現時点では、残念ながら、主催者自身に代わって書かれたCTF情報セキュリティの競争（および一般的な競争とオリンピックに関する）に関する記事やレポートはあまり多くありません。この誤解をわずかに修正するために、私たち（ PeterPen 、サンクトペテルブルク州立大学の情報セキュリティチーム）は、2015年5月11日と12日に開催された個々のCTFコンペティションStepCTF 2015を実施した経験を説明したいと思います。プログラムで：準備方法、コンテストの実施方法。また、潜在的なオーガナイザーに警告を与えたり、生活を楽にするために学んだ教訓についても説明します。

CTFとは何ですか？

CTF （Capture The Flag）-「ゲーム」形式で開催される情報セキュリティ競技会：個々の参加者またはチームは、「フラッグ」（名前の由来）を獲得するために利用可能な知識とスキルの武器庫全体を使用して競争します。原則として、CTFには2つのタイプがあります。

クラシック：各チームには、ju審員がサービスにフラグをアップロードするために維持する必要がある一連のサービスを備えたサーバーが与えられます。もちろん、これらのサービスには一連の脆弱性があり、これらを悪用してこれらのフラグを盗むことができます。
タスクベース/危険：名前が示すように、このようなスキームは、多くの点で有名なテレビゲーム「Your game」（「Jeopardy！」）に似ています。いくつかのカテゴリがあり、それぞれにさまざまな複雑さのタスクがいくつかあります。タスクが難しいほど、ポイントが多くなります。クラシックとは異なり、タスクベースのCTFはチームと個人の両方です。

はじめに

PeterPenがCTFを手配したのはこれが初めてではありません。2013年と2014年に、サンクトペテルブルク州立大学で開催されたLIST会議の枠組み内で、それぞれ個別のオンラインコンテストSpisokCTF 2013とSpisokCTF 2014を開催しました。コンペティションの準備で初めての経験を得、危険なCTFのプラットフォームを作成し、複数のショットを獲得し、今年は伝統を継続することを決定しましたが、わずかに異なる形式で、 Stepic教育プラットフォームでオンラインCTFコンペティションを手配しました。

プラットフォームとしてStepicを選択することは、Stepic自体が競争形式に合わせて調整されていないため、かなり自発的で危険であることがわかりました。新しいプラットフォームを支持して、古いプラットフォームはすでに時代遅れであり、改善が必要であると言われました。組織チームのメンバーの1人は、Stepicの現在の開発者です。

一般的な議論で、彼らは最終的に決定した：「なぜStepicではないのか？」確かに、ニュース、コメント、ユーザー管理などの基本的なものを含め、必要なものはほぼすべて含まれています。 Stepicの教材の構造を簡単に確認すると、最大の単位はコースです。コースはモジュール（コースの一部、たとえば週単位）で構成され、各モジュールはレッスンで構成され、レッスンは順番に一連のステップ（「ステップ」）で構成されます。ステップは、テキスト、ビデオ、または提案されたタスクから適切なオプションを選択するなどのタスクの種類、プログラミングタスク、テキストフィールドに正しい答えを入力する必要があるタスクなどを含むページです。次に、このマテリアル構造からCTF競争を試みます。コース-競争、モジュール-タスクカテゴリ、モジュールのレッスン-対応するカテゴリのタスク、レッスンの1ステップ-タスク自体。必需品のうち、欠けているのは参加者の評価表のみで、これは競技開始前にStepicに追加されました。

開発とインフラ

ほんの数例：36時間続くこのコンテストには、ロシアとCISのさまざまな都市からの193人の参加者が参加し、6つのカテゴリに分けられた21のタスクが提供されました。

今年、組織チーム（ほとんど全員が学生、大学院生、サンクトペテルブルク州立大学の卒業生）が地理的に散らばっていました。ロシア、ベラルーシ、スイスでタスクが発明されました。これは21世紀の20年で深刻な問題を引き起こすことはありませんでした。すばらしいSlackサービスがタスクの通信と議論に使用され、Githubのプライベートリポジトリがタスク自体のために作成されました（現時点では非常に公開されています）。リポジトリはタスクを割り当てるための統一フォーマットを直ちに承認したため、タスクの作成者ではない開発者は、たとえば説明がどこにあり、ソリューションがどこにあるかを知ることができます。

