Hallo allerseits! Es ist einige Wochen her, dass unser Sieg nachgelassen hat und die Emotionen nachgelassen haben. Daher war es an der Zeit, die Bewertung und Analyse dessen vorzunehmen, was uns nicht gelungen ist. Bei unserer Arbeit spielt es keine Rolle - wir haben den Wettbewerb gewonnen oder eine Schwachstelle in einem realen Projekt gefunden, aber es ist immer wichtig, an den Fehlern zu arbeiten und zu verstehen, was besser gemacht werden könnte. In der Tat können konkurrierende Teams das nächste Mal stärker sein und die Infrastruktur des Kunden ist besser geschützt. Im Allgemeinen ist der Artikel, den Sie unten lesen sollten, kontrovers und kontroverser als er garantiert funktionierende Rezepte enthält. Überzeugen Sie sich selbst.
Vorbereitung
Wie ich im ersten Teil schrieb, war die Vorbereitung ein unglaublich wichtiges Element unseres Sieges. Im Rahmen dieser Phase haben wir den Grundstein für einen zukünftigen Sieg gelegt. Aber auch, angesichts einiger Fehler, haben wir mehrere Zeitbomben in dieses Fundament gelegt, die explodieren und die gesamte Struktur begraben könnten.
1. TeamUnser Team bestand aus 20 Personen, und um ehrlich zu sein - das ist viel. Wenn ich mich nun im Laufe der Zeit alles zuwende, sehe ich objektiv, dass wir für denselben selbstbewussten Sieg 7-8 Menschen gehabt hätten. Und für die weniger Selbstbewussten würde es ausreichen, 4-5 ergebnisorientierte Spezialisten zu haben. Je mehr Leute im Team sind, desto höher ist die Wahrscheinlichkeit von Konflikten, da solche Wettbewerbe eine große Belastung darstellen, insbesondere am zweiten Tag des Wettbewerbs und ohne normalen Schlaf. Leider ist die Realität, dass Sie nicht 20 gleich gute Hacker finden, was bedeutet, dass Sie immer noch eine Qualitätssicherung für jüngere Spezialisten durchführen müssen, was zu einer Verdoppelung ihrer Arbeit führt.
Ein wichtiger Faktor kann die unterschiedliche Einstellung zum Wettbewerb sein. Ich nehme seit mehr als einem Jahr teil und sehe fast jedes Mal die folgende Situation: Eines der Teammitglieder geht um 18-19 Uhr mit den Worten „Der Arbeitstag ist vorbei“, und dies demotiviert den Rest SEHR stark. Einerseits scheint es richtig zu sein, denn für viele Menschen ist dies nur ein Job. Und auf der anderen Seite - es demotiviert die Leute, für die solche Wettbewerbe viel mehr bedeuten als nur Arbeit. Für sie ist dies ein Teil des Lebens. Vielleicht ist es sinnvoll, solche Dinge vor Beginn des Wettbewerbs im Team zu besprechen.
TL; DR: Qualität ist wichtiger als Quantität. Viele Teilnehmer sind nicht immer gut.2. Die Ausnutzung atypischer SchwachstellenObjektiv gesehen hat dies auch nicht wie beabsichtigt geklappt. Wie Sie sich erinnern, haben wir zur Vorbereitung auf uns unbekannte Sicherheitslücken Standardansätze geschrieben und Tools für die Durchführung solcher Angriffe heruntergeladen. Dies war der richtige Schritt, aber noch ein paar andere mussten getan werden. Um sich auf solche Wettbewerbe vorzubereiten, müssen zunächst die technischen Grundlagen und die Architektur von Lösungen untersucht werden. Zum Beispiel haben bei industriellen Steuerungssystemen weit entfernt von allen Verantwortlichen für diesen Bereich in unserem Team den Unterschied zwischen dem Controller, SCAD und den hier und da verstreuten Servern verstanden. Was letztendlich dazu führte, dass dies alles während des Wettbewerbs untersucht werden musste. Es ist so viel kostbare Zeit vergangen. Natürlich benötigen Sie eine Person, die nicht nur alle erforderlichen Tools herunterladen kann, sondern auch versteht, warum Sie sie benötigen und wie sie installiert werden, sondern besser - die erforderliche Software auf virtuellen Maschinen vorinstalliert.
Ein Beispiel mit PHDays: Eine der Distributionen der erforderlichen Software bestand aus Images von 16 Disketten (alte werden gespeichert), wurde nur unter Windows XP installiert und erforderte eine Diskette im Diskettenlaufwerk, um ausgeführt zu werden. Wir konnten es nicht installieren.
TL; DR: Beginnen Sie in einem Monat oder noch früher mit der Vorbereitung. Sei kein Drehbuchkind, verstehe die Grundlagen.3. Vorbereitung der AusrüstungEs ist kein Geheimnis, dass sehr oft Stille und Frieden benötigt werden, um in einem Zustand des Flusses zu bleiben. Nun, wir träumen nur von Frieden und Schweigen an PHDays ist im Allgemeinen ein Problem. Daher empfehle ich, zusätzlich zu allen in unseren Artikeln aufgeführten Geräten einen Satz Ohrstöpsel und schalldichte Kopfhörer mitzubringen. Sie werden Sie sowohl vor dem Trubel der Menge als auch vor unerwarteten Soundchecks bewahren.
