Tak przeglądam ranking ogólny CTFów prowadzony przez serwis CTFtime.org i zwróciłem uwagę na jedną rzecz (a raczej jej brak) - w setce pierwszych teamów w rankingu 2012 nie ma żadnego polskiego teamu, a w br. jest jeden (słownie: jeden). Wydało mi się to dość dziwne - jest kilka polskich sajtów z newsami o security (szczególnie ostatnio wyrastają jak grzyby po deszczu), kilka(naście?) forów internetowych (czasem mam wrażenie, że po każdej emisji Hackerów w TV powstają dwa nowe), są też konferencje security (przynajmniej kilka w roku), sporo niezłych blogów, czasem jakieś konkursy/hackme/crackme/etc i ogólnie sporo udzielających się osób "na scenie" - więc skąd taka marna reprezentacja w rankingu CTFów? Odpowiedzi może być oczywiście kilka. Jedną z nich (całkiem możliwą zresztą) jest: jakoś tak nikt nigdy nie napisał o tym, że średnio co dwa tygodnie jest jakiś CTF i że w ogóle jest jakiś "ogólny ranking".
(Btw, w rankingu hackme jest delikatnie lepiej - wg. rankingu ogólnego na agregatorze wyników WeChall w pierwszej setce jest czterech polaków.)
Ale miało być o CTFach.
Sprawa pierwsza: co to jest CTF? (skupię się na typie "jeopardy", bo o "attack-defense" sam za dużo nie wiem)
- (dla osób, które wiedzą co to hackme) to takie drużynowe hackme ograniczone czasowo (np. 48h godzin na rozłożenie 30 zadanek w średnio 10 osobowych teamach)
- (dla osób, które nie wiedzą co to hackme) jest 20-40 zadań z kategorii takich jak web security (trzeba się włamać na przygotowaną stronę), binary (reverse engineering / cracking aplikacji natywnych), vulnerability (trzeba wyexploitować bug w aplikacji natywnej, najczęściej specjalnie przygotowanym daemonie linuxowym), forensics i/lub log analysis (trzeba znaleźć flagę ukrytą w pliku/systemie plików/pcap/inszych logach), crypto, programming (zadanie programistyczne, najczęściej algorytmiczne) czy misc/trivia (cokolwiek innego co ma cokolwiek wspólnego z hackingiem, czasami w bardzo luźny sposób), i ma się ograniczoną ilość czasu (24-48h) na ich rozwiązanie; wygrywa drużyna z największą ilością punktów (rozwiązanych zadań)
- (dla osób, które lubią linki) click 1, click 2
Sprawa druga: jaki znowu ranking ogólny?
CTFów odbywa się sporo (nie wszystkie z nich online, ale większość), więc ktoś wpadł na pomysł, żeby agregować wyniki z różnych CTFów, przypisać im wagi, i podliczyć ile punktów jaki team zdobył. I tak powstał http://ctftime.org/.
Sam serwis jest kapitalny - oprócz rankingu można tam znaleźć trochę info o różnych teamach, listę nadchodzących CTFów (również w formie RSS) i liste write upów (rozwiązań) do zadań z przeszłych CTFów.
Sprawa trzecia: jak wyglądają przykładowe zadania?
Tak samo jak zadania na sajtach z hackme, których trochę jest z domeną .pl.
Natomiast zainteresowanych odsyłam do listy write upów z powyższego sajtu (link do write upu jest w kolumnie "Author team" z jakiegoś powodu). Również teamy biorące udział w CTFach (patrz ranking) często na swoich stronach publikują write upy.
Podsumowując: Jeśli interesujecie się hackingiem/security, pomyślcie czy by nie skrzyknąć znajomych i się nie pobawić w CTFy, szczególnie, że można się przy tym sporo nauczyć i sporo potrenować (jak to mówią, keep your blades sharp but your wits sharper).
