Bonjour à tous! Cela fait plusieurs semaines que nous avons remporté notre victoire, les émotions se sont apaisées, le temps est donc venu d'évaluer et d'analyser ce que nous n'avons pas réussi. Cela n'a pas d'importance dans notre travail - nous avons gagné le concours ou trouvé une vulnérabilité dans un vrai projet, mais il est toujours important de travailler sur les erreurs et de comprendre ce qui pourrait être mieux fait. En effet, la prochaine fois, les équipes rivales pourront être plus fortes et l'infrastructure du client sera mieux protégée. En général, l'article que je vous suggère de lire ci-dessous est controversé et est plus controversé qu'il contient des recettes de travail garanties. Cependant, jugez par vous-même.
La préparation
Comme je l'ai écrit dans la première partie, la préparation a été un élément incroyablement important de notre victoire. Dans le cadre de cette phase, nous avons jeté les bases d'une future victoire. Mais aussi, au vu de certaines erreurs, nous avons mis plusieurs bombes à retardement dans cette fondation, qui pourraient exploser et enterrer toute la structure.
1. ÉquipeNotre équipe était composée de 20 personnes, et pour être honnête - c'est beaucoup. Objectivement, en me tournant maintenant vers tout après le passage du temps, je vois que pour la même victoire confiante, nous aurions eu 7-8 personnes. Et pour les moins confiants, il suffirait d'avoir 4-5 spécialistes orientés résultats. Plus il y a de personnes dans l'équipe, plus la probabilité de conflits est grande, car ces compétitions sont un stress énorme, surtout le deuxième jour de la compétition et sans sommeil normal. Malheureusement, la réalité est que vous ne trouverez pas 20 hackers tout aussi bons, ce qui signifie que vous devez encore faire une certaine assurance qualité de jeunes spécialistes, ce qui entraînera une duplication de leur travail.
Un facteur important peut être la différence d'attitude face à la concurrence. Je participe depuis plus d'un an et presque chaque fois que je vois la situation suivante: un des membres de l'équipe part à 18-19.00 avec les mots "la journée de travail est terminée", et cela démotive TRÈS fortement le reste. Et d'une part, cela semble juste, car pour beaucoup de gens, ce n'est qu'un travail. Et de l'autre - cela démotive très les gars pour qui de telles compétitions signifient beaucoup plus que simplement travailler. Pour eux, cela fait partie de la vie. Peut-être que de telles choses ont du sens à discuter à l'avance au sein de l'équipe avant le début de la compétition.
TL; DR: La qualité est plus importante que la quantité. Beaucoup de participants ne sont pas toujours bons.2. L'exploitation de vulnérabilités atypiquesObjectivement parlant, cela n'a pas non plus fonctionné comme prévu. Comme vous vous en souvenez, en prévision de vulnérabilités qui nous sont inconnues, nous avons rédigé des approches standard et également téléchargé des outils pour mener à bien de telles attaques. C'était la bonne étape, mais il fallait encore faire quelques autres. Premièrement, pour se préparer à de tels concours, tout d'abord, il est nécessaire d'étudier la base technique et l'architecture des solutions. Par exemple, dans le cas des systèmes de contrôle industriels, loin de tous les responsables de ce domaine dans notre équipe ont compris la différence entre le contrôleur, SCAD et les serveurs qui étaient éparpillés ici et là. Ce qui a finalement conduit à la nécessité d'étudier tout cela pendant la compétition. Tant de temps précieux s'est écoulé. Eh bien, bien sûr, vous avez besoin d'une personne qui pourrait non seulement télécharger tous les outils nécessaires, mais comprendre pourquoi vous en avez besoin et comment l'installer, mais plutôt - préinstaller tous les logiciels nécessaires sur des machines virtuelles.
Un exemple avec PHDays: l'une des distributions du logiciel nécessaire se composait d'images de 16 disquettes (les anciennes sont mémorisées), n'était installée que sur Windows XP et nécessitait une disquette dans le lecteur de disquette pour fonctionner. Nous n'avons pas pu l'installer.
TL; DR: Commencez à vous préparer dans un mois, ou même plus tôt. Ne soyez pas un gamin de script, comprenez les bases.3. Préparation de l'équipementCe n'est un secret pour personne que très souvent, pour rester dans un état de flux, le silence et la paix sont nécessaires. Eh bien, nous ne rêvons que de paix, et le silence les PHDays est généralement un problème. Par conséquent, je recommande, en plus de tous les équipements répertoriés dans nos articles, n'oubliez pas d'apporter un ensemble de bouchons d'oreille et des écouteurs insonorisés avec vous. Ils vous sauveront à la fois du brouhaha de la foule et des vérifications sonores inattendues.
TL; DR: Emportez des bouchons d'oreille avec vous. Mieux vaut en prendre quelques autres, les autres participants vous seront TRÈS reconnaissants.Compétition
4. CoordinationC’est beaucoup plus facile pour moi d’écrire des passages critiques sur la coordination d’équipe, car j’y étais engagé et je n’offenserai personne ici. Donc, pour une coordination efficace, vous avez besoin d'une personne qui comprend très bien ce qui se passe ici, comment fonctionne le pentest, comprend les chaînes de mise à mort et, en général, il doit comprendre les spécificités du travail de chaque personne. De toute évidence, il s'agit d'une personne ayant une formation de pentester qui pratique activement ou a pratiqué récemment (moins de six mois).