持っていなかったのは、すべての規則、規則、使用されるユーティリティなどを備えた単一のリポジトリでした。 9人の開発者のチームであっても、一部の開発者が他の開発者よりも少し遅れて接続したため、同じこと（アップロードする場所、サービスのデプロイ方法、Dockerとは何か）を何度も説明する必要がありました。そのような目的のためには、単純なwikiで十分です。githubovskayaは、バタンと合うと思います。

Stepicの不快な機能は、コース開始前のコースの内容の開放性でした。これは大規模なオンラインコースでは一般的な慣行ですが、どのような形でも私たちの形式には適合しませんでした。競技の前にカテゴリと名前のリストとそれらのタスクの数を表示したくありません。この制限を回避するために、2つのコース（競合）が実際に作成されました。1つ-参加者が参加する公開コースと、2つ-主催者が開始前にタスクを追加する非公開コースです。開始前に、プライベートコースのモジュールとレッスンは単に一般にコピーされました。

ステピックはスコアボードも追加しました-参加者のランキング表は、得点の降順でソートされています。彼はそうではありませんでした。なぜなら、オンラインコースでは通常彼は必要ないからです。

便利なのは、Stepicにファイル（「添付ファイル」）を添付する機能です。以前は、課題に関連するファイルを保存するためにDropboxディレクトリを調べ、StepCTFの場合は、競技コースまたは特定の課題への添付ファイルとして保存しました。タスクとファイルは1つの場所にあり、1つのプラットフォームにあり、すべてのオーガナイザーがアクセスできます。

インタラクティブなタスク（Webタスクなどのネットワーク接続を許可するタスク）の場合、別のサーバーをセットアップします：Hetznerの最も単純なVPS。すべてを多かれ少なかれ安全かつ障害に耐えるようにするために、各対話型タスクはDockerコンテナーにラップされ、サービスがクラッシュしたときに自動的に再起動されました。コンテナを使用することで、サービスの開発とサーバーでのサービスの起動の責任を共有できました。開発者は、サービスを起動するために必要な環境でDockerイメージを準備する責任がありました。お気に入りのLinuxディストリビューションを使用し、必要な言語バージョン、フレームワーク、ライブラリ、その他の依存関係をインストールしました。このアプローチでは、共有VPSサーバーにグローバルに何かをインストールまたは更新する必要はありませんでした-順序がありました。それでも、Dockerの学習と作業イメージの準備に費やした利便性と順序のために、多くの時間を費やす必要がありました。

ミッション

良いタスク（このコンテキストでは、便利な短い英語の「タスク」も定着しました）は、タスクベースのCTFの主な目標です。参加者が決定中または決定後に新しい何かを発見できるように、常に興味深く、多様であるようにしたいと思います。そして、これは、特にエントリーレベルのコンテストにおける主催者にとっての主な課題です。SQLインジェクションやシーザーの暗号のようなものを与えたいが、この種のタスクは他のCTFで既に数十回以上提供されていることを理解している。そして、もちろん、今後の競技会に備えて、幻想は拒否し始め、それが費やされる神経の数を増やします。地平線上に競争がない場合でも、タスクのアイデアは自発的に発生する可能性があるため、CTFの前夜に興味深いアイデアを絶えず収集し、特定のタスクの形で設計することが合理的なステップです。

通常受け入れられるように、参加者が自分が何を扱っているかを少なくともおおよそ理解できるように、タスクをカテゴリに分割しました。このケースでは、6つのカテゴリを特定しました。

管理（4タスク）-個々のLinux端末の管理タスク。彼らは別の説明に値するので、それらについては少し低いです。
暗号（4タスク）-暗号に関連するタスク。
フォレンジック（3タスク）-デジタルフォレンジック分析の分野のタスク。
ステガノ（3タスク）-ステガノグラフィ：写真、ビデオなどの情報を隠す
リバース（5タスク）-リバース開発（または「ロシア語」の場合はリバースエンジニアリング）のタスク。
Web（2タスク）-Webアプリケーションの脆弱性を悪用してフラグを見つける必要があります。

いくつかのカテゴリの異なる数のタスクがあなたの目を引くかもしれません：例えば、逆に5つものタスクステーションがあり、ウェブが奪われたことが判明しました。コンペティション開発者の好みや興味の分布があります（均一ではありません）。

