Halo semuanya! Sudah beberapa minggu sejak kemenangan kami, emosi mereda, sehingga waktu untuk mengambil penilaian dan analisis dari apa yang kami tidak berhasil. Itu tidak masalah dalam pekerjaan kami - kami memenangkan kompetisi atau menemukan kerentanan dalam proyek nyata, tetapi selalu penting untuk memperbaiki bug dan memahami apa yang bisa dilakukan dengan lebih baik. Memang, waktu berikutnya tim lawan bisa lebih kuat, dan infrastruktur klien lebih terlindungi. Secara umum, artikel yang saya sarankan Anda baca di bawah ini kontroversial dan lebih kontroversial daripada mengandung resep kerja yang terjamin. Namun, putuskan sendiri.
Persiapan
Seperti yang saya tulis di bagian pertama, persiapan adalah elemen yang sangat penting dari kemenangan kami. Sebagai bagian dari fase ini, kami meletakkan dasar untuk kemenangan di masa depan. Tetapi juga, mengingat beberapa kesalahan, kami menempatkan beberapa bom waktu di yayasan ini, yang dapat meledak dan mengubur seluruh struktur.
1. TimTim kami terdiri dari 20 orang, dan jujur โโ- ini banyak. Secara obyektif, sekarang beralih ke segalanya setelah berlalunya waktu, saya melihat bahwa untuk kemenangan penuh percaya diri yang sama kita akan memiliki 7-8 orang. Dan bagi yang kurang percaya diri, cukup untuk memiliki 4-5 spesialis yang berorientasi pada hasil. Semakin banyak orang dalam tim, semakin tinggi kemungkinan konflik, karena kompetisi seperti itu adalah tekanan besar, terutama pada hari kedua kompetisi dan tanpa tidur normal. Sayangnya, kenyataannya adalah bahwa Anda tidak akan menemukan 20 peretas yang sama baiknya, yang berarti bahwa Anda masih harus melakukan beberapa jaminan kualitas dari spesialis muda, yang akan menghasilkan duplikasi pekerjaan mereka.
Faktor penting mungkin perbedaan sikap terhadap kompetisi. Saya telah berpartisipasi selama lebih dari satu tahun dan hampir setiap kali saya melihat situasi berikut: salah satu anggota tim berangkat pukul 18-19.00 dengan kata-kata "hari kerja selesai", dan SANGAT ini sangat mendemotivasi yang lainnya. Dan di satu sisi, sepertinya benar, karena bagi banyak orang ini hanya pekerjaan. Dan di sisi lain - itu sangat mendemotivasi orang-orang yang menganggap kompetisi seperti itu lebih dari sekadar bekerja. Bagi mereka, ini adalah bagian dari kehidupan. Mungkin hal-hal seperti itu masuk akal untuk didiskusikan di dalam tim sebelum dimulainya kompetisi.
TL; DR: Kualitas lebih penting daripada kuantitas. Banyak peserta tidak selalu baik.2. Eksploitasi kerentanan atipikalBerbicara secara objektif, ini juga tidak berhasil sebagaimana dimaksud. Seperti yang Anda ingat, dalam persiapan untuk kerentanan yang tidak diketahui oleh kami, kami menulis pendekatan standar dan juga mengunduh alat untuk melakukan serangan tersebut. Ini adalah langkah yang tepat, tetapi beberapa lagi harus dilakukan. Pertama, dalam mempersiapkan kompetisi semacam itu, pertama-tama, perlu mempelajari basis teknis dan arsitektur solusi. Misalnya, dalam kasus sistem kontrol industri, jauh dari semua orang yang bertanggung jawab untuk area ini dalam tim kami memahami perbedaan antara controller, SCAD dan server yang tersebar di sana-sini. Yang akhirnya mengarah pada kebutuhan untuk mempelajari semua ini selama kompetisi. Begitu banyak waktu berharga telah berlalu. Yah, tentu saja, Anda membutuhkan orang yang tidak hanya dapat mengunduh semua alat yang diperlukan, tetapi memahami mengapa Anda membutuhkannya dan cara menginstalnya, tetapi - pra-instal semua perangkat lunak yang diperlukan pada mesin virtual.
Contoh dengan PHDays: salah satu distribusi perangkat lunak yang diperlukan terdiri dari gambar 16 disket (yang lama diingat), diinstal hanya pada Windows XP dan diperlukan disket di Floppy Disk Drive untuk dapat berjalan. Kami tidak dapat menginstalnya.
TL; DR: Mulai mempersiapkan dalam sebulan, atau bahkan lebih awal. Jangan jadi naskah kanak-kanak, pahami dasar-dasarnya.3. Persiapan peralatanBukan rahasia lagi bahwa sangat sering untuk tetap dalam keadaan tenang dan tenang dibutuhkan. Ya, kami hanya bermimpi tentang perdamaian, dan keheningan pada PHDays umumnya menjadi masalah. Karena itu, saya sarankan, selain semua peralatan yang tercantum dalam artikel kami, pastikan untuk membawa satu set penutup telinga dan headphone kedap suara. Mereka akan menyelamatkan Anda dari keriuhan dan dari soundcheck yang tidak terduga.
