Les hackers de maman ou mon chemin vers la CTF

C'était une année 2014 lointaine, quand des gars encore verts qui étaient récemment entrés à l'université ont entendu qu'il y avait une sorte de compétition avec un nom attrayant - «Capture the flag» ( abrégé CTF, traduit par «Capture the flag» ).





Photo de securitylab.ru pour les nouvelles de Facebook CTF 2016



Il y avait un gars à la faculté qui avait déjà joué à ce jeu passionnant et a donc daigné nous dire ce que c'est et avec quoi il est mangé ...



Alors, maintenant laissez-moi vous dire un peu:



1 CTF ( Capturer le drapeau ou Capturer le drapeau ) - compétition par équipe ( parfois personnelle ) dans le domaine de la sécurité informatique ( information ).



2. Format de l'événement:



2.1. Basé sur une tâche ( ou un danger ) - les joueurs reçoivent un ensemble de tâches ( tâches ) auxquelles ils doivent trouver une réponse ( drapeau ) et l'envoyer.

Jusqu'à présent, tout est plus que simple, les règles habituelles, mais seules toutes les tâches dans ce format sont divisées en catégories (je vous parlerai des principales ):



Cryptographie - les tâches sont liées au déchiffrement de messages protégés par divers algorithmes ( du plus simple au plus moderne );

La stéganographie est la science de la transmission secrète d'informations en dissimulant le fait même de la transmission. Par conséquent, vous devez trouver exactement comment et quelles informations ont été transmises (sujet très intéressant, je déploierai des articles plus tard );

Web - recherche de vulnérabilités sur les serveurs et les sites (des serveurs et des sites spécialement déployés sont utilisés, les plates-formes ouvertes ne sont pas piratées );

Ingénierie inverse - recherche de code logiciel, d'autres méthodes dépendent de la tâche (un sujet très morne, pour les diligents );

Recon est mon sujet préféré de recherche d'informations open source ( OSINT, intelligence ). Un sujet qui sera également consacré à un bloc d'articles distinct;

Joy - tâches divertissantes de divers sujets.

2.2. Attack-Defense ( ou classique) - chaque équipe dispose d'un serveur dédié ou d'un petit réseau pour maintenir son fonctionnement et sa protection. Pendant le jeu, les équipes reçoivent des points pour le bon fonctionnement des services de leur serveur, la protection de leurs informations et pour les informations volées ( aka «flags» ) sur les serveurs des rivaux.



3.

Niveau de compétition Niveau international: la plus prestigieuse compétition DEF CON CTF , qui a lieu chaque année à Las Vegas et rassemble les équipes les plus fortes du monde ( datant des années 90 ).



Russie: se développe activement depuis 2009. De nombreuses compétitions locales sont organisées ( dans les universités, les villes, les quartiers ) selon différents modes.

Le plus grand CTF de Russie -RuCTFE , une victoire dans laquelle donne l'opportunité d'accéder à DEF CON CTF.

Fait intéressant: en 2014, 322 équipes de différents pays du monde ont combattu en RuCTFE!



Après ce que j'ai entendu, il y avait une envie effrénée d'essayer de parcourir ces cercles d'enfer et d'étudier ce sujet. Nous avons demandé au même gars de superviser nos deux premiers matchs.



Ensuite, nous avons commencé à étudier le site ctftime.org - le calendrier de toutes les compétitions (à travers le monde ) et le classement des équipes participantes ( inscrites sur le site ) sont affichés ici .



Nous avons bien compris que l' attaque-défense ne brillait pas encore pour nous, mais nous étions prêts à résoudre toutes les tâches au format basé sur les tâches afin d'acquérir de l'expérience.



Le tout premier CTF



Nous avons eu une chance incroyable que l'un des FFC les plus proches soit russe, à savoir la FCE scolaire ( organisée par l'équipe SiBears ), dans laquelle il y avait une division entre écoliers et non-écoliers et l'heure était indiquée - 8 heures ( il semble que c'était le cas ).



Bien sûr, il était très important de s'inscrire ... Mais comment? Quel est le nom de l'équipe?



D'une manière ou d'une autre, c'est moi qui ai organisé notre participation et suis devenu le «capitaine» non officiel de l'équipe.



C'était aussi la première fois, et nous savions que les fonds marins - c'est juste nous dans cette compétition ... En effet, sans hésitation, j'ai offert et BienvenueNous sommes l'équipe DnO .



Nous nous sommes armés d'ordinateurs portables, de stylos, de blocs-notes et nous nous sommes inquiétés de ce dont nous pourrions avoir besoin.



Alors, ça a commencé ... Nous avons ouvert les tâches et pour nous c'étaient des hiéroglyphes qui ne s'additionnaient pas aux phrases (surtout dans les tâches).



Mais, grâce à Google, nous avons progressivement commencé à comprendre ce que signifie tel ou tel mot et avons finalement commencé à rechercher sur Google non seulement des mots, mais déjà à essayer de résoudre des tâches et, il faut le noter, nous avons même réussi ...





