Olá pessoal! Já se passaram várias semanas desde a nossa vitória, as emoções diminuíram, então chegou a hora de avaliar e analisar o que não conseguimos. Não importa em nosso trabalho - vencemos a competição ou encontramos uma vulnerabilidade em um projeto real, mas é sempre importante trabalhar nos bugs e entender o que poderia ser feito melhor. De fato, da próxima vez que as equipes rivais puderem ser mais fortes e a infraestrutura do cliente estiver melhor protegida. Em geral, o artigo que sugiro que você leia abaixo é controverso e é mais controverso do que contém receitas de trabalho garantidas. No entanto, julgue por si mesmo.
Preparação
Como escrevi na primeira parte, a preparação foi um elemento incrivelmente importante da nossa vitória. Como parte dessa fase, lançamos as bases para uma vitória futura. Mas também, diante de alguns erros, colocamos várias bombas-relógio nessa base, que podem explodir e enterrar toda a estrutura.
1. EquipeNossa equipe era composta por 20 pessoas e, para ser sincero, isso é muito. Objetivamente, voltando-me agora para tudo após o tempo, vejo que pela mesma vitória confiante teríamos 7-8 pessoas. E para os menos confiantes, seria suficiente ter 4-5 especialistas em resultados. Quanto mais pessoas na equipe, maior a probabilidade de conflitos, porque essas competições são um grande estresse, especialmente no segundo dia da competição e sem sono normal. Infelizmente, a realidade é que você não encontrará 20 hackers igualmente bons, o que significa que você ainda precisa garantir a qualidade de especialistas mais jovens, o que resultará na duplicação do trabalho deles.
Um fator importante pode ser a diferença de atitude em relação à competição. Venho participando há mais de um ano e quase todas as vezes que vejo a seguinte situação: um dos membros da equipe sai às 18-19 horas com as palavras “o dia de trabalho acabou”, e isso MUITO desmotiva o resto. E, por um lado, parece estar certo, porque para muitas pessoas isso é apenas um trabalho. E por outro lado - desmotiva muito os caras para quem essas competições significam muito mais do que apenas trabalhar. Para eles, isso faz parte da vida. Talvez essas coisas façam sentido discutir com antecedência dentro da equipe antes do início da competição.
TL; DR: qualidade é mais importante que quantidade. Muitos participantes nem sempre são bons.2. A exploração de vulnerabilidades atípicasObjetivamente falando, isso também não funcionou como pretendido. Como você se lembra, em preparação para vulnerabilidades desconhecidas para nós, escrevemos abordagens padrão e também baixamos ferramentas para realizar esses ataques. Este foi o passo certo, mas mais alguns tiveram que ser feitos. Em primeiro lugar, ao se preparar para tais competições, é necessário, antes de tudo, estudar a base técnica e a arquitetura das soluções. Por exemplo, no caso de sistemas de controle industrial, longe de todos os responsáveis por essa área em nossa equipe entendiam a diferença entre o controlador, o SCAD e os servidores espalhados aqui e ali. O que levou à necessidade de estudar tudo isso durante a competição. Passou tanto tempo precioso. Bem, é claro, você precisa de uma pessoa que não apenas possa baixar todas as ferramentas necessárias, mas entenda por que você precisa e como instalá-lo, mas melhor - pré-instalei todo o software necessário em máquinas virtuais.
Um exemplo com o PHDays: uma das distribuições do software necessário consistia em imagens de 16 disquetes (as antigas são lembradas), foi instalada apenas no Windows XP e exigia a execução de um disquete na unidade de disquete. Não foi possível instalá-lo.
TL; DR: comece a se preparar em um mês ou até mais cedo. Não seja um script infantil, entenda o básico.3. Preparação do equipamentoNão é segredo que muitas vezes, para permanecer em um estado de fluxo, são necessários silêncio e paz. Bem, apenas sonhamos com paz, e o silêncio nos PHDays geralmente é um problema. Portanto, recomendo que, além de todos os equipamentos listados em nossos artigos, leve consigo um conjunto de tampões para os ouvidos e fones de ouvido à prova de som. Eles vão salvar você da confusão da multidão e de verificações de som inesperadas.
TL; DR: leve tampões para os ouvidos com você. É melhor dar alguns de sobra, outros participantes ficarão muito gratos a você.Concorrência
4. CoordenaçãoÉ muito mais fácil para mim escrever passagens críticas sobre a coordenação da equipe, porque eu estava envolvida e definitivamente não vou ofender ninguém aqui. Portanto, para uma coordenação eficaz, você precisa de uma pessoa que entenda muito bem o que está acontecendo aqui, como o pentest funciona, entenda cadeias de morte e, em geral, ele deve entender as especificidades do trabalho de cada pessoa. Obviamente, esta é uma pessoa com experiência em penteados que pratica ativamente ou praticou nos últimos anos (menos de seis meses).