(P.S. uprzedzając pytania - nie, zazwyczaj nie ma ograniczeń wiekowych.)
2013-03-03:
Comments:
Nie każdy swoje osiągnięcia publikuje. Np. trudno opublikować wyniki pentestu, nawet jeśli wyszedł kapitalnie :) (klient byłby baaardzo niezadowolony)
Anyways, wyliczając serwisy/fora/etc chodziło mi o to, że jest zainteresowanie tematem hackingu/security w .pl, więc wydawać by się mogło, że tam trochę więcej tych polskich teamów powinno być.
Ofc, trzeba pamiętać, że nie każdy lubi CTFy czy ma czas, żeby się w nie bawić (a fakt faktem sporo czasu na nie schodzi).
A teraz poki co do roboty! Do excela, wpisywac wartosci do tabel, sumowac, wykonywac plany, bo premii nie bedzie. Raz!
czy prowokacja. Czy może chodzi tylko o to, żeby przemycić tą informację, że tak, ci słynni hakerzy są właśnie na 5 miejscu
rankingu CTFcośtam, żeby już nie było wątpliwości kto słynnym hakerem jest. Wybacz taką konkluzję ale sam sobie na pytanie
odpowiadasz w drugim komentarzu (w dość oczywisty zresztą sposób) , więc jeśli odpowiedź jest znana, po co zadawać pytanie?
Blogi biorą się głównie z pewnej chęci zaistnienia (flame on!). Taką potrzebę można szerokiemu ogółowi jakoś ładniej przedstawić
i uzasadnić. Na pewno nie każda dziewczyna wie wszystko o makijażu i z tego powodu powstaje mnóstwo videoacastów z serii
"jak się umalować". W przypadku blogów technicznych to uzasadnienie znaleźć jeszcze prościej, przecież tylko burak może
zakwestionować szczytne idee dzielenia się wiedzą i pomocy maluczkim, prawda? Swoista potrzeba ekshibicjonizmu zaspokojona
i nie ma się o co czepiać, a jak ktoś chce się czepiać to niech nie czyta i spada.
Wiedząc, że część obywateli ma ową potrzebę bardziej zarysowaną niż reszta można oczywiście coś zmierzyć i wysnuć wniosek,
co do ogólnej liczby osobników interesujących się danym tematem. Nie powoływałbym się jednak na "pączkujące" jak sam
zwracasz uwagę serwisy informacyjne bo powstawanie tych jest w częściej uzasadnione mniej lub bardziej kulawym zamysłem biznesowym. No chyba, że ci słynni hakerzy mieliby zakładać serwisy z newsami o security. Czy znasz choć jeden przypadek
takiego serwisu w Polsce, którego założycielem byłby ktoś kogo można by obdarzyć mianem ekhem, hakera?
Wracając do głównego pytania, dlaczego zakładać, że wszelkiego rodzaju konkursy, CTFy i inne formy rywalizacji są miarą czegokolwiek? Co z ogromem ludzi, ktorzy nie mają potrzeby nikomu niczego (także i sobie) udowadniać ?
W security codziennie i w realnych sytuacjach, jest tak dużo okazji do tego aby samodzielnie rozwijać się i doskonalić umiejętności
że nie starczyło by mi czasu nawet gdyby doba miała 72 godziny. Dlaczego miałbym ten czas wykorzystywać do rozwiazywania
problemów sztucznie stworzonych w kontrolowanych warunkach CTF?
Parafrazując słowa znanego profesora, hakerzy nie są w CTFach tylko są tam gdzie są.
Nie kazdy zalozyl juz konto na ctftime i wybral kraj, wiec w pierwszej setce moze by sie jacys Polacy jeszcze znalezli, ale jesli chodzi o czolowke, to rzeczywiscie tylko Twoj team wchodzi w gre.
