BSidesUkraine Security Week 11.12.2020

Добрый вечер дорогие наши зрители слушатели все кто сегодня Поставьте пожалуйста какие-то плюсики слышно они

теперь должно быть лучше должно должен был исправиться Стрим Прошу прощения я не могу ни дня без чего-нибудь прекрасного когда-нибудь я напишу книжку про свою жизнь и назову её ты офл на конференциях особенно на онлайн конференциях А скажите пожалуйста слышно меня или не слышно сейчас работает хорошо Прекрасно А Прошу прощения за задержку Я всё ещё шестой и пятый день учусь как это всё делается а надеюсь на ваше понимание и приношу свои извинения от лица всего оргкомитета сегодня у нас последний день трансляции докладов Сегодня у нас будет Иван крохмалюк Он расскажет про сетиф как я вчера говорила что в пред наше наших двух Сифо 12 и 19 декабря Мне кажется это будет достаточно актуально ответить на вопросы Что Где

Когда как и зачем вообще делать насколько мне известно Иван является и участником являлся в прошлом участником и является организатором нескольких фов один из них я точно знаю был по системе Умный дом слышала очень хорошие отзывы об этом сифи поэтому думаю вам будет интересно а также хочу поблагодарить нашего спонсора компанию Huawei ведущего мирового поставщика систем информационного и коммуникационного э информационных и коммуникационных технологий Я как всегда вот не буду больше вас задерживать поэтому Сейчас переходим к докладу от Ивана

к

X Всем привет Добро пожаловать на бесай у Security We сегодня мы поговорим про Сифа что это такое как это происходит Где это происходит как поучаствовать что нужно знать прежде чем мы начнём немножко обо мне Меня зовут Иван крах Малюк на данный момент я работаю в компании ям период с 2012 по начало 2016 года я принимал участие многих в составе команды А теперь свободно работы времени Иногда я занимаюсь их организацие Воть ctf ctf расшифровывается как capture The Flag это такой формат командной игры где цель является захватить флаг у противника он бывает как в реальном мире например в пейнтболе он бывает в компьютерных играх примером на Первом слайде вы могли увидеть скриншот из игры unal Tournament с карты Как раз где

происходит захват флага а также ф бывает в соревнованиях в области информационной безопасности о них мы сегодня и поговорим Как видно из названия суть игры - это захватить флаг если в реальном мире ещё можно понять что такое флаг и в играх то что же такое флаг в соревнованиях информационной безопасности обычно флаги - это уникальные текстовые Роки строки которые выглядят как фг здесь фг или какой-то текст иногда это Хеш файла Возможно это какая-то контрольная сумма имя человека ответ на вопрос или что-то похожее иногда флаге могут быть в том числе картинками или чем-то совсем другим ф бывают разных типов есть два основных классических это так называемая викторина где есть отдельные задание есть есть комбинированные и есть совсем другие нам Мы с

игрок или команда игроков получает доступ к набору разных заданий эти задания разбиты на отдельные разные категории за каждое выполнение задания успешное даётся онное количество баллов а побеждает тот их команда которая наберёт больше всего этих баллов категории бывают патон мы посмотрим них далери бывает задания посмотреть и попробовать решить какой-то из них бывает что они открываются по мере прохождения более лёгких заданий бывает когда эти задание фиксируется каким-то игроком к примеру Кто решил задание тот выбирает задание которое будет решать все остальные игроки такой себе царь игры Второй тип классического CF - это att Def суть каждой команде или ится доступ к серверу и наборов серверов развёрнуты уязвимые сервисы к пример веб-сайты базы данных самописный приложения и задача которая

есть это первое исправить ошибки в своих сервисах так чтобы их нельзя было взломать второе так

проэксперт система которая проверяет и закладывает в них флаги сейчас предлагаю немного глубже погрузиться в т посмотреть на примеры и на типы заданий первое что нас встречают нае типа или викторине это интерфейс с заданиями он может выглядеть как-то так Или как-то так может выглядеть совсем по-другому например это может быть игра в которую нужно ходить открывать локации и получать задания усь делены на разные категории вот их обычно это па Крипто френка графия Recon и остальные кратко пройдёмся по типам па задача прони или человеческими словами проэк удалённый сервис этот сервис это может быть как веб-сервер какое-то приложение которое слушает на определенном порту в описании задания прин фай который можно скачать бинарный файл какой-то архитектуры x56 X4 ARM пример это может быть сервис которым

есть бафф к пример калькулятор в который можно послать очень длинную строку и она упадёт файл который даётся его нужно скачать и поиграться с ним локально Он позволяет во-первых рассмотреть разобраться как же этот сервис работает попробовать написать exploit отладить его на своей машине после чего применить уже на сервере на удалённом сервере на котором в памяти есть флаг экзотику есть Вот P Adventure это как раз компьютерная игра в фе Ghost in the Shell Code в котором нужно играть в эту игру ходить по 3D локациям Вот и ломать саму игру во время этой же игры Второй тип заданий - это веб собственно задача простая про эксплуатировать удалённый веб-сервис это может быть сайт какой-то аналог банкинга форума пример севи injection вот бывают