Stepicで特別なタイプのLinuxチャレンジタスクを使用して、管理カテゴリからタスクを作成しました。このタスクでは、参加者はクラウドで実行されている個々のLinuxサーバーと、ブラウザーで接続されたWeb端末を受け取ります。ターミナルでコマンドを実行するときは、提案されたタスクを解決する必要があります。 StepicでのLinuxタスクの配置方法については、すでに詳しく説明しています。このテクノロジーは非常にクールで、タスクCTFのライブ管理タスクの作成に適しています。 StepCTFでは、参加者に以下を必要とするいくつかのLinux管理タスクを提供しました。

ターミナルで、cat、less、tail、head、strings、viなどの標準的な既知のユーティリティが削除されたサーバー上のflag.txtファイルを読み取る機会を見つけます。
弊社が発行した証明書を使用して、TLSサポートを使用してNginx Webサーバーをインストールおよび構成します。
プロセスメモリから削除されたファイルを回復します。
メールサーバーを設定し、チェックシステムからフラグ付きの手紙を受け取ります。

タスクの複雑さを評価および決定することは、CTFのタスクの問題点です。課題の作成者にとって単純に見えるものは、普通の人の論理にはアクセスできないかもしれません。一例として、著者が最低100ポイントと推定するPassgenタスクは、予想よりはるかに長く未解決のままでしたが、参加者は200または300ポイントのWebタスクを非常に積極的に解決しました。したがって、1つのカテゴリ内だけでなく、一般的にもタスクを合理的に評価することが重要です。リバースは、同じコストで異なるカテゴリのタスクよりも100倍難しいかどうかは関係ありません。

不誠実に高く評価された仕事の主な理由は、主催者の勤勉さの欠如、隠されていることです。私たちの場合、作者以外の誰も実際にいくつかのレイアウトされたタスクをチェックしなかったため、コンテスト中にエラーを修正し、タスクのコストを変更する必要が生じました。 StepCTFの完了後（決して遅くない方がよい）、次のアイデアがあり、「タスクレビュー」と名付けられました。タスクは、一定数の主催者（2、3人など）によって決定されるまで、コンテストWebサイトに公開されませんでした。このアプローチは、他の人のトリックを解決する方法を動機づけ、彼らがあなたを決めるように人々を蹴ります。

次回は、タスクを評価するための代替方法を試してみたいと思います。たとえば、タスクのコストを動的に変更するオプションがあります。最も単純なケースでは、最初にすべてのタスクに同じ値を割り当て、決定する人の数を増やしてそれを減らします。または、コストを完全に拒否し、より短い時間でほとんどの問題を解決した方の勝者を宣言することができます（スポーツプログラミングのコンテストで一般的なアプローチ）。これについてはまだ考えています。筆者の主観によってもたらされる不均衡を回避しながら、問題をより困難に解決するための評価システムの動機付けを望んでいます。

一般に、競技会は計画よりも少し高いことが判明しました。発表では、CTFは初心者向けであると書きましたが、問題解決のダイナミクスと競技会後に収集された参加者のフィードバックは、初心者にとって難しいことを示しました。

旗

フラグに関するいくつかの言葉は、参加者が決定するものです。フラグ（実際には文字列）を見つけたら、参加者は割り当ての対応するページでそれを渡すことができ、全体的な評価で参加者を増やす交換ポイントを受け取ります。過去の経験によると、参加者の生活を楽にするためにフラグ形式を修正することにしました（正規表現/ STCTF＃\ w {6、}＃/を選択しました）。これは、競技開始直後にStepic通知システムで発表されました。それにもかかわらず、これは十分ではありませんでした。参加者が課題を解決し、旗を見つけたと主張する複数の手紙を受け取りましたが、検証システムによって受け入れられませんでした。実際、人々はフラグ形式についてのメッセージを見なかったか、応答フィールドでフラグを書き換えたときにいくつかの類似の文字（0とO、大文字のiと小文字のLなど）を混同したことが判明しました。ここから、次の教訓を学びました。前もって目立つ場所で発表された単一のフラグ形式は良いことです。フラグ内のゼロやその他の「問題」記号はあまりありません。

