- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Milyen routert?
- Musk átirányította a Teslának szánt AI-chipeket
- Az AI függővé teszi a bankokat a big tech-től
- Opera böngésző
- Amazon
- Facebook és Messenger
- Nem szavazza meg Musk 56 milliárd dolláros csomagját a norvég állami vagyonalap
- Synology NAS
- Windows 11
Új hozzászólás Aktív témák
-
- KT -
csendes tag
Köszönjük a gratulációkat!
Ha érdekel titeket is az informatikai biztonság és még továbbtanulás előtt álltok, akkor tudom javasolni a BME-t, azon belül is a CrySyS-t.
Folyamatosan tartunk felkészítőket újoncoknak, hogy ők is könnyedén be tudjanak kapcsolódni a munkákba, sőt évente megrendezzük a saját egyetemen belüli hacker versenyünket is (a Security Challenge-t), ahol lehetőség van mindenkinek kipróbálni magát és akár értékes nyereményeket is begyűjteni.
-
- KT -
csendes tag
válasz
Tigerclaw
#16
üzenetére
Koordinációban még nem vagyunk túl profik, de már az is sokat alakult az idők során, a többi versenyen tipikusan sokkal kevesebben (2-3, néha kicsit többen) vagyunk, szóval általában ez nem jelent gondot.
Az iCTF minden évben más és más, így a stratégiát is mindig máshogy kell kialakítani, tavaly pl. előre kiadták az amúgy viszonylag komplexebb szabályrendszert, ebben az évben sokkal egyszerűbb volt, de csak a verseny előtt 1 nappal tudtuk meg.
A verseny úgy indult, hogy kiderült most az a nagy trükk, hogy a szokásos 8-9 feladat helyett most 42(!) éles, futó szolgáltatást kellett megvédenünk / megtámadnunk, viszont ezek közül sok régi (előző években használt) szolgáltatás volt, csak kicsit javítottak, módosítottak rajta, de nem minden.
Tehát az első óra (amíg nem lehetett támadni) kb. azzal telt, hogy Googleztünk minden elérhető információt a szolgáltatásokról (ez párhuzamba húzható azzal, hogy a valós életben is sokan ugyanazokat a szolgáltatásokat használják, amikhez már elérhetőek támadások, vagy éppen azok kivédése). Ezeket összegyűjtöttük és kezdük a sajátjainkat patchelni (kijavítani a hibát), illetve amikor letelt az 1 órás felkészülési idő egyből támadni a többieket a begyűjtött exploitokkal (támadásokkal). Ez olyan jól sikerült, hogy mi voltunk, akik az első 4 sikeres exploitot beküldtük (tehát innentől ezek a verseny végéig támadták az ellenfél csapatokat automatikusan).
Ezután a figyelmünk átterelődött arra, hogy a szolgáltatásaink stabilan fussanak, mert azt mérték, hogy nem fut / fut, de még sérülékeny / fut és már nem sérülékeny és ennek megfelelően határozták meg azt a globális százalékot (SLA), amivel minden pontunkat beszoroztak.
Így próbáltunk minden patchelni, amit lehetett. Közben mivel az idő is haladt és láttuk, hogy több mindent exploitáltak a mi szolgáltatásaink közül is, ezért az előre szolgáltatásonként szétválasztott hálózati forgalmat kezdtük el elemezni, ahol ha volt kikerestük a minket támadó támadókódokat és átalakítottuk úgy, hogy az a többieket is támadja a nevünkben
(ez nagyon hasonló ahhoz, amikor pl. egy malware kampány beindul és a vírusírtó cég ezt felismeri és elkészíti az antivírus szignatúrát vagy egy másik cég beleépíti a saját támadó moduljába, pl. a metasploit frameworkbe). Itt fontos megjegyezni, hogy ez főleg csak az ilyen fajta versenyen működik (hogy mások exploitjait 'el tudjuk lopni'), ami kicsit unfair, hisz az elsőnek jóval nagyobb munka egy ilyen támadókódot elkészíteni, mint azt második, harmadik, stbként 'csak' felhasználni.A végén amikor pedig már kezdett stabilizálódni minden áttértünk arra, hogy ami először már majdnem luxusnak számított (hisz eddig mindig fontos volt, hogy minél előbb csináljunk meg mindent), hogy olyan szolgáltatásokat is feltörjünk, amiket más még nem vagy csak nagyon kevesen törtek fel (pl. ilyenek voltak a vadiúj, csak a mostani iCTFre készített szolgáltatások).
Egyébként ez a része az, amit a többi CTFen nagyon sokat csinálunk: programokat, kriptográfiai protokollokat, stb törünk fel. Ez többször jóval bonyolultabb is, ezért egy ilyen gyors ütemű versenyen nehezebb is (hisz néha egy ilyen feladat megoldása 4-12 óra csak önmagában), viszont 'tisztábban' méri a tudást. Ilyen versenyeken (jeopardy CTFek) tavaly csak 26 alkalommal vettünk részt, úgy hogy azok 24-48 órásak általában. Így végeztünk tavaly nemzetközi szinten 14. helyen a kb. 6200 pontszerzőből. Most jelenleg 10. helyen állunk: https://ctftime.org/
Egyébként itt egy összefoglalószerűség, ami nem rég ment le az újonckörünkön: https://tresor.it/s#yPeJuEU692wbZr9ekPNA9g
Egyébként a verseny vége is elég beteg volt, az utolsó órában nagyon sok exploitot daráltunk be, én az utolsó 8 percben küldtem még egyet (azelőtt pedig 20 perccel egyet egy olyan feladatra, amire addig más még nem) és talán azelőtt pár perccel vettük át a vezetést. Nem igazán volt megállás, még a verseny után órákkal (hajnali órákban ugye) is írkáltunk egymásnak, mert a koffeintől és eufóriától nem igazán tudtunk aludni...