Gratulacje - idziecie jak burza :)
Ja sie w to bawie gdzies od roku, zabawa jest naprawde swietna i mozna sie sporo nauczyc, zwlaszcza dzieki writeup-om pozwalajacym nie tylko odkryc tajemnice nierozwiazanych zadan, ale i podejrzec alternatywne techniki/narzedzia uzywane przez innych.
Nie trzeba tez koniecznie zbierac teamu - ja walcze sam i tez jest fajnie, chociaz konkurowac z wiekszymi druzynami oczywiscie ciezko (niski skill tez przeszkadza, ale nad tym pracuje ;)
Inny ciekawy projekt to hacking-lab.com - glownie tematyka webaplikacji i poziom raczej ustawiony na mniej zaawansowanych, wiec niezla rzecz na start. Takze smashthestack.org i inne.
Do zobaczenia na nastepnym CTF!
Po cichu miałem nadzieję, że kilka osób się odezwie i zaprotestuje :)
Jak widzę jesteś jedną z takich osób, i jak najbardziej jesteś w pierwszej setce na którą patrzyłem - great!
Anyways, na mój team póki co nie ma sensu patrzeć - dopiero zaczynamy (póki co wzięliśmy udział w czterech CTFach) i cały czas się uczymy samego systemu rozgrywek (np. to, że teamy mają średnio po 10 osób było dla mnie sporym zaskoczeniem; PPP ma 25 osób btw), podejścia, strategii, narzędzi, itd.
Zgadzam się, że write-up'y są świetnym źródłem wiedzy (i narzędzi) - i że warto poświęcić trochę czasu na ich analizę ;)
Do zobaczenia na polu bitwy w takim razie ;>
http://potyczki.mimuw.edu.pl/user.php?op=ranking&type=1 - konkurs Potyczki Algorytmiczne, top1-20 na oko Polacy.
Z innych algorytmicznych:
http://www.boi2012.lv/results - w top1-5 jest czterech Polaków, w tym top1.
http://www.boi2011.dk/index.php/results - w top1-10 jest pięciu Polaków, w tym top1.
http://www.ioi2011.or.th/results - top8 Polak
http://www.ioi2012.org/competition/results-2/ - top7 Polak
http://ceoi2011.mimuw.edu.pl/results/ - top1-7 pięciu Polaków, w tym top1.
http://community.topcoder.com/tco12/algorithm-final-results/ - top2 i top5 Polak.
"Podobnie jest w przypadku potyczek algorytmicznych, polaków jak na lekarstwo. Dawno nie słyszałem o jakimś super wybitnym polaku w tym obszarze."
If you say so ;)
@czlowiek_z_miasta
Tak tak! To na pewno złe korporacje. A, i jeszcze cykliści!
A tak bardziej na poważnie - przepraszam za szczerość, ale piszesz bzdury i nieźle "odpłynąłeś". Nie będę odnosił się do całości, szczególnie, że sporo z tego to po prostu Twoje zdanie. Niemniej jednak odniosę się do kilku losowych rzeczy:
"Nie ma wynikow, bo ludzie imho w Polsce zamiast sie rozwijac ida pracowac dla korporacji, nawet tacy bez studiow pala sie do roboty."
Dlaczego uważasz, że praca nie rozwija? Moim zdaniem dobra praca bardzo rozwija i można się w niej wiele nauczyć.
Analogicznie, dlaczego uważasz, że to źle, że niektórzy się "palą do roboty"? Ja w tym osobiście nic złego nie widzę.
"Powiedzcie mi kto o takim G czy M czy T czy F bedzie pamietal za 50lat ?"
Rozumiem, że to miało być pytanie retoryczne. Natomiast jest chybione - istnieje wiele firm, które zostały założone ponad 50 lat temu i o których nadal ludzie "pamiętają". Żeby daleko nie szukać IBM powstał w 1915 roku, Boeing w 1916, a np. Intel dobije do pięćdziesiątki za pięć lat.