D'un autre côté, c'est difficile de regarder les gars casser quelque chose, chercher des moyens de sortir de l'impasse quelque part, mais c'est très difficile de ne pas être impliqué dans aucun des problèmes. Cela est devenu un problème pour moi et je ne pouvais objectivement pas y faire face. À un certain moment, j'ai été activement engagé dans l'exfiltration des données et j'ai commencé à aider à combattre l'équipe en compétition. Pour cette raison, pendant 3-4 heures, une partie de l'équipe (environ 30% des participants) s'est simplement perdue et ne savait pas quoi faire. Maintenant, je me rends compte qu'il serait beaucoup plus correct de déléguer cette tâche à l'un des membres de l'équipe et de continuer à surveiller moi-même la situation globale des compétitions. Après tout, le coordinateur doit toujours savoir ce qui se passe dans chacun des domaines de travail.
Exemple avec PHDays IX: Dans la deuxième heure du concours, nous avons remarqué une relation entre le domaine Bigbrogroup et cf-media. En conséquence, ayant un compte administrateur d'entreprise, nous avons réalisé seulement après 5 heures qu'il pouvait également être utilisé dans le deuxième domaine. Juste avant, personne ne faisait attention au domaine de connexion, qui apparaissait dans les deux tâches. Je suppose que si nous utilisions ce compte, nous pourrions alors prendre le contrôle du deuxième domaine bien avant la fusion officiellement annoncée et économiser beaucoup de temps et de nerfs.
TL; DR: Le coordinateur devrait essayer de ne pas fouiller dans les détails, mais de regarder l'image dans son ensemble.5. Interaction avec les organisateursPlus précisément, ce moment dans notre cas a fonctionné comme une horloge. Mais nous avons remarqué que de nombreuses équipes interagissent avec les organisateurs de manière très passive ou n'interagissent pas du tout. Tout d'abord, vous devez surveiller attentivement les mises à jour dans les chats de télégramme. De nombreuses équipes n'ont même pas vu les résultats du social. l'ingénierie, jusqu'à ce qu'ils soient annoncés sur la scène, mais il était trop tard. Nous sommes tous des êtres humains et il est courant que chacun fasse des erreurs. Donc, dans le cadre du jeu, nous avons trouvé 3-4 bugs qui affectaient directement nos points, rapportés aux organisateurs et ils ont corrigé la situation. Il en va de même pour le format du drapeau.
TL; DR: Faites attention à tout ce que disent les organisateurs. N'hésitez pas à leur demander si vous ne comprenez soudainement pas quelque chose.6. PapiersPour la deuxième année consécutive, les organisateurs, dans le cadre de leurs reportages, parlent de recherche, qui a notamment trouvé son application dans le cadre de StandOff. Par conséquent, vous avez certainement besoin d'une personne ou d'un groupe de personnes qui parcourra toutes les sections avec des rapports techniques sur des sujets proches de StandOff et rédigera de courts récits pour ceux qui se battent sur le site StandOff. En particulier, cette année, il y avait un rapport, à l'aide duquel il était possible d'avoir accès à l'un des systèmes de systèmes de contrôle industriels.
TL; DR: Essayez de mettre en évidence une personne ou un groupe de personnes afin qu'elles assistent à tous les rapports techniques.Je voudrais terminer cette série d'articles par un petit retour sur les compétitions elles-mêmes. Comme je l'ai dit plus d'une fois, le principal fait de Standoff au cours des 3 dernières années est un seul et même fait: la sécurité a toujours été et fera partie du compromis entre fonctionnalité, convivialité et sécurité elle-même. Et dans le cas de la vie réelle, la fonctionnalité et l'utilisabilité défendent très fermement l'entreprise.
La sécurité n'est pas une fin en soi, mais seulement l'un des outils qui aident les entreprises. Et tous les désirs des experts en sécurité de l'information ne sont pas satisfaits. Précisément parce qu'ils vont à l'encontre des intérêts de l'entreprise. Plus d'une fois pendant la compétition, nous sommes tombés sur une situation où les pirates ont trouvé un service vulnérable et les défenseurs l'ont simplement désactivé. Imaginez que cela se passe dans une banque. Un pirate a trouvé une vulnérabilité dans le système RBS et a commencé à l'étudier, et le service IS, après l'avoir vu, a désactivé ce système, non pas pendant une heure, mais pendant plusieurs jours. L'entreprise subirait d'énormes pertes. Un employé qui a décidé de désactiver le service serait renvoyé et le service serait rétabli immédiatement. Mais hélas, ce n'est pas possible dans le format actuel de la compétition, et c'est le principal facteur qui nous empêche de montrer la vraie image dans un monde où, malheureusement, l'EI «rattrape» les capacités des pirates, et non l'inverse.