[ Szerkesztve ]
-
- KT -
csendes tag
válasz
-Skylake-
#20
üzenetére
Tipikusan nincs túlságosan, annyi szabály van, hogy nem támadhatod a szervezők rendszerét, mert kizárnak. Ez egyben azt is jelenti, hogy le is tudod DoS-olni a másik rendszerét, vagy esetleg teljesen feltörni (mondjuk rootra) és letörölni az egészet vagy belülről DoS-olni, stb.
Mivel a fentebb leírtak elég vadnyugati környezetet eredményeznek, ami ellen csak a profibb csapatok tudnak megfelelően védekezni, ezért az iCTFen ezt megszüntették 2 éve és helyette úgy működik a dolog, hogy egy központi szerverre kell feltölteni az exploitodat, amit leellenőriznek, hogy 1) működik-e 2) nem csinál-e csúnyaságokat (pl. töröl valamit, amit nem kellene) és ha ez megfelelő a követelményeknek csak akkor eresztik rá a többi fél gépeire.
Pl. amikor első évben vettünk részt az iCTFen, akkor annyira tapasztalatlanok voltunk, hogy amíg próbáltuk feltörni mások szolgáltatásait, addig mások már annyira megtörték a mi rendszerünket és arról DoSolták a többieket, hogy a szervezők már ki akartak minket zárni.
De szerencsére azóta már sokat fejlődtünk... -
- KT -
csendes tag
válasz
-Skylake-
#27
üzenetére
Hát erősen változó, nem igazán specializálódtunk direkt, de mégis inkább szórtabb a tudásunk, mindenki amit hobbiból / munkából / szakirányú tanulmányokból összeszedett azzal rendelkezik és erre rakódik rá a közös gyűléseken begyűjtött infók.
Magukon a CTFeken azért valamennyire ki van alakulva, hogy ki mivel foglalkozik. Mivel erősen emberhiánnyal küzködünk az általános CTFeken, ezért sokszor az a 2-3-an, aki épp versenyez az csinál mindent. Általában én a kriptóval foglalkozok (arra kevesebben is vállalkoznak, illetve szeretem is), van, aki egyértelműen webre specializálódott, de van, aki kifejezetten a szolgáltatások bináris exploitálását szereti. Általában egyébként a webes és network (hálózati forgalommal kapcsolatos elemzés), forensics (fájlrendszer vagy sérült fájlok elemzése), reverse (programok visszafejtése) jobban pörgő témák, azokba szívesebben belekezdenek többen.
Egyébként pl. MG (Molnár Gábor) már több olyan webes sérülékenységet is talált, ami mindenkit érintett. Pl. legutóbb gyakorlatilag felhasználók információt tudta volna ellopni a legismertebb weboldalakról: Google, YouTube, Facebook, Twitter, LinkedIn, Yahoo, eBay, Instagram, stb. Itt többet lehet róla olvasni: https://miki.it/blog/2014/7/8/abusing-jsonp-with-rosetta-flash/. Csak nagy kár, hogy a támadás alapjául szolgáló libraryjét megtalálta egy Googles security arc és amíg az Internet Bug Bounty ült a problémán (ők ígérik, hogy biztonságosan lekoordinálják egy ilyen mértékű sérülékenység lekommunikálását az érintett felek számára úgy hogy közben mindenki biztonságban maradjon), addig a Googles arc a kapcsolatai lévén learatta közben a babérokat.
Szóval róla pl. mondhatjuk, hogy nagyon speciális tudása (is) van, de azért vannak mások is bőven, akik értenek 'ehhez-ahhoz'.
[ Szerkesztve ]
-
- KT -
csendes tag
Közben 10. helyen végeztünk a PPP (legjobb CTF csapat) által rendezett CTF versenyen és így 7. helyre kerültünk a globális toplistán (https://ctftime.org/), amire mondhatnánk, hogy csak 6 jobb hacker csapat van nálunk a világon (csak sajnos ez közel sem lenne igaz állítás
)Egyébként a CTF nehézségét jellemezheti, hogy első helyezett kb. 1 millió forintot, második 500e-t. harmadik 250e-t nyert és emiatt összeállt több amúgy is nagy csapat (pl. Németország két legjobb csapata).
Új hozzászólás Aktív témák
it A világ egyik legrangosabb egyetemi megmérettetésén a BME CrySyS Lab diákjai győzedelmeskedtek.
- Luck Dragon: MárkaLánc
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Milyen routert?
- Veszprém és környéke adok-veszek-beszélgetek
- UbiForward24 - Prince of Persia: The Sands of Time Remake csak 2026-ban
- Ubisoft Forward 2024 - Az összes bejelentés egy helyen
- Külpolitika
- Medence topik
- Kés topik
- Forza sorozat (Horizon/Motorsport)
- További aktív témák...
Állásajánlatok
Cég: Ozeki Kft.
Város: Debrecen