競技中

すべての課題が準備され、許容数の参加者が登録され、最終的にCTFが開始されたとします。これはリラックスする時間ではありません。参加者の質問に答えたり、ヒントを公開したり、課題の間違いを修正したりするためです。 StepCTFの場合、主催者に連絡する方法は3つありました。Stepikへのコメント、freenode.netでのIRCチャット、および電子メールです。最初のオプションは、参加者が特別に設計されたテキストフィールドの代わりにコメントでフラグを数回「残した」ためだけに、個別に言及する必要があります。このすべてが悪意によってではなく、誤って発生したことを願っています。この種のメッセージは主催者によってすぐに削除されましたが、Stepicのグラフィカルインターフェイスの欠陥として、この動作を記録しました。 Stepicの担当者は、これは学生の過程で発生することを確認し、今後インターフェースのこの欠陥を修正することを約束します。

もちろん、さまざまなコミュニケーションオプションは参加者にとって便利ですが、主催者の作業が少し複雑になります。すべてのオプションを同時に監視し、迅速に対応する必要があります。参加者の数が主催者の数よりもはるかに多い場合、誰もが個人的に応答することは非常に困難になります。 StepicのコメントやIRCチャットなどの集合的なコミュニケーションツールを使用すると、質問に対する回答を保存でき、同じことに対して2回回答する必要はありません。それにもかかわらず、主催者とのコミュニケーションの1つの方法に限定する価値があるという意見を得ることができました。そうすれば、参加者の質問は見逃されず、無人のままになり、主催者は楽になります。

大会の開始前に、主催者チームで各主催者とタスク作成者がオンラインコミュニケーションに利用できる時間について合意することが重要です。これは、競争が1日以上続く場合に特に重要です。タスクの作者が就寝したときの状況はないはずであり、彼のタスクには参加者が不満を言うバグがあり、作者以外は誰も修正したり質問に答えたりすることはできません。理想的には、いつでもオーガナイザーの1人がオンラインになり、タスク作成者との運用上のコミュニケーションの方法が確立される必要があります。作成者は、午前4時であっても、タスクを誠実にサポートし、オンデマンドで迅速に弱体化する必要があります（この場合のように、組織チームが分散していると状況はより複雑になります）。

もう1つの重要なポイント：競技中の変更や更新について、参加者にタイムリーに通知する必要があります。たとえば、新しいタスクの投稿、古いタスクの修正、またはヒントの追加には、適切な通知の送信を伴う必要があります。一般に、ルールを事前に規定する必要があります。たとえば、参加者には、開始前に予想されるタスクの数と公開時期を知る権利があります。

競技後

競技終了後、主催者は安全に息を吐き、休息することができるようです。しかし、参加者からフィードバックを収集し、報告会を準備することが重要です-忘れられたものと失われないものがなくなるまで、犯した間違いと遭遇した問題を文書化すること。前もって期限がないため、力を集めるのは難しい場合があります。この現象の鮮明な例は、この記事であり、私たちが望むよりも遅く完成します。

おわりに

私たちが学んだほとんどの教訓（例えば、旗やタスクのレビューについて）は適切なセクションで与えられました。結論として、私は要点を強調したいと思います。

Stepicプラットフォームでの競争が可能です。この点で、StepCTF 2015は先駆者でしたが、すべての困難を考慮しても、実験は成功したと断言できます。 Stepicはすべての人に無料のプラットフォームを提供します。そこではコースと競技の両方を実施できます。したがって、タスクのアイデアはあるが、プラットフォームの開発と保守を行いたくない場合、これは良いオプションです。
多くの（むしろ多くの）ことは、主催者のチームの構成、彼らのモチベーションと責任を取る能力に依存します。競技中および準備と報告会の両方で、規律と確立された作業プロセスが必要です。その結果、競技中に浮上した問題の多くを回避できます。たとえば、以前に他のオーガナイザーによって解決されていた場合、タスクのほとんどのミスをキャッチできます。
上記のすべてにもかかわらず、CTFは友情であることを忘れないでください。）参加者と主催者の両方が、楽しみと新しい知識の両方を受け取ることを望んでいます。すべてのエラーとパンクは避けられません。それらの数は最小限に抑えることができますが、残っているものは競争の質と雰囲気に影響を与えるべきではありません。

CTF運動が活発に発展しており、ますます多くのチームが自由に競争を行っていることがわかります。ただし、多くのチームはトレーニング中に同じ課題と困難に直面します。したがって、新しいCTFコンペティションの開発に参加するだけでなく、その組織と行動の経験を共有することも求めます。

参照資料

記事の著者： rev112 psviderski

StepCTF'15：StepicでCTFを実行した方法