ハッカーの全ウクライナの戦いのためのオフラインクエストを備えた今後のCTFの開発について

こんにちは、Khabrovchans！ アフターパーティーのためだけでなく、CTF（Capture The Flag）であなたの心と創意工夫を伸ばすために、多くの人が居心地の良いハッカー会議、フォーラム、会議を知って参加することを願っています。 上記のすべてを組み合わせたイベントを開催し、CTFおよび開発自体のプラットフォームを選択する際のチームの経験を共有したいと思います。



CTF-脆弱性と隠されたデータの検索に関連する競争。これらは条件付きでクラシックとタスクに分けられます。 古典的な競争は攻撃防御とも呼ばれます。ポイントは、システムのイメージを分析し、脆弱性を見つけ、それらを修正し、他のチームのサーバーで悪用することです。 タスクの割り当てについてです。







HabrahabrにはCTFゲームに情熱を持っている人がたくさんいるので、質問：チームと参加者、スコアボード、分析記事の評価を持つサイトがたくさんある理由は、多くが長い間答えを見つけています。 結局のところ、これは競争の精神があるほぼ唯一の職業であり、各「警備員」は、人工的ではあるものの、何らかの形でしか現実の条件に近似しない​​限り、彼らの尊厳を測定できます。



CTFに参加することはまったく別物です。このイベントを作成および整理する方法を紹介します。

プラットフォームの選択

CTFのプラットフォームには、既製のものと自己記述型の2種類があります。 既製のプラットフォームは、長年にわたって開発され、多くのコンテストでテストされてきた「機能」に適しています。 Samopisnyeは実際にサイトのセキュリティを保証しています それらは、平均的な組版プログラマーよりもそれについてよく知っている人々によって書かれます（市販のプラットフォームの場合、それはすべて直接の手に依存します）。 したがって、個人的には、私たちの選択はFacebook CTFプラットフォームにありました。これは、次の設定を持つ興味深いシステムです。



さまざまなタイプのタスク：

• クイズ-回答が必要な通常の質問と同じ（単語、フレーズ）
• フラグ-タスクタスク（ファイル、リンクなど）。対応する形式のフラグである回答（私たちの形式はh4ck1t {text}）。
• ベース-最初にタスクを解決したゲーム「キングオブザヒル」のアナロジー、彼は最も多くのポイントを獲得します（降順など）

また、開くときに一定量のポイントが削除されるヒントもあります。 小さなプラスではありません：Facebookには、プラットフォームの中で最も刺激的なインターフェイスの1つがあります。



Facebook CTFプラットフォームは当初、Csu San BernardinoのFacebook CTFや2014 BruCon会議でCTFで使用され、その後、FacebookはOpenSourceソフトウェアポリシーの推進を開始しました。 また、CTFプラットフォームにも影響しました。



そして2016年5月に、彼らはgithubでソースコードを開きました。 しかし、ご想像のとおり、製品は未完成でしたが、開発者は目を覚まし、9月までに公開時点からコードに約401の変更を加えていました。 彼らが同じペースで製品をアップグレードし続けることを願っています:)

プラットフォームのセットアップ

そして、ここで最初の困難に直面しています。プラットフォームはベータテストのみであり、多くの欠点があることが判明しました。 いくつかのバグを修正および修正する作業に直面しました。 修正と松葉杖のプロセス全体については説明しませんが、彼らはプラットフォームを数回変更したかったとしか言えませんが、Facebook CTFを征服した最初の人の1人になることを決めました。



すべての編集は、CTFコンテストへの3年間の参加経験に基づいて行われました。 バグバウンティとそのポイントの欠如、タスクの作成者とのコミュニケーションなど、他のコンペティションによって生じたすべての欠点が考慮されました！ また、ctftimeプラットフォームの影響も受けました。このプラットフォームは、特に、開催中のコンテストに関する参加者からのフィードバックを基に多くのレイティングを行いました。

タスクを作成する

そして、これはCTF'aの開発における最も興味深い段階の1つです！ 私たちがカバーした領域を考えてください

• 管理者/その他-システム管理者の日々の問題に近いタスク。
• 暗号化-暗号化アルゴリズムの機能に基づいたタスク。
• PWN-ポートで実行されているサービスの脆弱性とその後の操作を検索します。
• エクスプロイト-PWNに似ていますが、このバイナリのソースはまだ提供されています。
• フォレンジック-インシデント調査、さまざまなダンプの分析など。
• 喜び-あなたは軽薄なタスクによって定期的に気を散らされる必要があります:)
• ネットワーク-ネットワークタスク。
• PPC-プログラミングタスク。
• リバース-フラグを取得するためにプログラムで使用されるアルゴリズムのその後の調査によるバイナリの分析
• ステガノグラフィ-情報転送の隠されたチャネルを検索します。
• WebはWebセキュリティです。

そして、タスクの作成に挑戦したい人のために、タスクコンテストを行いました。

タスク競争

タスクの競争についての詳細：これは、実質的にすべてのカテゴリで独自のタスクを作成する練習をする本当の機会です！ タスクがCTFで行われる場合、敬意を払って無料の会議チケットを取得します。 これまでのところ、彼らはタスクをほとんど送信していないため、選択される可能性は高いです！ 申し込みはメールで受け付けています：ctf@hackit-ukraine.com

オフラインツアーH4ck1t CTF

各エリアの初心者とプロの両方のために設計された興味深いタスクを備えた12の準備されたカテゴリに加えて、上位10チームは、非標準で興味深いコンテスト、より面白いが、まだ創意工夫、ジャンル（これまでのところ、何の秘密:)）。

競争

オンラインツアーは9月23日から10月2 日まで開催されます。 そして毎日、さまざまなカテゴリからいくつかのタスクが開きます。 その結果によると、最高のチームは10月7日のHackIT-2016カンファレンスのオフラインツアーに招待されます。 決勝戦では、チームはトリッキーなCTFを期待しますが、実際には非標準のコンテスト、ブラックジャック、 女性がいます。 私たちのチームは、ウェブカメラ、RFID、ロックなどをハッキングするという現実的な魅力的なクエストを準備しています。





被災者のための最も興味深い課題のレビューは、イベント後に公開されます。



そして、ハブロフスク市民のイベント自体の割引：10％のプロモーションコード、誰かが役に立つかもしれません：

HABR0710