Всем привет! С момента нашей победы прошло уже несколько недель, эмоции утихли, поэтому пора браться за оценку и анализ того, что нам не удалось.
В нашей работе не имеет значения, выиграли ли мы конкурс или нашли уязвимость в реальном проекте, но всегда важно работать над ошибками и понимать, что можно было сделать лучше.
Ведь в следующий раз команды-соперники могут оказаться сильнее, а инфраструктура клиента будет лучше защищена.
В общем, статья, которую я предлагаю вам прочитать ниже, спорна и носит скорее дискуссионный характер, чем содержит гарантированно работающие рецепты.
Впрочем, судите сами.
Подготовка
Как я писал в первой части, подготовка была невероятно важным элементом нашей победы.В рамках этого этапа мы заложили фундамент будущей победы.
Но также из-за некоторых ошибок мы заложили в этот фундамент несколько бомб замедленного действия, которые могли взорваться и похоронить всю конструкцию.
1. Команда В нашей команде было 20 человек, и это, если честно, очень много.
Объективно, оглядываясь назад сейчас, по прошествии времени, я вижу, что для такой же уверенной победы нам бы хватило 7-8 человек.
А для тех, кто менее уверен в себе, будет достаточно 4-5 специалистов, ориентированных на результат. Чем больше людей в команде, тем выше вероятность конфликтов, ведь такие соревнования – это огромный стресс, особенно во второй день соревнований и без нормального сна.
К сожалению, реальность такова, что вы не найдете 20 одинаково хороших хакеров, а это значит, что вам все равно придется заниматься проверкой качества более молодых специалистов, что в конечном итоге приведет к дублированию их работы.
Важным фактором может стать разница в отношении к соревнованиям.
Участвую уже несколько лет и практически каждый раз вижу следующую ситуацию: один из членов команды уходит в 18-19.00 со словами «рабочий день окончен», и это ОЧЕНЬ демотивирует остальных.
И с одной стороны это кажется правильным, ведь для многих это просто работа.
С другой стороны, это сильно демотивирует ребят, для которых подобные соревнования значат гораздо больше, чем просто работа.
Для них это часть жизни.
Возможно, имеет смысл заранее обсудить такие вещи внутри команды еще до начала соревнований.
TL;DR: Качество важнее количества.
Много участников не всегда хорошие.
2. Эксплуатация нетипичных уязвимостей Объективно говоря, это тоже получилось не так, как планировалось.
Как вы помните, при подготовке к неизвестным нам уязвимостям мы записывали стандартные подходы, а также скачивали инструменты для проведения таких атак.
Это был правильный шаг, но нужно было сделать еще пару шагов.
Во-первых, при подготовке к таким соревнованиям в первую очередь необходимо изучить техническую базу и архитектуру решений.
Например, в случае с АСУ ТП не все из ответственных за это направление в нашей команде понимали разницу между контроллером, SCAD и серверами, которые были разбросаны тут и там.
Что в конечном итоге привело к необходимости изучать все это во время соревнований.
Так много драгоценного времени потрачено впустую.
И, конечно же, вам нужен человек, который сможет не только скачать все необходимые инструменты, но и понять, зачем они нужны и как их установить, а еще лучше заранее установить все необходимое программное обеспечение на виртуальные машины.
Пример с PHDays: один из дистрибутивов необходимого ПО состоял из образов 16 дискет (старики помнят), устанавливался только на Windows XP и для запуска требовал дискету в Floppy Disk Drive. Нам так и не удалось его установить.
TL;DR: Начните готовиться за месяц или даже раньше.
Не будьте сценаристом, разберитесь в основах правильно.
3. Подготовка оборудования Ни для кого не секрет, что очень часто для того, чтобы оставаться в состоянии потока, необходима тишина и покой.
Что ж, о мире мы только мечтаем, но тишина на PHDays — это проблема.
Поэтому, помимо всего перечисленного в наших статьях оборудования, рекомендую взять с собой комплект беруш и шумоизолирующие наушники.
Они спасут вас от шума толпы и от неожиданных саундчеков.
TL;DR: Возьмите с собой затычки для ушей.
Лучше возьмите парочку запасных, другие участники будут вам ОЧЕНЬ благодарны.
Соревнования
4. Координация Мне гораздо легче писать критические отрывки по командной координации, потому что я этим занимался и никого здесь обижать точно не буду.Итак, для эффективной координации нужен человек, который очень хорошо понимает, что здесь происходит, как работает пентест, разбирается в цепочках уничтожения и вообще он должен понимать специфику работы каждого человека.
Очевидно, что это человек с пентестинговым опытом, активно практикующий или практиковавший в недавнем прошлом (менее полугода).
