DefCon’un Bulut Köyü CTF’sinin Tasarlanmasından Öğrenilen 7 Ders


Bayrağı Yakalama (CTF) etkinlikleri hem eğlenceli hem de eğitici olup, siber güvenlik profesyonellerine yapıcı ve güvenli bir ortamda yeni kavramlar öğrenirken bilgisayar korsanlığı becerilerini geliştirmenin bir yolunu sunar. İyi tasarlanmış CTF’ler bireyleri ve ekipleri operasyonel zorluklarla, yeni saldırı yollarıyla ve daha sonra hem saldırı hem de savunma güvenliği profesyonelleri olarak işlerinde uygulayabilecekleri yaratıcı senaryolarla karşı karşıya getirir.

Ancak tüm CTF’ler eşit yaratılmamıştır ve başarılı bir CTF yarışması tasarlamak için sadece zorlukların üstesinden gelmekten çok daha fazlası gerekir. Teknik tasarım zorluklarının yanı sıra, ortamın oluşturulması ve rekabetin fiilen yürütülmesi, ilgi çekici bir oyun oluşturmak için gereken yaratıcı planlama ve puanlamanın nasıl yapılacağına dair ödünleşimler gibi zorlukların oyunlaştırılmasıyla ilgili ayrıntıların dikkate alınmasıyla ilgili operasyonel hususlar da vardır. yapı kurulur.

“Bir tasarımcı olarak bunu istiyorum [the CTF] zorlu eğlenceli olmak. Netskope’un Tehdit Araştırma Laboratuvarları ekibinin baş araştırmacısı ve geçen yılki DefCon Cloud Village CTF’nin ekip lideri Jenko Hwong, “Zeki, bu konuda gerçekten çalışan ve ısrarcı olan insanları ödüllendirmek istiyorum” diyor. gerçekleştirmemiz bizim için pratik.”

Eğlenceli ve pratik Hwong’un DefCon CTF’ye getirdiği zihniyet, 400’den fazla kişi ve ekibin bu mücadelede ellerini denediği ve 20 kişilik bir ekibin etkinliği yürütmek için onun altında çalıştığı çok günlü devasa bir etkinlikti. Kıdemli bir araştırmacı ve tecrübeli bir CTF katılımcısı olan Hwong, bu etkinlikten önce hiç bir CTF düzenlememişti. İşteki ilk denemesindeki en büyük umutlarından biri, günümüzde CTF’lerde bazen sorun teşkil edebilen, etkinlikteki zorlukların alaka düzeyini ve gerçekçiliğini artırmaktı.

“Bazen bu CTF’lerde gerçekten zor bir zorlukla karşılaşıyorsunuz ama sanki bunun amacı ne? Bu bir şifre çözme veya şifreleme sorunu olacak, olay şöyle devam edecek: ‘İşte bir şey, iyi şanslar’ ve sonra atlamanız gerekiyor tüm bu çemberler gerçeklikten tamamen kopmuş olmayabilir ama aslında daha büyük bir hikayeye uymayabilir” diyor. “Dolayısıyla, çağrıyı aldığımda düşüncem şöyleydi: ‘Hadi hemen konuya girelim, eğlenceli olacak ama aynı zamanda mantıklı ve belki de araştırma penetrasyon testinin gerçek dünyasıyla ilişkilendirilebilecek iyi bir hikaye ve iyi bir dizi zorluk bulalım. savunma önlemleri, gerçek dünyada olup bitenler.”

Ancak projeye girişirken özellikle zorlayıcı bulduğu şeylerden biri, CTF’lerin çalıştırılmasına ilişkin bilginin ne kadar az olduğuydu. Yazıların çoğu, bir etkinliği derecelendiren ve zorlukları nasıl çözdüklerini açıklayan katılımcılardan geliyor ancak bir etkinliğin yürütülmesine ilişkin en iyi uygulamalar hakkında nadiren bilgi sunuluyor. Sonuç olarak, kendisinin ve ekibinin neredeyse sıfırdan zorluklar yaratarak tonlarca iş yapması gerektiğini söyledi.

