大家好! 自我们胜利以来已经过去了几周,情绪平息了,所以现在该进行评估和分析我们没有成功的事情了。 在我们的工作中,这并不重要-我们赢得了比赛或在一个真实的项目中发现了一个漏洞,但是处理错误并了解可以做得更好的事情始终很重要。 确实,下一次竞争对手的团队会变得更强大,并且客户的基础架构会得到更好的保护。 总的来说,我建议您在下面阅读的文章是有争议的,并且比包含有保证的工作方法更具争议。 但是,请自己判断。
准备工作
正如我在第一部分中所写,准备工作是我们取得胜利的极其重要的因素。 作为此阶段的一部分,我们为未来的胜利奠定了基础。 但是,由于某些错误,我们在该基础中放置了几枚定时炸弹,它们可能会爆炸并掩埋整个结构。
1.团队我们的团队由20人组成,老实说-很多。 客观地讲,随着时间的流逝,现在转向一切,我看到对于同样的自信胜利,我们将拥有7-8个人。 对于不太自信的人,拥有4-5位注重结果的专家就足够了。 团队中的人越多,发生冲突的可能性就越高,因为这样的比赛压力很大,尤其是在比赛的第二天,没有正常的睡眠。 不幸的是,现实是您找不到20个同样优秀的黑客,这意味着您仍然必须对年轻专家进行质量保证,这将导致他们的工作重复。
一个重要因素可能是对竞争态度的差异。 我参加比赛已经有一年多了,几乎每次我看到以下情况时:一名团队成员在18-19.00离开,上面写着“工作日结束”,这极大地激励了其他人。 一方面,这似乎是正确的,因为对于许多人来说,这只是一项工作。 另一方面-这极大地挫败了那些竞争对他们而言不仅仅是工作的人。 对于他们来说,这是生活的一部分。 也许在比赛开始之前事先在团队内部进行讨论是有意义的。
TL; DR:质量比数量重要。 许多参与者并不总是很好。2.利用非典型漏洞客观地讲,这也不符合预期。 您记得,为准备我们未知的漏洞,我们制定了标准方法并下载了进行此类攻击的工具。 这是正确的步骤,但还必须完成其他几个步骤。 首先,在准备此类比赛时,首先,有必要研究解决方案的技术基础和架构。 例如,在工业控制系统的情况下,我们团队中负责该领域的每个人都远远不了解分散在各处的控制器,SCAD和服务器之间的区别。 最终导致需要在比赛中进行所有研究。 如此宝贵的时间已经过去了。 好吧,当然,您需要一个不仅能够下载所有必要工具,而且能够理解您为什么需要它以及如何安装它的人,而且更好-在虚拟机上预安装所有必要软件。
PHDays的示例:必要软件的发行版之一,包含16张软盘的映像(记住旧的软盘),仅在Windows XP上安装,并且需要运行软盘驱动器中的软盘。 我们无法安装它。
TL; DR:在一个月或更早的时间内开始准备。 不要成为脚本小子,了解基本知识。3.设备准备经常需要保持沉默与和平,这已经不是什么秘密了。 好吧,我们只梦想和平,而在PHDays保持沉默通常是一个问题。 因此,除了建议使用我们列出的所有设备外,我还建议您随身携带一套耳塞和隔音耳机。 他们可以将您从人群的喧嚣和意外的声音检查中拯救出来。
TL; DR:随身携带耳塞。 最好选择几个备用的,其他参与者将非常感谢您。比赛项目
4.协调对于我来说,撰写关于团队协调的重要文章要容易得多,因为我参与其中,而且我绝对不会在这里冒犯任何人。 因此,为了进行有效的协调,您需要一个非常了解这里发生的事情,最严格的工作原理,理解杀手链的人员,并且总的来说,他必须了解每个人的工作细节。 显然,这是一个具有彭特背景的人,他正在积极练习或最近(不到六个月)练习过。
另一方面,很难看到这些家伙裂开东西,寻找摆脱僵局的方法,但是很难不介入任何问题。 这对我来说是一个问题,我客观上无法解决。 在某个时候,我一直在积极地进行数据泄露,并开始帮助与竞争的团队作战。 因此,在3-4小时内,团队的一部分(大约30%的参与者)只是迷路了,不知道该怎么办。 现在,我意识到将这项任务委派给其中一名团队成员,并继续自己监控比赛的整体情况会更加正确。 毕竟,协调员应该始终了解每个工作领域中正在发生的事情。
PHDays IX的示例:在比赛的第二个小时,我们注意到Bigbrogroup域与cf-media之间存在关联。 结果,有了一个企业管理员帐户,我们仅在5个小时后才意识到它也可以在第二个域中使用。 之前,没有人关注连接域,这在两个任务中都已出现。 我想如果使用此帐户,那么我们可以早在正式宣布的合并之前就控制了第二个域,从而节省了很多时间和精力。
TL; DR:协调员不应尝试深入研究细节,而应从整体上看图。5.与组织者的互动具体而言,在我们的情况下,这一刻像时钟一样工作。 但是我们注意到许多团队与组织者之间的互动非常被动,或者根本不互动。 首先,您需要仔细监控电报聊天中的更新。 许多团队甚至没有看到社交的结果。 工程,直到他们从现场宣布,但为时已晚。 我们都是人类,每个人都会犯错误。 因此,在游戏的框架内,我们发现了3-4个直接影响我们观点的错误,并向组织者报告并纠正了这种情况。 标志格式也是如此。
TL; DR:请注意组织者所说的一切。 如果您突然不明白某些内容,请随时问他们。6.论文连续第二年,组织者在其报告框架中谈论研究,研究除其他外,将其应用到StandOff框架中。 因此,您肯定需要一个人或一群人,他们将围绕所有主题提供技术报告,主题接近StandOff,并对在Standoff网站上战斗的人进行简短的重述。 特别是,今年有一份报告,可以使用该报告访问工业控制系统之一。
TL; DR:尝试突出显示一个人或一群人,以便他们参加所有技术报告。在结束本系列文章时,我希望对比赛本身有所反馈。 正如我不止一次提到的,过去三年来,僵局的一个主要事实是一个事实:安全性一直是并将成为功能性,可用性和安全性之间妥协的一部分。 在现实生活中,功能和可用性非常牢固地捍卫了业务。
安全本身并不是目的,而只是帮助企业的工具之一。 并非所有的信息安全专家都满足。 正是因为它们与业务利益背道而驰。 在比赛中,我们不止一次遇到一种情况,即黑客发现了一个易受攻击的服务,而防御者只是将其关闭了。 想象一下,这是在银行发生的。 一些黑客在RBS系统中发现了一个漏洞并开始对其进行研究,IS服务发现此漏洞后,关闭了该系统的时间不是一个小时,而是几天。 该公司将蒙受巨大损失。 决定停用该服务的员工将被解雇,并立即恢复该服务。 但是,a,在当前的竞赛形式中,这是不可能的,并且这是阻止我们在一个不幸的是IS能够“抓住”黑客能力,反之亦然的世界中展现真实情况的主要因素。