очень простые где нужно взять готовый пример вставить кавычку 1 ра о или or 1 ра о и получить флаг есть потяжелее где уже есть какая-то фильтрация нестандартные базы данных самописный базы данных третий тип - это Крипто задача разобраться с криптографией обычно даётся послание которое зашифровано каким-то типом шифра это может быть классические шифры как шифр Цезаря Там могут быть какие-то выдуманные алгоритмы которые подаются разным атакам это могут быть симметричные асимметричная криптосистемы с маленьким размером ключа это могут быть ssh с не секм ключом и так далее реверс в этой категории задача заняться реверс инжинирингом есть файл обычно это бинарный файл исполняемый его нужно декомпилировать нужно разобраться в его алгоритме и или найти флаг в нём он может быть например зашифрован внутри

файла или же понять как этот можно взломать например написать генератор ключей после чего проверить его на сайте на отдельном сайте на доске соревнования который выдаст уже флаг это могут быть образы разных ос это могут быть забру образы дискет к пример на Ne Quest было задание Mason OS в котором маленькая была своя операционная система в которой запускалась маленькая виртуальная машина в которой вычисляется флаг ренка задача тут - это почувствовать себя роли исследователя инцидентов данные обычно какие-то Улики к примеру память образы дисков дампы трафика задача найти флаг в этих уликах таким примером может быть например контейнер и дам памяти из памяти нужно достать ключ и ть контейнер где будет файл с флагом стенография задача опять фазу видео спрятанный текст это может быть

как L significant Bit криптография BMP картинки это может быть к примеру Спектр аудиофайла это могут быть там например двадцать пятый кадр видео и так далее есть категории которые Чуть поменьше это ppc Professional Program coding это задачи на программирование к примеру данного ограничения по времени по памяти и Дана задача которую нужно написать алгоритм скомпилировать приложение и отправить его на проверку так чтобы оно не использовало больше чем к примеру 30 секунд процессного времени и не больше чем 512 МБ памяти ри fanjoy Это обычно те категории С которых легче всего начать решать стеф Это простые вопросы к примеру истории OS их можно довольно легко налить Это задача для развлечения к примеру сделать фото с командой рабочего места и задание Recon Это задание понту

это найти за одного человека в соцсетях прочитать примеро флаг Наки дыни или раскрутить цепочку преступлений Evil corp где Дана ссылка на сайт Откуда можно выйти на создателей этой корпорации найти их странички найти их посты и так далее примеры соревнования типа викторина их есть очень много к пример pf клу CF Волга CF Хаким CF фо CF B CF сейчас предлагаю рассмотреть несколько заданий из CF CF который проходил в 2017 году Сейчас вы можете видеть на слайдах одно из задание называется dig в описании есть только The и ссылка если перейти по этой ссылке мы увидим сайт где написано can digit и нарисовано две лопаты если посмотреть в исходники мы увидим что он файл изображение называется Di Tool А в

тексте Dix как наверно вы знаете в линуксе есть команда к к система которая занимается анализом ДНС протокола позволяет делать ДНС запросы и смотреть на ответы дн серверов и мы можем сделать команду на под домен этого Сифа в ответе мы увидим какой-то IP адрес что с ним делать на данный момент непонятно Однако если почитать мануал команды можно что есть разные опции одна из опций - Это команда это опция X которая позволяет сделать rn запрос по IP адресу получить IP и если сделать - X на этот IP который мы сейчас видим мы получим ответ на другой домен Не на df.com а на airplane s.com и перейдя по этой ссылке мы увидим сайт на котором написано что привет вам

нужно уйти в офлайн чтобы получить лаг с этого момента уже есть два варианта решения этой задачи первое самое просто действительно выдернуть кабель инета с вашего компьютера или выключить wi-fi вот страничка время от времени проверяет наличие соединение а сайтом если его нет она выводит флаг на экран второй вариант - это больше путь реверсе можно посмотреть на на исходник странички увидеть там есть JavaScript этот JavaScript закодирован Однако при помощи JS Nice или другого JS фтора можно взять найти строки которые внутри этого скрипта и найти сам флаг

второе задание которое мы рассмотрим называется Матильда опять же описание маленькое содержит по факту одну ссылку если зай на этот сайт можно увидеть большой значок ль и по факту больше ничего интересного на НМ нет Однако если посмотреть исходник страницы можно увидеть при имя человека или никнейм или логин Тильда в начале имени подсказывает что на некоторых веб-сервера если написать в Кома адресной строке Тильды имя человека мы попадём как бы домашний каталог этого пользователя в принципе как и в юних системах если мы введём в адресной строке эту строку мы действительно увидим другую страничку где написано что Добро пожаловать на страничку Руни и посмотрев в исходник мы увидим что есть ссылка на какой-то файл которая передаётся как аргумент какого-то скрипта с параметром