“Topluluk genellikle bir ton paylaşım yapıyor, öyleyse neden CTF yarışmalarını paylaşmıyoruz?” diyor. “Bence daha iyisini yapabiliriz.”

Bu güvenlik topluluğu paylaşımı ruhuyla, CTF tasarımından sorumlu diğer kişilerin süreçten öğrenip anlayabilmesi için ekibinin süreç boyunca edindiği bazı önemli dersleri paylaşıyor. Amacı etkinliği tekrar düzenlemek ve geçen yıl öğrendiklerinin üzerine inşa etmek. Ayrıca, tüm güvenlik topluluğunun sunulan CTF’lerin kalitesini artırabilmesi için diğerlerinin de en iyi uygulamalarını ve hatta teknik ayrıntılarını paylaşacağını umuyor.

Hikaye Anlatımı Önemlidir

Hwong, DefCon Cloud Village ekibinin ilgi çekici ve eğlenceli bir hikaye oluşturma konusunda çok istekli olduğunu söylüyor. Hikayeyi gerçekçi siber senaryoların yer aldığı bir film senaryosu olarak düşündüğünü söylüyor. Etkinlik için eğlenceli ve eğlenceli bir ‘Cüceler’ teması seçtiler. ancak önemli olan yalnızca hikayenin yazılması değildi, aynı zamanda teknik zorlukların hikaye içinde nasıl planlandığı da önemliydi.

“Goblin ve cüceler hikayesi her şeyi sarıyordu ama önemli olan, bir güvenlik uzmanı olarak karşılaşabileceğiniz saldırı yolları ve karşılaşacağınız makul savunmalar da dahil olmak üzere, karşılaşabileceğiniz makul senaryoların ortaya çıkmasıydı” diyor. “CTF tasarımcıları olarak bunu ne kadar çok yapabilirsek, öğrenme açısından o kadar iyi olur ve CTF de o kadar eğlenceli olur.”

Yazılım Geliştirme Yaklaşımını Benimseyin

Hwong, CTF yaratıcılarının, karşılaştıkları zorlukların teknik unsurlarını tasarlarken kesinlikle bir yazılım geliştirme yaklaşımı benimsemeleri gerektiğini tavsiye ediyor.

Katılımcılar tarafından çeşitli şekillerde manipüle edilebilen karmaşık bir CTF ortamında zorlukları test etmenin ne kadar zor olabileceğini kendisinin ve ekibinin zor yoldan öğrendiğini açıklayarak, “Tasarım, uygulama ve testi düşünmelisiniz” diyor. .

“Olan şey – ve teste rehberlik etmemenin baş yaratıcısı olarak suçu üstleneceğim – negatif test geçişini ve uygulanabilirlik kontrollerini kaçırdığımızdır” diyor. “Bunun bir kısmı, test etmek için yeterli zamanımızın olmamasıydı, bu yüzden zorluklar devam ederken bazı ortamları kilitlemeye devam ediyordum, böylece bazı zorluklar çok kolay olmayacaktı ve boşluklar olmayacaktı. Sanırım bir noktada Bir veya iki saat boyunca belli bir aşamada çözülemez bir şey haline geldim.”

Dolayısıyla öğrendiği en büyük derslerden biri, CTF tasarımcılarının test ve uygulanabilirlik çalışmaları boyunca yazılım geliştirme titizliğini masaya getirmeleri gerektiğidir.

Operasyonel Titizlik ve Biraz Kafein

Yazılım geliştirmede titizlik, masaya gelmesi gereken tek teknik yetenek değildir. Bir CTF’yi çalıştıran mürettebatın da ciddi bir operasyonel titizliğe ihtiyacı var.

“Sunucuları, AWS hesaplarını, Google ve Azure hesaplarını çalıştıran, işlerin devam etmesini sağlayan ve bizim de her şeyi izlediğimizden emin olan muhteşem insanlarımız vardı” diyor. “Bütün bunların halledilmesi gerekiyor. Ve eğer bunları görmezden gelirseniz, bu işlerin başarısız olduğu, bozulduğu veya performans sorunlarınız olduğu anlamına gelebilir.”

