Сказка для хакеров

6 Дек
2011

image

Одним из элементов соревнований по компьютерной безопасности, проводимых по правилам CTF (Capture The Flag) [1] является легенда.

Зачем нужна какая-то легенда, в такой тривиальной вещи как взлом? Казалось бы – вот перед тобой сеть, бери и ломай. Однако не все так просто, и легенда может использоваться не только для придания заданиям зрелищности, но и для управления ходом соревнования.
И так, легенда CTF может использоваться для…



1. Помощь в решении задачи

Соревнования CTF в большинстве случаев ограничены по времени. То, что в ходе реальных работ по тестированию на проникновение занимает несколько дней необходимо проделать за несколько часов. В таких условиях организаторы соревнований должны каким-то образом облегчить задачу участников. Если участники несколько часов будут блуждать по сети в поисках игровых сервисов или в попытках понять, что делает та или иная служба – это провал.
Для облегчения жизни участников, большинство сервисов снабжаются легендой, описывающей их место в рамках игровой инфраструктуры и их основные функции. Например, если команда понимает, что система представляет собой корпоративный Web-сайт, или систему электронной почты, или ноутбук, зараженный «новым руткитом», то капитан может выделить для решения наиболее подходящего игрока, а игрок работать по направлениям, характерным для данной задачи.
Такой придает игре динамики, снижает время на поиск систем и понимание их функций и как следствие – дает возможность сосредоточиться на решении заданий.

image


Карта VolgaCTF

Легенды для игровых сервисов используется в большинстве CTF. Примеры описаний сервисов автоматизированной системы города, лежавшей в основе легенды RuCTF можно найти в [2].

2. Развитие сюжета

Для придания динамики соревнованиям часто используется прием с введением новых заданий или изменение конфигурацией существующих игровых сервисов. Например, в эпсилон окрестности зоны проведения соревнований может возникнуть беспроводная точка доступа, использующая WEP и все игроки должны дружно заняться запуском aircrack-ng. Либо один из сервисов, например «корпоративный Web-сайт» вдруг «взламывается злобными хакерами», и, соответственно, нужно срочно вычищать php-shell и закрывать уязвимости, через которые эти самые хакеры пролезли.
Объявлять участникам о новых поворотах сюжета можно различными способами, от устного объявления, до раздачи конвертов с заданиями. Одним из наиболее красочных вариантов были и остаются видеоролики. Так, в рамках Ruscrypto CTF 2010 [3] все значимые изменения сопровождались видеовставками, объясняющими, что происходит в игровой сети в тот или иной момент.

image


Отчетный ролик по Ruscrypto CTF 2010 и ролики легенды

3. Изменение сценария игры

Классически CTF подразумевает игру «всех против всех». Т.е. участники защищают свою инфраструктуру и «взламывают» инфраструктуру противника. Однако для решения специфических задач может потребоваться временно изменить сценарий и провести конкурс в русле «все против вселенского зла». Такая необходимость может возникнуть, например, в рамках решения задачи оценки устойчивости к взлому конкретного приложения, где в качестве взломщиков выступают участники соревнований. В этом случае легенда поможет участникам подготовиться к смене парадигмы и эффективно выполнить задачу.
Например, в рамках Positive Hack Days CTF 2011 [4] такой прием был применен в финале соревнования. За 20 минут до окончания был опубликован сервис (Коллайдер), на котором можно было набрать солидную сумму очков. Однако за двадцать минут изучить сервис, взломать его и собрать флаги практически нереально. Поэтому организаторы разработали следующую легенду:
— за три часа до появления задания было сделано объявление о скором появлении нового сервиса, его ценности и изменении сценария игры на «все против вселенского зла»;
— были предоставлены исходные коды сервиса, полученные «разведкой» «ценой невероятных жертв»;
— за двадцать минут до окончания игры сервис появился в сети.

image


Вот ты какой, коллайдер

Таким образом, у игроков было 3 часа для того, чтобы подготовится к изменению сценария и набрать призовые очки.

4. Fun, просто fun

Хорошо продуманная и оформленная легенда позволяет добавить соревнования CTF зрелищности. В целом, соревнования по компьютерной безопасности не представляют большого интереса для стороннего наблюдателя. Сидят парни, что-то делают с компьютером.

image

Профессор Анисимис, злой гений легенды PHD CTF 2011

При наличии связной и оформленной легенды наблюдатель оказывается вовлеченным в ход соревнования. Да и участникам скучать не приходится. В некоторых случаях легенда CTF может стать вполне самостоятельным произведением, как например в [5].

Ссылки

[1] Соревнования CTF, Wikipedia, http://ru.wikipedia.org/wiki/%D0%97%D0%B0%D1%85%D0%B2%D0%B0%D1%82_%D1%84%D0%BB%D0%B0%D0%B3%D0%B0
[2] Описание сервисов RuCTF, http://ructf.org/2009/documentation/final/0.xml
[3] RusCrypto CTF 2010 Full Disclosure, http://devteev.blogspot.com/2010/05/ruscripto-ctf-2010-full-disclosure.html
[4] PHD CTF 2011, http://phdays.ru/ctf_2011.asp
[5] Полная история Битвы за Монолит, http://www.phdays.ru/monolith.asp
По материалам Хабрахабр.



загрузка...

Комментарии:

Наверх