P и делаем предположение что этот файл лежит в директории Files попробуем зайти на увидим там три файла после чего пробуем вводить и мы видим что нам действительно возвращается содержимое этого фала в тени можно предположить что здесь есть возможность переписать этот путь то есть провести атаку под названия то есть вставить в путь компоненты пример двоеточие которые переводит нас на каталог выше позволяет выйти за пределы каталога текущего каталога попробуем это сделать вдм то HTML Однако ничего не увидим попробуем

того что мы вводим что файл наш скрипт действительно читает файлы но при этом если мы вводим что-то не очень хорошее он будет это фильтровать можем попытаться это обойти к примеру попробуем ввести путь можем предположить что все точка точка СШ заменяются на пустую строку так чтобы получился пути к файл В текущей директории если это делается функция которая реплей сит это в строке тогда если мы ведём точка потом точка точка СШ а потом точка СШ то после замены точка точ СШ насто руку мы получим точка тока с Index PHP делаем и действительно видим исходник файла Index PHP в котором есть действительно стры стры ищется что в пути нет точка PHP иначе выводится сообщение Security filed и меняется при

помощи replace путь Тото СШ на пустую строку теперь когда мы умеем ходить по файлу системе нам нужно найти где-то в ней файл Однако Где же его искать можно ложить что это unix И тогда обычно Куда идут во время ф концепта когда показывает как работает pasal Это идут файлы TC которые содержит информацию о аккаунтах которые есть в данной системе И если мы пройдём по пути то мы действительно увидим содержимое файла и в самом конце мы видим длинное имя пользователя здесь есть Long username с ID 100 что наталкивает нас на мысли что возможно что-то лежит как раз в домашнем каталоге аналогии вводим тильду вводим это имя и увидим страничку написа опять же с этого момента есть два

пути можно было поэкспериментировать с юзер агентами потому что обычно тип устройства которым мы заходим передаётся Agent можем увидеть заходим мы с браузера заходим мы с мобильного телефона Однако мы уже умеем читать файлы можем предположить что файл там называется просто в его каталоге и действительно Прочитав фа в его домашнем каталоге видим что проверяется User Agent ожидается что он будет Mobile и что htp refer это будет имя этого пользователя и в случае если действительно так то выводится флаг который читается из файла FL PHP на этом этапе можно было бы действительно сделать htp Запрос к пример тем же барм запом кулом с нужными хедера или же можно просто прочитать файл FL PHP который лежит этой же в каталоге и

увидеть флаг возвращаемся к второму типу фов к Attack Defense как рассказывал ранее игроки получают доступ к сервисам Однако есть нюансы если соревнование проводится в онлайне игрокам может выдаваться образ виртуальной машины или несколько образов Один который является Open роутером например один образ собственно СМИ сервисами он обычно зашифрован и образ который позволяет проверить соединение с сбор иногда эти сервера и тогда задача у команды это развернуть у себя Нае эти образы вот в момент старта соревнования в день соревнования будет выдан ключ которым можно расшифровать образ заданиями и можно начинать играть есть варианты когда сервера хост у организаторов тогда игрок получает доступ по SS или по RDP к серверу Вот и работать с ним удалённо а при этом есть

возможность ещё Достучаться до панели управления например перезагрузить сервер если он завис от danal Service атаки или скинуть его на первоначальное состояние Если вдруг удалились все файлы и так далее Кроме этого в сети работает таблица статуса где виден статус каждой команды каждого сервиса Вот и набранные баллы по командам и видно Когда к примеру у вашей команде что-то упало Значит нужно идти починить этот сервис посмотреть как его проэксперт флаги поскольку задача эксплуатации она должна быть автоматизирована поскольку флаги добавляются система которая проверяет каждых несколько минут и например раз в 5 минут команда которая проверяют со стороны организаторов Она заходит на каждый из сервисов оставляет там флаги удаляет старые и проверяет есть ли там ти флаги не утащили ли и

другие команды и задача автоматизировать эксплуатацию сервисов соперников и отправку этих флагов на отдельный хост порт который будет зачислять вам баллы причём первое 30 или 60 иногда час до часу времени сначала соревнования доступ к сетям противнику выключен это время как раз сделать бэкапы своих сервисов что вобще вам попалось увидеть какие там уязвимости начать писать эк и начать их исправлять после того как время кулда прошло первое открывается сеть и начинаются атаки Со стороны других команд на ваши сервисы и ваши атаки на соперников примеры ф это который проводится в Париже и другие смачно выглядит как-то так то есть есть Интернет Есть VPN есть роутер на котором как раз VPN Link с инфраструктурой организаторов устроен есть команда есть подсеть каждой

команды причём обычно говорится что все команды находятся в таком-то диапазоне в таких-то подсетях то что позволяет настраивать свои скрипты для атаки и не искать не пытаться ещё искать в внутри сети Какие же IP адреса есть Ну наверное самое весёлое - это всё же которые проводились в до ковидное время в оффлайне вот на вот к примеру можем видеть команду которая работает над фом или вот команда которая работает над фом собственно На этом этапе наверное стоит ответить на вопросы Зачем нам нужны стеф ну во-первых это возможность получить новые знания поскольку задания разные никогда не зна что попад это зания которые уже были кото есть те которые очень похожи на реальные уязвимости есть те уязвимости которые реальные к примеру