TL; DR: Bawa sangkutan telinga dengan Anda. Lebih baik mengambil beberapa cadangan, peserta lain akan SANGAT berterima kasih kepada Anda.Persaingan
4. KoordinasiJauh lebih mudah bagi saya untuk menulis ayat-ayat penting tentang koordinasi tim, karena saya terlibat di dalamnya, dan saya pasti tidak akan menyinggung siapa pun di sini. Jadi, untuk koordinasi yang efektif, Anda membutuhkan seseorang yang mengerti dengan sangat baik apa yang sedang terjadi di sini, bagaimana cara kerja pentest, memahami rantai pembunuhan, dan secara umum, ia harus memahami secara spesifik pekerjaan masing-masing orang. Jelas, ini adalah orang dengan latar belakang pentester yang aktif berlatih, atau telah berlatih di masa lalu (kurang dari enam bulan).
Di sisi lain, sulit untuk menonton orang-orang memecahkan sesuatu, mencari jalan keluar dari jalan buntu di suatu tempat, tetapi sangat sulit untuk tidak terlibat dalam masalah apa pun. Ini menjadi masalah bagi saya, dan saya secara objektif tidak bisa mengatasinya. Pada titik tertentu, saya secara aktif terlibat dalam pengusiran data dan mulai membantu melawan tim yang bersaing. Karena itu, selama 3-4 jam, bagian dari tim (sekitar 30% dari peserta) hilang dan tidak tahu harus berbuat apa. Sekarang saya menyadari bahwa akan jauh lebih tepat untuk mendelegasikan tugas ini kepada salah satu anggota tim, dan untuk terus memantau gambaran keseluruhan dari kompetisi sendiri. Lagi pula, koordinator harus selalu tahu apa yang terjadi di masing-masing bidang pekerjaan.
Contoh dengan PHDays IX: Di jam kedua kompetisi, kami melihat hubungan antara domain Bigbrogroup dan cf-media. Akibatnya, dengan memiliki akun admin perusahaan, kami baru menyadari setelah 5 jam bahwa itu juga dapat digunakan dalam domain kedua. Tepat sebelumnya, tidak ada yang memperhatikan domain penghubung, yang muncul di kedua tugas. Saya kira jika kita menggunakan akun ini, maka kita bisa mengendalikan domain kedua jauh sebelum merger diumumkan secara resmi dan menghemat banyak waktu dan keberanian.
TL; DR: Koordinator harus berusaha untuk tidak menggali rinciannya, tetapi lihatlah gambar secara keseluruhan.5. Interaksi dengan penyelenggaraSecara khusus, momen ini dalam kasus kami bekerja seperti jam. Tetapi kami memperhatikan bahwa banyak tim berinteraksi dengan panitia dengan sangat pasif atau tidak berinteraksi sama sekali. Pertama, Anda perlu memonitor pembaruan telegram dengan hati-hati. Banyak tim bahkan tidak melihat hasil sosial. teknik, sampai mereka diumumkan dari tempat kejadian, tetapi sudah terlambat. Kita semua adalah manusia dan sudah umum bagi semua orang untuk melakukan kesalahan. Jadi, dalam kerangka permainan, kami menemukan 3-4 bug yang secara langsung memengaruhi poin kami, melaporkan kepada penyelenggara dan mereka memperbaiki situasi. Hal yang sama berlaku untuk format bendera.
TL; DR: Perhatikan semua yang dikatakan penyelenggara. Jangan ragu untuk bertanya kepada mereka jika Anda tiba-tiba tidak mengerti sesuatu.6. MakalahUntuk tahun kedua berturut-turut, panitia, dalam kerangka laporan mereka, berbicara tentang penelitian, yang, antara lain, menemukan penerapannya dalam kerangka kerja StandOff. Oleh karena itu, Anda pasti membutuhkan seseorang atau sekelompok orang yang akan berkeliling di semua bagian dengan laporan teknis dengan topik yang dekat dengan StandOff dan membuat pengunduran singkat bagi mereka yang bertarung di situs StandOff. Secara khusus, tahun ini ada laporan, yang memungkinkan untuk mendapatkan akses ke salah satu sistem sistem kontrol industri.
TL; DR: Cobalah untuk menyoroti seseorang atau sekelompok orang sehingga mereka menghadiri semua laporan teknis.Saya ingin mengakhiri seri artikel ini dengan sedikit umpan balik pada kompetisi itu sendiri. Seperti yang telah saya katakan lebih dari sekali, fakta utama Standoff selama 3 tahun terakhir adalah fakta yang sama: keamanan selalu dan akan menjadi bagian dari kompromi antara fungsionalitas, kegunaan dan keamanan itu sendiri. Dan dalam kasus kehidupan nyata, fungsi dan kegunaan sangat tegas membela bisnis.
Keamanan bukanlah tujuan itu sendiri, tetapi hanya salah satu alat yang membantu bisnis. Dan tidak semua keinginan pakar keamanan informasi terpenuhi. Justru karena mereka bertentangan dengan kepentingan bisnis. Lebih dari sekali selama kompetisi kami menemukan situasi di mana peretas menemukan layanan yang rentan, dan para pembela mematikannya. Bayangkan ini terjadi di bank. Beberapa hacker menemukan kerentanan dalam sistem RBS dan mulai mempelajarinya, dan layanan IS, setelah melihat ini, mematikan sistem ini, dan bukan selama satu jam, tetapi selama beberapa hari. Perusahaan akan mengalami kerugian besar. Seorang karyawan yang memutuskan untuk menonaktifkan layanan akan dipecat, dan layanan akan segera dipulihkan. Tapi sayangnya, ini tidak mungkin dalam format kompetisi saat ini, dan ini adalah faktor utama yang mencegah kita untuk menunjukkan gambaran nyata di dunia di mana, sayangnya, IS โmengejar ketinggalanโ dengan kemampuan peretas, dan bukan sebaliknya.