Karşılaştıkları operasyonel sorunlardan biri, ekip AWS, Google ve Azure’da her katılımcı için bağımsız bir ortam oluşturamama kısıtlamasıyla çalıştığından katılımcılar ve zorluklar arasında bazı çarpışmalar yaşamalarıydı.

“Çünkü aynı ortamdaydı, diğer zorluklarda onlara yardımcı oldu ve eğer çevreyi değiştirmeyi gerektiren bir zorlukla karşılaşırsanız, o zaman insanların birbirlerinin ayak parmaklarına basıp, paylaşılan bir nesneyi değiştirmelerini görürsünüz” dedi ve kendisinin ve arkadaşlarının olduğunu açıkladı. Katılımcıların birbirleriyle karşılaşmaması için CTF ilerledikçe ekip politikaları sıfırlamak zorunda kaldı.

Kendisi ve ekibi, işler bozulduğu veya yürütülmesi sonsuza kadar sürdüğü için tüm CTF’yi daha az uygulanabilir hale getirmeden, katılımcılara gerçek anlamda yalıtılmış bir ortam sağlamak için zaman, çaba ve harcama perspektifinden pratik bir yöntem bulmak üzere deneyimlerinden bir şeyler öğrenmeye çalışıyor.

Son olarak Hwong, operasyonel açıdan CTF şovu koşucularının, ekipleriyle katılımcılar arasında sürekli iletişim kurmaları konusunda dikkatli olmaları gerektiğini söylüyor.

Katılımcıların soruları olacağını ve soru soracaklarını açıklayan Hwong, “Gece yarısından sonra Discord’daydım ve ‘Sabah yapmam gereken bir konuşma var, uyur musun?’ diye düşündüm” dedi. İpuçları ve öneriler için organizatörlere her saat ping atın.

Farklı Zorluk Seviyeleri Tasarlamak Zordur

Hwong, zorlukların zorluk seviyelerini doğru ayarlamanın ve adil bir puanlama sistemi oluşturmanın, yeni başlayan bir CTF organizatörünün başlangıçta düşünebileceğinden daha zor olabileceği konusunda uyardı. Ekibinin daha kolay olarak tasarladığı seviyelerden birkaçının katılımcılar için tahmin ettiklerinden daha zor olduğunu, bazı daha zorlu seviyelerin ise beklenenden daha fazla katılımcı tarafından başarıyla tamamlandığını açıkladı.

Zorluk seviyelendirme zorluğuyla el ele, anlamlı bir puanlama sistemi bulmaktır. DefCon’daki deneyiminden sonra Hwong, bir çeşit Çan Eğrisi puanlama sistemi yapmanın savunucusu. Ancak sorunun bir eğri oluşturmak kadar basit olmadığını söylüyor. Aynı zamanda, büyük CTF takımlarının zorluk puanları toplamadaki avantajını normalleştirme ve dengeleme sorunu da var; katılımcılardan birinin etkinlikten sonra kendisine geri bildirimde bulunduğu bir konu.

“Yani, eğer mücadeleleriniz bölünebilir ve paralel olarak birden fazla oyuncuyla yapılabilirse, eğer 10 kişim varsa 10 kat daha hızlı olurum. Dolayısıyla bir avantaj var” diyor. “Onun demek istediği, bir tür dinamik puanlamanın bunu biraz seviyelendirmesiydi. Eğer gerçekten çok iyi olduğu şeyler varsa, bunu çözen tek kişi o olabilir ve maksimum puanı alacaktır. Çan eğrisi onu ödüllendirecektir. 10’a karşı 1 açısından uzmanlık alanında bir şey varsa, ölçek ile karşılaştırmanın mutlaka bir önemi yoktur. Burada üzerinde çalışmamız gereken bazı tartışmalı şeyler var.”

Bir olasılık, zorlukları sıralı hale getirmektir, ancak bunun olumsuz tarafı, CTF’yi çok katı ve doğrusal hale getirebilmesi ve bir veya daha fazla zorluğu ortadan kaldırabilecek bir darboğaz veya bağımlılıklar yaratabilmesidir. Hwong ayrıca daha fazla CTF’nin katılımcıları bir ortamda ne kadar gizlice çalıştıkları veya çok fazla ayak izi ve parmak izi bıraktıklarında kenetlenme noktaları gibi teknikler konusunda ödüllendirdiğini görmekten memnun olduğunu ve bunun gelecekteki etkinlikleri tasarlarken keşfetmek istediği bir alan olduğunu söylüyor. .