шелшок Баши это возможность увидеть какие есть пробелы вот что нужно ещё подучить второе - это возможность попробовать свои умение на практике в контролируемой среде в более-менее приближённо к боевой вот за которой не на дают Пуша также это возможность те это очень отличная возможность начать правильно управлять своим временем делать много задач одновременно заданий разных переключаться между ними потому что обычно время которое идт ф оно очень ограничено пример 24 часа 48 часов заданий много для того чтобы занять какое-то место получить что нужно делать издания нужно уметь их открывать посмотреть разные выбрать То которое сейчас нужно делать вовремя переключиться на другое и так далее наверно тоже очень важный пункт то что можно попробовать себя в разных сферах ити

как говорилось ранее о том же есть разные категории заданий можно к примеру если человек изначально занимался веб уязвимостями он хочет себя попробовать программировании или попробовать се инжиниринге наев это отличная возможность это попробовать также на СТВ - это хорошая возможность пообщаться с интересными людьми поскольку обычно есть чат если это Ола CF можете увидеть другие команды в перерыве после соревнования познакомиться с людьми обменяться опытом завести друзей Также можно получить призы не всегда правда но можно и опыт вот это вот всегда мы получаем Ну и стать мастером ления Потому что когда у тебя есть 24 часа и новая тема с которой например шифр какой-то с которым ты ещё не работал то первое что мы делаем Это мы гулим пытаемся разобраться выучить

это прямо на месте теперь отвечаю на вопрос где где же нам найти ф вот Ну естественно исходя из последнего Пунта можно просто загуглить А можно посмотреть на сайт называется ste Time ste Time - это такой международный рейтинг ste команд Вот который ведётся каждый год вот и также это место где ф себя по факту регистрирует Вот и можно сразу посмотреть на календаре когда будет какой ф проводится онлайн или нет зарегистрироваться чтобы получать баллы в рейтинге также Вот сейчас НАСА также будет два Сифа один будет в эти выходные второй будет следующие выходные вот и на сайте можно увидеть две кнопочки CF и P The laabs А в которых вы сможете поучаствовать P The laabs он больше приближённого CF Это пример А это не

Attack Defense это нестандартный CF которым вы сможете попробовать взломать инфраструктуру и видеть свои действия в реальном мире несколько Tips and tricks подсказок Как участвовать в фах На что смотреть Ну первое если хочется попробовать себя в разных фах то желательно сди за пото что там появляются очень часто новые ф есть возможность посмотреть пы возможность посмотреть на команды и себя показать второе Выходит то читаете й обычно пос Сифа сети на страничках блога появляются разборы решений задач из фв и если что-то не получилось самому решить или Командо решить тогда это хороший материал чтобы посмотреть как это решалось и На что обращать внимание в будущем во время самого соревнования очень важно смотреть за чатами организаторов они бывают в RC жаре

Твиттере в телеграме где их только вот сейчас а нет А зачем это важно иногда задания Могут просто не работать где-то какая-то недоработка или она сломалось Вот и в чате есть анонсы того что работает Что не работает во-вторых иногда бывают подсказки к примеру если команда организатора видит что задания не решаются они дают подсказку которая позволяет продвинуться решение задания также в чате обычно присутствуют организаторы вот или их контакты и как только у вас возникает вопросы например вы решили задание но почему-то флаг не подходит смело нужно обращаться к организаторам обычно Они помогут или подскажут иногда таким образом вы можете увидеть а ошибку в сервисе и в Торе ЕС какую-то уязвимость которая не похожа на задание тоже сообща организаторам обычно

за это даются дополнительные баллы ещ один важный нюанс это набор утилит который используется примеру это могут быть для проведения по сути тотже там мот быть

тоже и иногда приходится во время фа их в оральном порядке качать когда что-то новое к примеру задание которое Похоже на то которое решалось ранее вот мы посмотрели увидели что там использовать какой ули например png Азер для того чтобы посмотреть на содержимое png файла вот нам приходится качать Вот и после фа лучше всего некоторое время погреба те файлы которые остались и сделать свой такой себе тулкит который поможет в дальнейшем быстрее решать такие типы заданий и на Def обязательно нужно в начале Вот время кулдаун когда сети закрыт это сделать бэкап сервисов а для того чтобы очень быстро их восстанавливать поскольку пока у вас сервис лежит у вас а уменьшаются баллы у вас отнимаются баллы Вот и поэтому очень

важно его вовремя сбросить тем более в некоторых случаях может быть доступ к файловой системе у соперников они могут запустить мрф и у вас ничего не останется и вы будете тратить время на то чтобы выкачать Новый образ шифровать его и потеряете время и баллы как я говорил в начале теперь я не столько играю в ф сколько Я помогаю их делать мы посмотрим на два примера фов в которых я принимал участие в разработке организации проведении Первое - это stf на Cyber education Day в девятом году который проходил в Киеве Это пример очень необычно Стефа чем-то Он кстати похож стф который будет на выходных здесь его аудитории тое это были студенты поскольку им это было бы интересно и

