Hola a todos! Han pasado varias semanas desde nuestra victoria, las emociones disminuyeron, por lo que es el momento de evaluar y analizar lo que no tuvimos éxito. No importa en nuestro trabajo: ganamos la competencia o encontramos una vulnerabilidad en un proyecto real, pero siempre es importante trabajar en los errores y comprender qué se puede hacer mejor. De hecho, la próxima vez que los equipos rivales puedan ser más fuertes y la infraestructura del cliente esté mejor protegida. En general, el artículo que sugiero que lea a continuación es controvertido y es más controvertido que contiene recetas de trabajo garantizadas. Sin embargo, juzga por ti mismo.
Preparación
Como escribí en la primera parte, la preparación fue un elemento increíblemente importante de nuestra victoria. Como parte de esta fase, sentamos las bases para una victoria futura. Pero también, en vista de algunos errores, colocamos varias bombas de tiempo en esta base, que podrían explotar y enterrar toda la estructura.
1. equipoNuestro equipo estaba formado por 20 personas y, para ser sincero, esto es mucho. Objetivamente, volviendo ahora a todo después del paso del tiempo, veo que por la misma victoria segura hubiéramos tenido 7-8 personas. Y para los menos confiados, sería suficiente tener 4-5 especialistas orientados a resultados. Cuantas más personas en el equipo, mayor es la probabilidad de conflictos, porque tales competencias son un gran estrés, especialmente en el segundo día de la competencia y sin sueño normal. Desafortunadamente, la realidad es que no encontrará 20 piratas informáticos igualmente buenos, lo que significa que todavía tiene que garantizar la calidad de los especialistas más jóvenes, lo que resultará en la duplicación de su trabajo.
Un factor importante puede ser la diferencia de actitud hacia la competencia. He estado participando durante más de un año y casi cada vez que veo la siguiente situación: uno de los miembros del equipo se va a las 18-19.00 con las palabras "se acabó la jornada laboral", y esto MUY desmotiva el resto. Y, por un lado, parece ser correcto, porque para muchas personas esto es solo un trabajo. Y por otro lado, desmotiva a los muchachos para quienes tales competencias significan mucho más que solo trabajo. Para ellos, esto es parte de la vida. Quizás tales cosas tengan sentido para discutir por adelantado dentro del equipo antes del comienzo de la competencia.
TL; DR: la calidad es más importante que la cantidad. Muchos participantes no siempre son buenos.2. La explotación de vulnerabilidades atípicas.Hablando objetivamente, esto tampoco funcionó según lo previsto. Como recordarán, en preparación para vulnerabilidades desconocidas para nosotros, escribimos enfoques estándar y también descargamos herramientas para llevar a cabo tales ataques. Este fue el paso correcto, pero hubo que hacer un par más más. En primer lugar, al prepararse para tales concursos, en primer lugar, es necesario estudiar la base técnica y la arquitectura de las soluciones. Por ejemplo, en el caso de los sistemas de control industrial, lejos de todos los responsables de esta área en nuestro equipo entendieron la diferencia entre el controlador, SCAD y los servidores que estaban dispersos aquí y allá. Lo que finalmente llevó a la necesidad de estudiar todo esto durante la competencia. Ha pasado tanto tiempo precioso. Bueno, por supuesto, necesita una persona que no solo pueda descargar todas las herramientas necesarias, sino que comprenda por qué las necesita y cómo instalarlas, sino que preinstale todo el software necesario en las máquinas virtuales.
Un ejemplo con PHDays: una de las distribuciones del software necesario consistía en imágenes de 16 disquetes (se recuerdan los antiguos), se instaló solo en Windows XP y requirió un disquete en la unidad de disquete para ejecutarse. No pudimos instalarlo.
TL; DR: Comience a prepararse en un mes, o incluso antes. No seas un guión kiddy, entiende los conceptos básicos.3. Preparación del equipoNo es ningún secreto que muy a menudo para permanecer en un estado de flujo se necesita silencio y paz. Bueno, solo soñamos con la paz, y el silencio en PHDays es generalmente un problema. Por lo tanto, recomiendo, además de todos los equipos enumerados en nuestros artículos, asegúrese de llevar un juego de tapones para los oídos y auriculares insonorizados. Los salvarán tanto del bullicio de la multitud como de las pruebas de sonido inesperadas.
TL; DR: Lleva tapones para los oídos contigo. Mejor tome un par de sobrantes, otros participantes estarán MUY agradecidos con usted.Competencia
4. CoordinaciónEs mucho más fácil para mí escribir pasajes críticos sobre la coordinación del equipo, porque estaba involucrado y definitivamente no ofenderé a nadie aquí. Entonces, para una coordinación efectiva, necesita una persona que entienda muy bien lo que está sucediendo aquí, cómo funciona el pentest, entiende las cadenas de matar y, en general, debe comprender los detalles del trabajo de cada persona. Obviamente, esta es una persona con antecedentes de pentester que practica activamente o ha practicado en el pasado reciente (menos de seis meses).