Por outro lado, é difícil ver os caras quebrando algo, procurar maneiras de sair do impasse em algum lugar, mas é muito difícil não se envolver em nenhum dos problemas. Isso se tornou um problema para mim, e eu objetivamente não consegui lidar com isso. Em algum momento, eu estava ativamente envolvido na exfiltração dos dados e comecei a ajudar a combater a equipe competidora. Por isso, por 3-4 horas, parte da equipe (aproximadamente 30% dos participantes) simplesmente se perdeu e não sabia o que fazer. Agora percebo que seria muito mais correto delegar essa tarefa a um dos membros da equipe e continuar monitorando pessoalmente o quadro geral das competições. Afinal, o coordenador deve sempre saber o que está acontecendo em cada uma das áreas de trabalho.
Exemplo com PHDays IX: Na segunda hora da competição, notamos uma relação entre o domínio Bigbrogroup e a cf-media. Como resultado, com uma conta de administrador da empresa, percebemos apenas após 5 horas que ela também poderia ser usada no segundo domínio. Pouco antes, ninguém prestou atenção ao domínio de conexão, que apareceu nas duas tarefas. Suponho que, se usássemos essa conta, poderíamos assumir o controle do segundo domínio muito antes da fusão oficialmente anunciada e economizar muito tempo e nervosismo.
TL; DR: O coordenador deve tentar não se aprofundar nos detalhes, mas observar a imagem como um todo.5. Interação com os organizadoresEspecificamente, esse momento no nosso caso funcionou como um relógio. Mas percebemos que muitas equipes interagem com os organizadores de maneira muito passiva ou nem sequer interagem. Em primeiro lugar, você precisa monitorar cuidadosamente as atualizações nas conversas por telegrama. Muitas equipes nem sequer viram os resultados sociais. engenharia, até que eles foram anunciados a partir da cena, mas era tarde demais. Somos todos seres humanos e é comum que todos cometam erros. Então, na estrutura do jogo, encontramos 3-4 bugs que afetavam diretamente nossos pontos, relatados aos organizadores e eles corrigiram a situação. O mesmo vale para o formato do sinalizador.
TL; DR: Preste atenção a tudo o que os organizadores dizem. Sinta-se à vontade para perguntar se de repente você não entende alguma coisa.6. ArtigosPelo segundo ano consecutivo, os organizadores, no âmbito de seus relatórios, conversam sobre pesquisas que, entre outras coisas, encontraram sua aplicação no âmbito do StandOff. Portanto, você definitivamente precisa de uma pessoa ou grupo de pessoas que percorrerá todas as seções com relatórios técnicos com tópicos próximos ao StandOff e fará uma breve recontagem para aqueles que estão lutando no site do StandOff. Em particular, este ano houve um relatório, no qual foi possível obter acesso a um dos sistemas de sistemas de controle industrial.
TL; DR: Tente destacar uma pessoa ou grupo de pessoas para que elas participem de todos os relatórios técnicos.Gostaria de terminar esta série de artigos com um pequeno feedback sobre as próprias competições. Como já disse mais de uma vez, o principal fato do Standoff nos últimos 3 anos é o mesmo: a segurança sempre foi e fará parte do compromisso entre funcionalidade, usabilidade e segurança. E no caso da vida real, a funcionalidade e a usabilidade defendem com muita firmeza os negócios.
A segurança não é um fim em si, mas apenas uma das ferramentas que ajudam as empresas. E nem todos os desejos dos especialistas em segurança da informação são atendidos. Precisamente porque eles vão contra os interesses dos negócios. Mais de uma vez durante a competição, encontramos uma situação em que hackers encontraram um serviço vulnerável e os defensores simplesmente o desligaram. Imagine que isso acontece em um banco. Alguns hackers encontraram uma vulnerabilidade no sistema RBS e começaram a estudá-lo, e o serviço de IS, após ver isso, desativou o sistema, e não por uma hora, mas por vários dias. A empresa sofreria enormes perdas. Um funcionário que decidisse desativar o serviço seria demitido e o serviço seria restaurado imediatamente. Mas, infelizmente, isso não é possível no formato atual da competição, e esse é o principal fator que nos impede de mostrar a imagem real em um mundo em que, infelizmente, o IS "alcança" as capacidades dos hackers, e não vice-versa.