задача это фа это было взломать Умный дом на площадке была развёрнуто некоторые по Доми умного дома с разными устройствами которых нужно было взломать и увидеть опять же результат своего действия на стеф которая будет написа вы сможете посмотреть трансляцию задания которые были Ну во-первых была сеть как проводная сеть так и wi-fi а сеть была разных типов вот или внутри сети был роутер с лёгким логин паролем и задача была собственно говоря подобрать ключ под сети проти авторизацию существующего клиента вот или Web набрать нужное количество ионных векторов и тоже подобрать ключ просить пароль от панели управления роутером Вот был Smart TV некоторое подобие SmartTV который А торчал в сеть и в нём можно было провести аку SH injection и выполнить свою команду

запустить другой ролик ключить канал и так далее был UB в котором собственно переключались разные устройства Вот и в него был дефолтный пароль можно было зайти увидеть Лах внутри также были системы пример можно было возможность Включить выключить лампы включить сигнализацию или же включить помпу которая поливают цветы так чтобы вода перелила то есть включительно длительное время вот эти были веб-сервисы которые общаются женами между собой или доступно по mdns была вебкамера которая можно подключиться увидеть листочек с лагом был Bluetooth замок на котором опять же у него было приложение для мобильных можно было себе установить можно было его тоже деколирование

показать это путь и тогда за это давались ба и вот собственно робот который которого нужно было попытаться увести с его траектории это Robot Cat и Наверное стоит сказать какие были трудности во время проведения фа во время его реализации Первое - это количество людей людей было много каждый пытался задание решить и таким образом даже не сильно утруждать люди делали danel of сес а то и РИБ Dan of сес на инфраструктуру Первое это WiFi точки доступа особенно они лежали часами с самого начала поскольку все пытались получить как можно больше трафика послали пакет и точка доступа просто не справлялась второе это если мы берём какую-то более-менее реальную технику к примеру вебкамера Вот и лёгкий лон пароль админ панели кории Первая команда которая

почат доп той панели она это этот логин пароль меняет на свой и следующая команда уже не может получить доступ поэтому задача организатора в этом плане если нет возможности сделать какой-то ограниченный аккаунт то есть хочется как можно больше реальности это вовремя сбрасывать И оповещают что если Вы кажется что подключились но у вас это не получается сообщите нам мы проверим что логин пароль всё ещё работает и следующее опять же по фаю к примеру если Wii точку доступа не справляются не могут решить задание можно дать кеп вот с частью ици фитро или со всем набором чтобы команды хотя бы промон сри что они умеют работать с м Дамм знают что с ним делать и единственным заданием которое никто не сделал это как раз было

про робота поскольку это было задания которое иногда показывает суть задания фах вот не всегда задания фах линейные где можно просто почитать описание понять что делать пример нужно вот взломать вебсайт вот тут формочка ко Ну что-то ввести ввести кавычку и мы Получи флаг Иногда нужно построить целую цепочку событий Иногда нужно догадаться чуть-чуть проб форсить Ино даже вариант решений и так и было в задании с роботом был ке в котором внутри был Файлик с изображения в котором внутри стенографии можно было найти ребус если этот ребус уже решить то только потом можно было понять как управлять роботом и как пола практика на Это задание люди оставили наконец и естественно не справились и скажем так при подготовке к к этому

ивенту На столе был куча техники везде провода паяльники и так далее Это обычное состояние у организаторов второй который я помогал делать это который был классического типа викторина с участием индивидуальным для студентов задания выглядели Вот так То есть были категории reverse misk networks T Web френка Вот и сразу же можно было посмотреть какие задания Сколько за них баллов И попытаться их решить с точки зрения инфраструктуры во-первых это была виртуальная машинка на Дита шене сервер а большого размера большого шейпа в котором был докер в докер контейнерах крутилась собственно говоря сервера заданий панель управления бралась осорно FD а в качестве домена Вот иногда возникает вопрос Когда мы делаем Соф какой же домен использовать если уже есть свой домен вот к приме как писается Это не

проблема иногда хочется что-то чуть чуть своё или к примеру хочется организовать для своей Академической группы мив в таком случае не обязательно платить деньги за домены или искать А такие как pua можно зайти на сайт fre of.com это регистратор доменов и в нём в публичном доступе доступны многие домены ть уров То есть можно к примеру можно с минимальной регистрацией бесплатно получить домен третьего уровня ток примеру m.com указать IP адрес ваши машинки в клауде и таким образом получить более-менее красивый домен Используйте его на теперь статистика вот можно видеть как организаторы видет статистику на CF Мы видим что все было 45 пользователей Прим Они заходили адресов видим статистику по заданиям бо или какой меньше видим их название и естественно нюансы А В первую