С другой стороны, наблюдать со стороны, как ребята что-то взламывают, ищут где-то выходы из тупика, но при этом не ввязываться активно в какую-либо из проблем, очень сложно.
Это стало для меня проблемой, и я объективно не смог с ней справиться.
В какой-то момент я стал активно заниматься кражей данных и начал помогать в борьбе с командой-соперником.
Из-за этого на протяжении 3-4 часов часть команды (около 30% участников) просто терялась и не знала, что делать.
Теперь я понимаю, что гораздо правильнее было бы делегировать эту задачу одному из членов команды, а за общей картиной соревнований продолжать следить самому.
Ведь координатор всегда должен знать, что происходит на каждом участке работы.
Пример с PHDays IX: Уже на втором часу соревнований мы заметили связь между доменом Bigbrogroup и cf-media. В итоге, имея учетную запись администратора предприятия, мы только через 5 часов поняли, что ее можно использовать и во втором домене.
Просто никто раньше не обращал внимания на соединительный домен, который фигурировал в обеих задачах.
Полагаю, что если бы мы воспользовались этим аккаунтом, мы могли бы перехватить контроль над вторым доменом задолго до официально объявленного слияния и сэкономили бы себе кучу времени и нервов.
TL;DR: Координатор должен стараться не увязнуть в деталях, а смотреть на общую картину.
5. Взаимодействие с организаторами Именно этот момент в нашем случае сработал как часы.
Но мы заметили, что многие команды взаимодействуют с организаторами очень пассивно или вообще не взаимодействуют. Во-первых, нужно очень внимательно следить за обновлениями в чатах Telegram. Многие команды даже не видели результатов социальных сетей.
инженерию, пока о них не объявили со сцены, но было уже поздно.
Все мы люди и все совершаем ошибки.
Итак, в ходе игры мы обнаружили 3-4 ошибки, которые напрямую повлияли на наши очки, мы сообщили об этом организаторам и они исправили ситуацию.
То же самое касается формата флага.
TL;DR: Обращайте внимание на все, что говорят организаторы.
Не стесняйтесь спрашивать их, если вдруг что-то не понимаете.
6. Отчеты Второй год подряд организаторы в рамках своих докладов рассказывают об исследованиях, которые, в том числе, нашли свое применение в рамках StandOff. Поэтому нам совершенно необходим человек или группа людей, которые пройдут все разделы с техническими отчетами с близкими к StandOff темами и сделают краткие пересказы для тех, кто воюет на сайте StandOff. В частности, в этом году появился отчет, с помощью которого можно было получить доступ к одной из АСУ ТП.
TL;DR: Попробуйте назначить человека или группу людей для участия во всех технических переговорах.
Завершить эту серию статей хотелось бы небольшим отзывом о самих соревнованиях.
Как я уже не раз говорил, главной проблемой Standoff последние 3 года был один и тот же факт: безопасность всегда была и будет частью компромисса между функциональностью, удобством использования и самой безопасностью.
А в случае с реальной жизнью функциональность и простота использования очень сильно защищаются бизнесом.
Безопасность — не самоцель, а лишь один из инструментов, помогающих бизнесу.
И не все пожелания специалистов по информационной безопасности выполняются.
Именно потому, что они противоречат интересам бизнеса.
Не раз в ходе соревнований мы сталкивались с ситуацией, когда хакеры находили уязвимый сервис, а защитники его просто отключали.
Представьте, что это происходит в банке.
Какой-то хакер нашел уязвимость в системе ДБО и начал над ней работать, а служба ИБ, увидев это, отключила эту систему, причем не на час, а на несколько дней.
Компания понесет огромные убытки.
Сотрудник, решивший отключить услугу, будет уволен, а услуга немедленно восстановлена.
Но увы, в нынешнем формате соревнований это невозможно, и это главный фактор, мешающий нам показать реальную картину в мире, где, к сожалению, информационная безопасность «догоняет» возможности хакеров, а не наоборот. Теги: #информационная безопасность #Киберспорт #ctf #информационная безопасность #противостояние #PHDays #PHDays #PHDays #PHDays #phdays 2019 #true0xa3
-
Выделенные Серверы: Что Это Такое?
19 Oct, 24 -
Преимущества Дефрагментации Жесткого Диска
19 Oct, 24 -
Ну Что, Напечатаешь Мне Текст? Ага!
19 Oct, 24 -
Как Нанять Программистов
19 Oct, 24 -
Игра «Жизнь». Снова. На Этот Раз В 3D
19 Oct, 24 -
Методологии Или Модели?
19 Oct, 24