Ne olursa olsun, dinamik puanlama bazı seviyeleme sorunlarını hafifletebilecek bir şey ve kendisi ve ekibi önümüzdeki yıl için de bunun peşinde.

Mavi Takımların Daha Eğlenceli CTF Mücadelelerine İhtiyacı Var

İlk CTF’si üzerinde çalıştıktan sonra Hwong, bu etkinliklerin mavi takım katılımcılarını zorlamak ve onları gerçekten meşgul etmek için yeterli olmadığına giderek daha fazla inanıyor.

“Mavi takım çalışmaları genelde şu şekilde oluyor: ‘Çok sayıda güvenlik açığı bulunan, yanlış yapılandırılmış bir ortamımız var. Gidip bunları düzeltebilir misiniz?'” diyor. ” Ve yaptıkları şey, sadece bu yapılandırmaların değişip değişmediğini veya bu genel klasöre erişip erişemeyeceğimi test etmek. Ve bunu özel hale getirdiğinizde, bunu düzelttiğinizi ve puan kazandığınızı biliyoruz. Bu çok daha iyi olurdu. bunun da ötesinde bazı şeyler yapmak için, örneğin, eğer güvenliğiniz tehlikeye girerse, çevrenizde bir saldırgan varsa, onu bulup dışarı atmalısınız. Yani şu anda devam eden bir olay var ve saldırgan olduğu sürece. yani, kimlik bilgilerine sahipler ve bir şeyler yaptıkları sürece bunu tespit edebilirsiniz. Katılımcı olarak bu sizin görevinizdir. Erişimlerini iptal edene kadar sorunu çözemezsiniz ve maksimum faydayı elde edemezsiniz. puan.”

Bu tür senaryoları gerçekleştirmek daha zor ama savunma oyuncuları için daha gerçekçi ve CTF’leri onlar için daha değerli hale getireceklerini söylüyor ve bunun bir dahaki sefere radarında olduğunu açıklıyor.

CTF’lerin Daha Yeni ve İlgili Bileşenlere İhtiyacı Var.

Hwong ayrıca CTF tasarımcılarına ve kendisine, zorluklarına daha fazla yeni istismar ve güvenlik açığı bilgisini dahil etmeleri konusunda meydan okuyor. Bu, DefCon Cloud Village’a ilk gidişinde daha fazla zamanının olmasını dilediği ve gelecek yıl için geliştirmeye karar verdiği şeylerden biriydi.

“Bu, CTF’lerin daha çok bir öğrenme ve eğitim aracı olabileceği alanlardan biridir” diye açıklıyor. “Araştırmacılar tarafından yılın başlarında ortaya çıkan ve hatta DefCon’da sunulan yeni fikirleri ve uygulamaları kullanmayı çok isteriz.”

CTF ‘Yeniden Kullanılabilirliği’ Artıracak ‘Yapı Taşları’

Son olarak, Hwong’un öğrendiği en büyük derslerden biri, tıpkı yazılım geliştiricilerin uygulamalar için yaptığı gibi, sektörün CTF için yeniden kullanılabilir bileşenler oluşturmanın daha fazla yolunu bulması gerektiğidir. Bir CTF oluşturmanın yapı taşlarını oluşturabilecek küçük kod alıştırmalarından oluşan açık bir GitHub deposunun düzenlenmesine yardım etme hayalleri var.

“Yine de onu kişiselleştirmeniz ve kendi dokunuşunuzu eklemeniz gerekecek, ancak fikir şu ki, CTF organizatörlerinin gerçekten yeni şeylere odaklanabilmesi için ilk %60’ı yoldan çekelim. Bu şekilde kimse tekerleği yeniden icat etmeyecektir.” diyor. “Ve sonra kalan %40’a yeni teknikler, senaryolar ve hikayeler eklenebilir.”





Source link