очередь может показаться что на стеф это важна инфраструктура производительность сервера вот сколько памяти мы выделим чтобы их не грузили но на самом деле это не такая проблема Как показы практика на викторинах обычно нагрузка не очень большая особенно если онлайн задание то есть не тех где нужно скачать файлы с ним разобраться те где нужно эксплуатировать сайт их не так много а наибольшая проблема собственно дать возможность командам играть честно и честно награждать людей Особенно тех которые индивидуальные часто люди будут ВС равно объединяться в команды но при этом уть флаги поодиночке И поэтому очень важно Для того чтобы находить нарушителей это во-первых чётко описать правила во-вторых проводить понго их

индикаторы того что человек играет нечестно примеру это время отправки фла если мы видим что три человека вдруг друг за другом с интервалов 15 секунд отправили один и тот же флаг вполне возможно сидят в ой комнате рядом и только что решили задание также время открытия когда был открыт открыто задание впервые игроком и когда был отправлен флаг вре говорение этония часто тоже можно увидеть что человек вот только открыл задание прошло 2 минуты Он уже флаг отправил Ну с одной стороны может быть если задание очень простое и человек хорошо разбирается да Но если здание тяжёлое Мы видим что Обычно люди тратят там по 2-3 часа на задание а тут кто-то открыл и сразу же отправил значит наверное он лах этот Обменял с каким-то

другим игроком или командой и решил его вот отправить ещё один из вариантов это делать персональные задания к примеру так чтобы каждый игрок получал свою версию бинарка который флаг чуть-чуть меняется свою свой IP свое приложение отдельный дог контейнер каждого игрока тогда даже если поменяется флагами то флаг другого человека просто не подойдёт или же ещё из для того чтобы не так быстро это игроки обнаружили можно принимать флаг и давать баллы но в конце к примеру дисквалифицировать игрока за нарушение и с доказательствами что флаг взят у другого игрока естественно это не спасает от того что люди обменятся путём решения таска Но на самом деле несёт образовательную цель а можно сказать наоборот хорошо если человек смог получить описание смог по нему пройти и

разобраться у него что-то останется он научится делать Это уже хорошо кроме этого стоит вводить так называемый тафк момент времени если человек отправляет флаг позже после начала соревнования он получает меньше баллов Вот и также приме Кто первый решит задание получает больше баллов поскольку одна из тактик некоторых команд - это держать флаги до самого конца вот к примеру конда решает задание она не отправляет Лах на проверку она его записывает где-то себе и решает следующее задание Вот и в конце игры внезапно команда вырывается вперёд с многими флагами это не так интересно не настолько сильно мотивирует Поэтому лучше вводить какую-то коэффициент по времени по результатам у нас были победители 28 человек сделали Хотя по одному задани можно увидеть графики

когда дела задание как баллы и в конце мы наградили участников и они Получи получили призы что ж на этом спасибо за внимание Если есть вопросы Вы можете их задать и я думаю я смогу ответить на них в чате поскольку это сейчас запись Хорошего

вечера Это был э Иван сейчас одну минуточку вот Иван с нами на связи Ня Привет Да привет микрофон а если у вас есть какие-то вопросы как всегда пишите их нам в чат Мы ждём пока пишут вопросы свои Как ты вообще Дожил до такой жизни чтобы организовывать Сиф Это был длинный путь изначально как я говорил я больше Играл Играл Играл в какой-то момент надоело играть но мне очень хотелось попробовать себя с другой стороны вот мне всегда хочется во всём разобраться посмотреть как он работает с разных сторон И в общем-то я подумал раз я много потратил времени на то чтобы разобраться как это всё работает как в этом участвует кейс типы заданий почему бы мне не попробовать сделать это

посмотреть какие трудности будут при этом Какой опыт Я могу получить и естественно на арене меня уже увидели люди Я участвовал и пригласили поучаствовать в разработке фов я так своё время на конференцию пришла а хорошо вот здесь Серёжа сметенко пишет что у тебя зачётные колонки Серёжа сметенко А вопрос у тебя будет к Вани кроме зачётный колонок А хорошо вот у нас завтра будет ctf но он такой будет как я понимаю в не совсем обычном стиле что-то У меня какое-то только что сообщение появилось Я не поняла что меня хотела меня о чём-то предупредило Я напугалась Ну если что-то будут будут проблемы с трансляцией пожалуйста Напишите нам в чатик очень тебя благодарят за росповидь было бы конечно хорошо чтобы туси на к

нам присоединилась сейчас в эфир Наташа если ты меня слушаешь присоединяйся к нам в эфир пожалуйста вот люди которые завтра будут участвовать в в Сиф Вот чего бы ты им в первую очередь пожелал бы вот начать там или или там просто не нервничать запастись водой Я не знаю энергетиками Гуглом не наверное совет будет даже другой То есть то что запастись водой энергетиками хорошей компанией чипсами всем остальным Я думаю люди которые учатся к примеру в КПИ издают лабы они проходили сессию они это и так знают тут скорее другое Не воспринимать CF Как экзамен или проверку сильно своих навыков рассматриваю это больше как фан как возможность отдохнуть впервые й пункт а второе это уже как раз смотреть на как возможность подтянуть