Résultats préliminaires



Il est à noter que nous étions sur le courage , nous avons fait beaucoup et avons estimé que le départ était plus que parfait. Comme vous pouvez le voir d'après les résultats préliminaires, nous avons occupé la 6e place, mais ensuite nous avons déménagé d'environ 10 (mais compte tenu du nombre d'équipes, on n'y a plus pensé, mais on a fêté un départ réussi ).



Bien sûr, le prochain CTF, auquel nous avons décidé de participer, était une sorte d'étranger, mais malgré le fait que nous ayons compris toutes les tâches, nous ne pouvions rien résoudre du tout, donc si nous faisions quelque chose là-bas, alors en au mieux une tâche.



Il était clair que nous ne savions absolument rien, nous devions nous entraîner, étudier, préparer, rechercher des plateformes pour résoudre de telles tâches ...



Qu'est-ce que l'équipe DnO?



Le temps a passé, nous avons participé à divers CTF et mis la main dessus, trouvé plusieurs plateformes très utiles avec des tâches, grâce auxquelles nous pouvons développer dans ce sens ( je ne les listerai pas, vous pouvez les trouver facilement dans Google ).



Du coup, un événement intéressant s'est produit, nous nous sommes réunis pour un CTF à plein temps ( avant cela nous n'avions toujours joué qu'en ligne ), il semblerait que c'était QCTF et que cela se soit déroulé à Moscou , ou plutôt au MIREA . Naturellement, c'est une énergie complètement différente, tout autour des presses, car vous ne vous asseyez pas tranquillement sur votre canapé, mais vous voulez aussi la ressentir.





Photo d'une des tâches du QCTF



Il y avait un thème de l'espace incroyablement intéressant, des tâches de différents niveaux, que nous avons exécutées avec dignité, parce que ces compétitions étaient "pour les débutants", ce que nous avons également considéré.



Du coup, l'équipe DnO de 20 équipes a pris la 4ème place honorable ( enfin, vous savez à quel point c'était décevant ), mais quand nous sommes revenus à l'université, on nous a dit que cela doit être dit à tout le monde, quel est le nom de votre équipe?



Cette question nous a intrigués ... Bien sûr, les gars n'étaient pas trop occupés et étaient comme: "Eh bien, vous avez proposé DnO, maintenant inventons un décryptage pour que toute l'université ne se moque pas de nous."



Après une heure d'étude du dictionnaire, j'ai trouvé la seule transcription adéquate en tant que Destroy Network of Opponent, qui se traduit par "Détruisez le filet de l'ennemi" ( merci que les prépositions ne sont pas prises en compte dans les abréviations ).



Depuis, nous avons suivi le vieil adage du navire ... Comme on l'appelait, il naviguait.



La première victoire "à moitié"



Une fois de plus, nous avons décidé de nous essayer à la CTF à plein temps, mais cette fois, il a été décidé de visiter la ville héroïque de Volgograd.



Notre équipe était déjà sur l'expérience, nous avons été divisés en directions et chaque membre de l'équipe s'est développé dans une direction principale et une / deux directions adjacentes, afin d'être prêt à aider / remplacer son ami. Mais, bien entendu, nous étions encore loin d'avoir de «bonnes» connaissances dans ces domaines.





L'équipe DnO à Volgograd



Honnêtement, je ne peux même pas décrire les émotions que nous avons vécues, et tout cela parce qu'il y avait 2 équipes de tête ... nous sommes allés point par point, résolvant presque les mêmes tâches.



Le "coup de sifflet" final et nous ... Deuxièmement? Comment? Mais après tout ... On a le même nombre de points, mais l'équipe Lifea rendu le dernier drapeau devant nous à temps, c'est pourquoi nous avons pris la deuxième place ... L'équipe DnO pour la première fois était proche de la victoire, mais l'a ratée au dernier moment.





Tableau de bord final du concours VolSUCTF



Première Coupe de Russie CTF



Cela a pris quelques mois, nous n'avons pas laissé de tentatives pour obtenir des résultats élevés dans divers CTF'ah en ligne, mais tout a été en vain, et maintenant nous avons appris qu'il y a un set pour la première "CTF Cup of Russia" , et la sélection c'est le résultat des organisateurs sélectionnés séparément CTF tenu depuis le début de l'année.



Naturellement, VolSU CTF était parmi eux, dans lequel nous avons réussi à prendre la 2e place et, en fait, ne sommes pas allés à cette FIRST Cup incroyablement intrigante ...



Cependant, après avoir suivi la situation, nous avons appris que l'équipe Life, avec laquelle nous partagions la 1ère place, participe à cet événement en tant qu'organisateur ... Iiiiiiiiiii, oui, l'équipe DnO est invitée à la «Coupe I CTF de Russie» en tant que vainqueur VolSU CTF.