Por otro lado, es difícil ver a los muchachos descifrar algo, buscar formas de salir del callejón sin salida en algún lugar, pero es muy difícil no involucrarse en ninguno de los problemas. Esto se convirtió en un problema para mí, y objetivamente no pude enfrentarlo. En algún momento, participé activamente en la exfiltración de los datos y comencé a ayudar a luchar contra el equipo de la competencia. Debido a esto, durante 3-4 horas, parte del equipo (aproximadamente el 30% de los participantes) simplemente se perdió y no sabía qué hacer. Ahora me doy cuenta de que sería mucho más correcto delegar esta tarea a uno de los miembros del equipo y continuar supervisando la imagen general de las competiciones yo mismo. Después de todo, el coordinador siempre debe saber lo que está sucediendo en cada una de las áreas de trabajo.
Ejemplo con PHDays IX: En la segunda hora de la competencia, notamos una relación entre el dominio Bigbrogroup y cf-media. Como resultado, al tener una cuenta de administrador de empresa, solo nos dimos cuenta después de 5 horas de que también se podía usar en el segundo dominio. Justo antes, nadie prestó atención al dominio de conexión, que apareció en ambas tareas. Supongo que si utilizamos esta cuenta, podríamos haber tomado el control del segundo dominio mucho antes de la fusión anunciada oficialmente y ahorrarnos mucho tiempo y nervios.
TL; DR: El coordinador debe tratar de no profundizar en los detalles, sino mirar la imagen como un todo.5. Interacción con los organizadores.Específicamente, este momento en nuestro caso funcionó como un reloj. Pero notamos que muchos equipos interactúan con los organizadores de manera muy pasiva o no interactúan en absoluto. En primer lugar, debe supervisar cuidadosamente las actualizaciones en los chats de telegramas. Muchos equipos ni siquiera vieron los resultados de las redes sociales. ingeniería, hasta que fueron anunciados desde la escena, pero ya era demasiado tarde. Todos somos seres humanos y es común que todos cometan errores. Entonces, en el marco del juego, encontramos 3-4 errores que afectaron directamente nuestros puntos, informaron a los organizadores y corrigieron la situación. Lo mismo ocurre con el formato de la bandera.
TL; DR: Presta atención a todo lo que dicen los organizadores. No dude en preguntarles si de repente no comprende algo.6. PapelesPor segundo año consecutivo, los organizadores, en el marco de sus informes, hablan sobre la investigación, que, entre otras cosas, encontró su aplicación en el marco de StandOff. Por lo tanto, definitivamente necesita una persona o grupo de personas que recorra todas las secciones con informes técnicos con temas cercanos a StandOff y haga un breve recuento para aquellos que están luchando en el sitio de StandOff. En particular, este año hubo un informe, utilizando el cual fue posible acceder a uno de los sistemas de sistemas de control industrial.
TL; DR: Intente resaltar a una persona o grupo de personas para que asistan a todos los informes técnicos.Me gustaría terminar esta serie de artículos con algunos comentarios sobre las competiciones mismas. Como he dicho más de una vez, el hecho principal de Standoff en los últimos 3 años es uno y el mismo hecho: la seguridad siempre ha sido y será parte del compromiso entre la funcionalidad, la usabilidad y la seguridad misma. Y en el caso de la vida real, la funcionalidad y la usabilidad defienden firmemente el negocio.
La seguridad no es un fin en sí misma, sino solo una de las herramientas que ayudan a las empresas. Y no se cumplen todos los deseos de los expertos en seguridad de la información. Precisamente porque van en contra de los intereses del negocio. Más de una vez durante la competencia nos encontramos con una situación en la que los piratas informáticos encontraron un servicio vulnerable, y los defensores simplemente lo desactivaron. Imagina que esto sucede en un banco. Algunos piratas informáticos encontraron una vulnerabilidad en el sistema RBS y comenzaron a estudiarla, y el servicio IS, al ver esto, apagó este sistema, y no durante una hora, sino durante varios días. La compañía incurriría en enormes pérdidas. Un empleado que decidió deshabilitar el servicio será despedido, y el servicio se restaurará de inmediato. Pero, por desgracia, en el formato actual de la competencia esto es imposible, y este es el factor principal que nos impide mostrar la imagen real en un mundo donde, desafortunadamente, IS "se pone al día" con las capacidades de los piratas informáticos, y no al revés.