свои знания и подсветить себе области которых нужно чуть усерднее работать если с этим есть проблемы и наверное и важный нюанс как раз то что я говорил это играть честно вот то есть если мы получили дост системе видим возможность её сломать для всех не делать этого чтобы тот фан который получил игрок проходя Это задание получили и другие игроки Ну а влом тако пере между заданиями если а во время решения какого-то таска Мы видим что мы на нём застряли на долгое время несколько часов убили не продвигаемся э лучше всего сделать перерыв пойти даже 5 минут прогуляться где-то проветриться потому что это очень сильно де матирует и когда человек устал потом это накапливается накапливается и к концу игры обычно уже просто не хочется Даже

решать CF и иногда в конце соревнования себе говорил то что е Всё я больше никогда не бут в этом участвовать Я трачу на это слишком много силы и энергии Ну я думаю организаторы конференции тоже чувствует обычно Ночь перед конференцией после каждой конференции Я говорю что я больше никогда больше никаких конференций в моей жизни Да я вижу в чате вопрос про ospf А да по факту Можно сказать и так то есть сама сдача пи она практическая где по факту будет та как бы VPN доступ к машинкам Вот которую нужно взломать вот догадаться что там сделать единственное там наверное всё-таки стеф говорю Есть задание где нужно собственно догадываться сильно много вот нупи это тоже есть у них дефис есть хар если не

получается поэто Ну да можно сказать что спи Это такой CF Ну да Потому что насколько я знаю там тоже как и в тифе там у тебя по умолчанию какая-то уязвимость всё равно есть хорошо а вот такой вопрос может не совсем по теме Я жду всё-таки может нам по по задают вопросу А с твоей точки зрения хороший C равняется хороший пентестер зависит от того чем занимался Какие категории заданий он себе брал опять же потому что если человек больше занимался к примеру реверсом стенографии криптой и поиском Фейсбуке флагов то хорошим может быть больших есть разделение людей которые к примеру слится на вебе вот те кто делают веб задания них да у них обычно опыта достаточно чтобы заниматься тестом

птуры а но есть нюансы стеф всё-таки немного оторваны от жизни вот некоторые задания то есть бывают Life задания бывают те которые сильно наигранные натянутые то есть иногда вот когда делаешь тоже думаеш слишком просто то есть там если дела там шелшок все поймут первые минуты решат и это будет неинтересно приходится что-то такое придумывать перекручивать как-то а в реальном мире это иногда не так иногда всё очень банально и иногда вносят даже фактор Когда ты смотришь на вещи уже сложнее думае что нужно сразу же наворотил там эфор Том а оно очень просто странно как-то у нас странную картинку передают хорошо спасибо большое возвращаясь к предыдущему вопросу По поводу CP в том же чате спрашивают в чём тогда разница между CF

и тем же The а могу сказать что разницы нет а вот эти площадки с заданиями они по факту являются как бы отдельным типом тифа Вот раньше были вот обычно тифа изначально рождались они проводятся раз в какое-то время там раз в две недели раз в месяц Ну конкретно Сиф может проводиться раз в год например или на какой-то конференции вот как на на том же бесай у нас проводился А на еже Коник проводился а Но некоторым людям не хватало именно постоянного возможности использовать Сев как лабу вот как для обучения к примеру поскольку некоторые преподаватели собственном КПИ пытаются привлечь в образовательный процесс иногда даже там закрывают лаб если человек хо се приме было такое и появились платформы которые

как бы назывались как CF который доступен 247 в любое время Вот это были или платформы по типу H где можно было как бы для группы студентов и людей организовать прямо сейчас то есть выбрать из библиотеки набо заданий включить их чтобы все могли их использовать и появились вне которые ведут рейтинг как hck The box то есть по факту это ctf который идёт постоянно и на котором есть глобальный рейтинг который постоянно меняется так ложим ха за бок и появляются новые коробочки которые можно по иде у пробовать поломать хорошо спасибо большое по-моему hck The box одна из самых популярных словосочетаний которые звучит на нашем секюрити Вике на этой неделе А хорошо У меня вопрос к слушателям Скажите пожалуйста проблема только с картинкой

или со звуком тоже Если со звуком тоже проблемы потому что сейчас в принципе звук важнее чем картинка мы потом это как-нибудь подправить А хорошо я не знаю какие у меня ещё есть вопросы [музыка] а есть ли Ну как бы вот после участия в фах там работы с тем же самым Хак боксом там я не знаю там работа с Хаз боксом после прохождения там видосиков каких-то Я знаю что есть туториалы имеет ли смысл идти наба или это как ты сказал типа очень очень зависимо Да это очень зависит То есть если рассматривать ctf как возможность обучение и попробовать свои знания на практике То есть как раз что мы что-то посмотрели на видео как использовать какой-то тул вот к примеру