TL; DR: Nehmen Sie Ohrstöpsel mit. Nehmen Sie lieber ein paar Ersatzteile mit, andere Teilnehmer werden Ihnen SEHR dankbar sein.Wettbewerb
4. KoordinationEs ist viel einfacher für mich, kritische Passagen zur Teamkoordination zu schreiben, weil ich damit beschäftigt war und hier definitiv niemanden beleidigen werde. Für eine effektive Koordination benötigen Sie also eine Person, die sehr gut versteht, was hier vor sich geht, wie der Pentest funktioniert, Kill-Ketten versteht und im Allgemeinen die Besonderheiten der Arbeit jeder Person versteht. Offensichtlich ist dies eine Person mit Pentester-Hintergrund, die aktiv praktiziert oder in der jüngeren Vergangenheit (weniger als sechs Monate) praktiziert hat.
Auf der anderen Seite ist es schwierig zu beobachten, wie die Jungs etwas knacken, irgendwo nach Wegen aus der Sackgasse suchen, aber es ist sehr schwierig, sich nicht auf eines der Probleme einzulassen. Dies wurde zu einem Problem für mich und ich konnte es objektiv nicht bewältigen. Irgendwann war ich aktiv an der Exfiltration der Daten beteiligt und begann, gegen das konkurrierende Team zu kämpfen. Aus diesem Grund ging ein Teil des Teams (ungefähr 30% der Teilnehmer) 3-4 Stunden lang einfach verloren und wusste nicht, was zu tun war. Jetzt ist mir klar, dass es viel richtiger wäre, diese Aufgabe an eines der Teammitglieder zu delegieren und das Gesamtbild der Wettbewerbe weiterhin selbst zu überwachen. Schließlich sollte der Koordinator immer wissen, was in den einzelnen Arbeitsbereichen geschieht.
Beispiel mit PHDays IX: In der zweiten Stunde des Wettbewerbs haben wir eine Beziehung zwischen der Bigbrogroup-Domain und cf-media festgestellt. Als Ergebnis eines Unternehmensadministratorkontos haben wir erst nach 5 Stunden festgestellt, dass es auch in der zweiten Domäne verwendet werden kann. Kurz zuvor achtete niemand auf die Verbindungsdomäne, die in beiden Aufgaben auftrat. Ich nehme an, wenn wir dieses Konto verwenden würden, könnten wir lange vor der offiziell angekündigten Fusion die Kontrolle über die zweite Domain übernehmen und viel Zeit und Nerven sparen.
TL; DR: Der Koordinator sollte versuchen, nicht in die Details zu graben, sondern das Bild als Ganzes zu betrachten.5. Interaktion mit den OrganisatorenInsbesondere hat dieser Moment in unserem Fall wie eine Uhr funktioniert. Wir haben jedoch festgestellt, dass viele Teams sehr passiv oder überhaupt nicht mit den Organisatoren interagieren. Zunächst müssen Sie Aktualisierungen in Telegramm-Chats sorgfältig überwachen. Viele Teams sahen nicht einmal die Ergebnisse von Social Media. Engineering, bis sie von der Szene angekündigt wurden, aber es war zu spät. Wir sind alle Menschen und es ist üblich, dass jeder Fehler macht. Im Rahmen des Spiels haben wir also 3-4 Fehler gefunden, die sich direkt auf unsere Punkte auswirkten, den Organisatoren gemeldet und die Situation korrigiert. Gleiches gilt für das Flag-Format.
TL; DR: Achten Sie auf alles, was die Organisatoren sagen. Fühlen Sie sich frei, sie zu fragen, wenn Sie plötzlich etwas nicht verstehen.6. PapiereZum zweiten Mal in Folge sprechen die Organisatoren im Rahmen ihrer Berichte über Forschung, die unter anderem im Rahmen von StandOff Anwendung fand. Daher benötigen Sie auf jeden Fall eine Person oder eine Gruppe von Personen, die alle Abschnitte mit technischen Berichten zu Themen in der Nähe von StandOff durchgehen und für diejenigen, die auf der StandOff-Website kämpfen, eine kurze Nacherzählung durchführen. Insbesondere in diesem Jahr gab es einen Bericht, mit dem der Zugang zu einem der Systeme industrieller Steuerungssysteme ermöglicht wurde.
TL; DR: Versuchen Sie, eine Person oder eine Gruppe von Personen hervorzuheben, damit sie an allen technischen Berichten teilnehmen.Ich möchte diese Artikelserie mit einem kleinen Feedback zu den Wettbewerben selbst beenden. Wie ich mehr als einmal gesagt habe, ist die Haupttatsache von Standoff in den letzten 3 Jahren ein und dieselbe Tatsache: Sicherheit war und ist immer ein Teil des Kompromisses zwischen Funktionalität, Benutzerfreundlichkeit und Sicherheit. Und im realen Leben verteidigt die Funktionalität und Benutzerfreundlichkeit das Geschäft sehr stark.
Sicherheit ist kein Selbstzweck, sondern nur eines der Tools, die Unternehmen helfen. Und nicht alle Wünsche von Informationssicherheitsexperten werden erfüllt. Gerade weil sie den Interessen des Unternehmens zuwiderlaufen. Während des Wettbewerbs stießen wir mehr als einmal auf eine Situation, in der Hacker einen anfälligen Dienst fanden und die Verteidiger ihn einfach ausschalteten. Stellen Sie sich vor, dass dies in einer Bank passiert. Einige Hacker fanden eine Sicherheitslücke im RBS-System und begannen, diese zu untersuchen. Nachdem der IS-Dienst dies gesehen hatte, trennte er das System nicht für eine Stunde, sondern für mehrere Tage. Das Unternehmen würde enorme Verluste erleiden. Ein Mitarbeiter, der beschlossen hat, den Dienst zu deaktivieren, wird entlassen und der Dienst wird sofort wiederhergestellt. Leider ist dies im aktuellen Format des Wettbewerbs unmöglich, und dies ist der Hauptfaktor, der uns daran hindert, das wirkliche Bild in einer Welt zu zeigen, in der IS leider die Fähigkeiten von Hackern „einholt“ und nicht umgekehrt.