploitot beküldtük (tehát innentől ezek a verseny végéig támadták az ellenfél csapatokat automatikusan).
Ezután a figyelmünk átterelődött arra, hogy a szolgáltatásaink stabilan fussanak, mert azt mérték, hogy nem fut / fut, de még sérülékeny / fut és már nem sérülékeny és ennek megfelelően határozták meg azt a globális százalékot (SLA), amivel minden pontunkat beszoroztak.
Így próbáltunk minden patchelni, amit lehetett. Közben mivel az idő is haladt és láttuk, hogy több mindent exploitáltak a mi szolgáltatásaink közül is, ezért az előre szolgáltatásonként szétválasztott hálózati forgalmat kezdtük el elemezni, ahol ha volt kikerestük a minket támadó támadókódokat és átalakítottuk úgy, hogy az a többieket is támadja a nevünkben
(ez nagyon hasonló ahhoz, amikor pl. egy malware kampány beindul és a vírusírtó cég ezt felismeri és elkészíti az antivírus szignatúrát vagy egy másik cég beleépíti a saját támadó moduljába, pl. a metasploit frameworkbe). Itt fontos megjegyezni, hogy ez főleg csak az ilyen fajta versenyen működik (hogy mások exploitjait 'el tudjuk lopni'), ami kicsit unfair, hisz az elsőnek jóval nagyobb munka egy ilyen támadókódot elkészíteni, mint azt második, harmadik, stbként 'csak' felhasználni.A végén amikor pedig már kezdett stabilizálódni minden áttértünk arra, hogy ami először már majdnem luxusnak számított (hisz eddig mindig fontos volt, hogy minél előbb csináljunk meg mindent), hogy olyan szolgáltatásokat is feltörjünk, amiket más még nem vagy csak nagyon kevesen törtek fel (pl. ilyenek voltak a vadiúj, csak a mostani iCTFre készített szolgáltatások).
Egyébként ez a része az, amit a többi CTFen nagyon sokat csinálunk: programokat, kriptográfiai protokollokat, stb törünk fel. Ez többször jóval bonyolultabb is, ezért egy ilyen gyors ütemű versenyen nehezebb is (hisz néha egy ilyen feladat megoldása 4-12 óra csak önmagában), viszont 'tisztábban' méri a tudást. Ilyen versenyeken (jeopardy CTFek) tavaly csak 26 alkalommal vettünk részt, úgy hogy azok 24-48 órásak általában. Így végeztünk tavaly nemzetközi szinten 14. helyen a kb. 6200 pontszerzőből. Most jelenleg 10. helyen állunk: https://ctftime.org/
Egyébként itt egy összefoglalószerűség, ami nem rég ment le az újonckörünkön: https://tresor.it/s#yPeJuEU692wbZr9ekPNA9g
Egyébként a verseny vége is elég beteg volt, az utolsó órában nagyon sok exploitot daráltunk be, én az utolsó 8 percben küldtem még egyet (azelőtt pedig 20 perccel egyet egy olyan feladatra, amire addig más még nem) és talán azelőtt pár perccel vettük át a vezetést. Nem igazán volt megállás, még a verseny után órákkal (hajnali órákban ugye) is írkáltunk egymásnak, mert a koffeintől és eufóriától nem igazán tudtunk aludni...
[ Szerkesztve ]
(ez nagyon hasonló ahhoz, amikor pl. egy malware kampány beindul és a vírusírtó cég ezt felismeri és elkészíti az antivírus szignatúrát vagy egy másik cég beleépíti a saját támadó moduljába, pl. a metasploit frameworkbe). Itt fontos megjegyezni, hogy ez főleg csak az ilyen fajta versenyen működik (hogy mások exploitjait 'el tudjuk lopni'), ami kicsit unfair, hisz az elsőnek jóval nagyobb munka egy ilyen támadókódot elkészíteni, mint azt második, harmadik, stbként 'csak' felhasználni.Új hozzászólás Aktív témák
it A világ egyik legrangosabb egyetemi megmérettetésén a BME CrySyS Lab diákjai győzedelmeskedtek.