как не знаю использовать как с помощь помощ пройти какую-то коробочку это сделать и разобраться при этом работе то вполне можно примени дальше на баба вот если использу это просто как набивание рейтинга Я думаю что людям у которых которые так много всего знают у них и так есть работа ко приносит доход им на баба в принципе ну раве что по фану сходить моё мнение такое угу я поняла хорошо наверное у меня на этом всё есть ли вопросы вопросов больше пока нету но ты на всякий случай на пару минут ещ с нами Останься вдруг вопрос появится вот я же скажу А что снова таки скажу что это был наш последний эфир э с докладами на этой неделе в рамках beside

Ukraine Security Week 2020 А завтра у нас с 12 до 2:00 э сессия вопросов и ответов со спикерами которые были на этой неделе плюс возможно будет несколько приглашённых гостей А вы сможете позадавать вопросы Пообщаться мы это всё в режиме реального времени Также вы сможете присоединиться к нам в Zoom и поговорить с ними напрямую Если захотите Вот завтра в 12:00 в тоже в то же время начинается ctf э по умному городу и в это же время насколько я знаю начинается трансляция вы все уже получили письма насколько тоже я знаю И даже уже сформировали команды у кого команды не было там люди уже Я в чатике видела общалась поэтому желаю вам успехов в этом непростом деле А также Напоминаю что 19 декабря пройдёт

ещё один ctf за при участии pentest pentest Academy Извините пожалуйста вот а ну информации больше информации про это будет уже на следующей неделе все кто зарегистрировался в нашей форме считаются автоматическими зарегистрированными на ctf вот а сейчас последний вопрос ива Наски важко Буба хантером в пла постного доходу Як в звичайного звичайно фта работы нет это не последний вопрос Да я отвечу на этот скажу что я к сожалению не могу на него ответить поскольку у меня есть работа которая собственно приносит мне постоянны доход баба я в этом плане никогда не участвовал поэтому поделиться опытом не могу я зна но [музыка] твиттеров свой уровень дохода А поэтому как бы можно за этим смотреть но в любом случае изначально как в принципе и везде

сразу не будет такого что вы пришли И там за первую неделю заработали все деньги мира Сначала вам придётся работать на вашу репутацию вот об этом было рассказано Паше в том числе на нашем первом в первом на нашем первом стриме первым нашим докладчиком вот также я думаю этот вопрос можно будет повторно поднять Завтра вот ctf - это более для людей которые так или иначе имеют отношение к секюрити насколько это будет полезно актуально для людей которые не совсем в данном топике я бы сказал что это полезно актуально для всех кто имеет какое-то отношение к it в том числе к просто к разработчикам тестировщика и остальным вот опять же это если рассматривать CF Как как фан как возможность отдохнуть

попробовать что-то новое вот или в том числе если тек примеру на конференции где можно ещё и послушать доклады ещё и познакомиться с людьми обменяться каким-то опытом познакомиться а потому что как я говорил категории есть разные есть те которые нацелены вообще на людей которые не имеют отношения к секти как такому вот какй где нужно найти какие-то ответы на вопросы там общие вопросы по истории не обязательно секти связаны это тоже весело тоже приносит какой-то опыт поэтому единственное Да тут Конечно если человек не имеет отношения к Скорее всего он не нарт ефа не займёт первое место Ну для того чтобы получить какой-то фан получить хорошие эмоции получить какой-то новый опыт это и не нужно но здесь есть опасность то что вам

может понравиться и затянет а стосовно devcon ua команда ещ активная Я если честно очень сильно давно про них ничего не слышала ты что ты слышал а нет ну с момента когда я ушёл вот конец пятнадцатого года на самом деле я не в курсе но я вижу по C Time собственно говоря Вот сайт C Time - это хорошее место чтобы следить за коман участвует в фах А сейчас они в Украине по на первом месте в мире на конец дго года они трее в прошлом году были седьмые поэтому я бы сказал что по результатам поскольку обычно были в топ-1 да то есть начиная с 2013 года команда ниже топ-1 не опускалась в мире в этом году она

опустилась показатель того что сейчас прошла ротация людей то есть студенты которые обычно участвовали походили более опытные тоже по уходили возможно было меньше людей привлечено поэтому мне кажется что команда активная но не в полную силу не такое было Величие как было несколько лет назад хорошо у нас наверное есть время для последнего вопроса если он есть или если не есть это бы последний вопрос В любом случае мы тебе ещё раз благодарны ивань Приходи к нам чаще Вот надеюсь завтра ты сможешь к нам тоже присоединиться в 12:00 на круглый стол Вот спасибо всем нашим зрителям нашим слушателям за то что были с нами Приходите завтра и мы перестанем вас мучать на прощание ещё раз поблагодари нашего ком нашего Боже я забыла все

слова на свете поблагодари нашего спонсора компанию Huawei за поддержку и помощь в организации этого ивента А ну вот последний вопрос пусть будет а якщо я не студент я можу брати участь у складе команды Ну если вы профессиональны Если вы про завтрашний CF и если вы работаете уже достаточно долго профессионально то я не знаю ли имеет вам смысл и будет ли вам интересно а Но если Вы тоже хотите чему-то научиться то я думаю почему бы нет вот всё спасибо всем большое это был наш последний вопрос до встречи завтра в 12:00 Надеюсь вы все придёте всем хорошего вечера