Naturellement, on ne savait absolument rien de cet événement et il ne nous restait plus qu'à préparer dur.



Sautant toutes les nuances des préparatifs, nous arrivons au Skolkovo Innovation Center, où les 20 meilleures équipes de tout le pays se sont réunies.





1ère Coupe CTF de Russie. Le premier jour. Basé sur les tâches.



On nous rencontre, on nous donne des farces ( autocollants, T-shirts et surtout, FLAGS! )





Le même drapeau chéri de l'équipe DnO. Tirage



rapide et nous découvrons quel numéro de table nous avons, sommes allés nous préparer. Déployant rapidement leurs machines à écrire, les organisateurs de l'événement ont prononcé un discours, où nous apprenons des nouvelles intéressantes, à savoir:



1. La Coupe se déroule en 3 étapes en 2 jours;

2. Phase 1 basée sur les tâches(20 équipes participent, les 10 meilleures passent à l'étape suivante);

3. Étape 2 Attaque-Défense (10 équipes restantes participent, 4 meilleures vont à l'étape suivante);

4. Finale de l'étape 3. (4 équipes sont impliquées, ce qui va se passer est un mystère couvert de ténèbres ...).



Sans regarder en avant, nous avons commencé à préparer la première étape de cet événement, qui s'annonçait passionnant ...



Alors, STAGE №1 , nous avons commencé.



Épuisant 8 heures de travail, avec la compétition suspendue pour le déjeuner. Nous avons fait de notre mieux, montré le meilleur travail d'équipe qui ait jamais été et pour cela nous avons reçu les "drapeaux" convoités, des points qui pourraient nous mener au tour suivant.



Oublier le tableau de bord ( tableau des résultats), nous avons travaillé jusqu'à la dernière seconde de cette étape et, non sans chance, nous occupons la 6ème ligne du tableau.





Tableau de bord après la 1ère manche de la Coupe de Russie CTF



Il y a un silence de mort à notre table ... Personne ne croit que nous ne sommes pas seulement arrivés à la deuxième étape, nous avons passé avec confiance.



Ce n'est qu'après que notre conservateur est venu nous féliciter que nous avons réalisé ce qui se passait et que le sourire n'a jamais quitté notre visage.



C'était clairement notre journée, nous l'avons méritée, pas de chichi, juste de la nourriture et un bon repos avant la deuxième journée de compétition.



Oui, nous avons compris que nous étions très faibles en Attaque-Défense , mais nous étions tout de même chargés de travailler jusqu'au bout.



Donc, ÉTAPE # 2 , nous avons commencé.



Quand nous nous sommes assis à table et avons déroulé à nouveau nos machines à écrire, il n'y avait pas de limite pour surprendre ...





Notre "tâche" de la deuxième étape. Propre ferme crypto.



On a vu ça, pour ne pas dire qu'énorme, boîte et combien tout est dedans, comment tout est arrangé là-bas et on s'est rendu compte qu'on avait touché le plus désagréable ...



ça ne marchera pas beaucoup, les nuances de cette étape sont oubliées, sauf une ... On a travaillé et essayé jusqu'au dernier, pas pour la finale, mais pour vous-même. Parce que nous voulions nous prouver que nous sommes capables de plus.



Il est à noter que nos efforts ne sont pas passés, nous avons quand même relevé le serveur et même reçu certains des drapeaux, mais, naturellement, cela ne suffisait pas, d'autres équipes étaient beaucoup plus préparées ...



Résultat, 9e place dans la deuxième étape... Bien sûr, il y a une légère frustration, mais nous avons accompli la tâche minimale, qui valait la peine d'être fière.





Tableau de bord 2 étapes.



L'étape n'a duré que 4 heures , et la finale était prévue pour l'après-midi, nous ne sommes pas allés la regarder ( honnêtement, nous n'avions pas la force ), mais ce n'était pas moins intéressant là-bas, car il y avait une guerre de robots , même s'ils n'étaient pas contrôlés via une télécommande, mais par programmation.



A ce niveau, nous étions clairement loin ...



C'est avec cette Coupe que ma performance dans cette équipe s'est terminée à la fois en tant que capitaine et en tant que participant ... J'ai obtenu mon diplôme, les autres gars l'ont pris sur eux-mêmes, qui étaient dynamisés et prêts à passer à autre chose.



Mais c'est une histoire complètement différente ...



Par ailleurs, je voudrais remercier les organisateurs de ces compétitions ( diverses équipes de la FCE, ainsi que l'organisation ARSIB ), les mentors, les conservateurs, mes amis qui ont joué pour cette équipe et les gars qui ont joué pour d'autres équipes.



Personne n'est oublié, merci beaucoup pour ce bon moment!



Ce qui est décrit dans cet article a définitivement changé ma vie d'au moins 60 degrés: D

Et vous pouvez voir les succès de l'équipe ici .



PS Le drapeau se tient toujours sur le lieu de travail près du moniteur et réchauffe l'âme



All Articles