Zresztą, nie jest to specjalnie duży wyczyn - jedna z restauracji w Zurichu (Haus zum Rüden Zürich) powstała w 1348 roku i jakoś jeszcze istnieje, ma się dobrze, i lokalna ludność o niej pamięta ;)
"Wystarczy spojrzec na srodowisko security w Niemczech. Te wszystkie kluby, dzialania spoleczne, ruch noprofit."
Jeśli sugerujesz, że w Polsce nic takiego nie ma miejsca, to przyjrzyj się trochę uważniej ;)
@Oprah
Źle zrozumiałeś słowo "słynni" w tytule. Nie chodzi o znane osoby, tylko o stereotyp mówiący jakoby osoby z europy wschodniej, a w szczególności Rosjanie i Polacy, mieli lepsze predyspozycje do informatyki (a w szczególności do hack/sec).
Co do reszty komentarza - mam wrażenie, że nie do końca zrozumiałeś post (ale przy okazji sobie "użyłeś", najechałeś na osoby trzecie, etc ;p) ;)
Przeczytaj go jeszcze raz dokładnie, od deski do deski, i zwróć uwagę, że to nie jest "zarzut", tylko mało subtelna próba spopularyzowania międzynarodowych CTFów wśród osób zainteresowanych tego typu aktywnościami (a, jak doprecyzowałem w odpowiedzi na pierwszy komentarz, oczywistym jest, że nie każdy jest taką rozrywką zainteresowany).
Dodam, że takich osób w .pl jest sporo - wystarczy spojrzeć na "lokalne" strony z hackme, czy frekwencje na (nielicznych niestety) konkursach security organizowanych w .pl.
Dla kontrastu pierwsze dwa z brzegu:
projecteuler.com - 0 polaków w top 200 performance
codechef.com - pierwszy polak 35 miejsce i tylko dwóch polaków w pierwszej setce
Zauważ, że te które podałeś to lv, dk, th, .pl ma się to nijak do globalnych konkursów/stron z algorytmicznymi łamigłówkami.
Dzięki za posta i motywację do spróbowania swoich sił w CTF!
Czegoś takiego właśnie szukałem - jak dla mnie hackme to najlepszy 'skill raiser' jeśli chodzi o security (bo to nie nudzi).
Beware! Polska konkurencja rośnie... ;)
Mnie osobiście denerwują teksty w rodzaju – cytuje z książki Underground - Suelette Dreyfus i Julian Assange - page xviii:
...back then, in the early days of the computer underground, hacking was not about Russian mobster
or Ukrainian protecion rackets or Malaysian card skimmer... by Suelette Dreyfus, Melbourbe, 2011
To jest oczywisty rasistowski tekst umniejszający dokonania tych co żyją i pracują na wschodzie Europy! Szanowna autorka mieniąca się dziennikarka zapomina o powinności jej profesji, jeżeli wspomina się fakty trzeba je przedstawić szerzej i uczciwie, natomiast jej obraz jest czarny, pokazuje tylko negatywny rzeczy.
"To gdzie są ci słynni polscy hakerzy?"
Do tytułu bardziej by pasowało porównanie(lub pokazanie braku/znikomości takowych u polaków[nie wiem jak w tym wypadku jest]) konkretnych osiągnięć.I mam tu na myśl rzeczy typu stworzenie/złamanie jakiegoś dobrego szyfru ,znalezienie dobrego sposobu wyznaczania kolejnych liczb pierwszych(czyli de facto złamanie RSA,i nie tylko),napisanie dobrego optymalizatora kodu,dokonania w dziedzinie sztucznej inteligencji,programy do poprawy jakości obrazu,rozpoznawania twarzy itp. a nie jakieś sztucznie stworzone testy co najwyżej do treningu albo znalezienie jakiejś podatności w aplikacji x czy y.
Co to da jak Polacy będą na 1 miejscu? Tylko lans nic więcej.
Co da jak Polacy wygrają mistrzostwa w piłce nożnej? Co da jak Polacy zdobędą największą ilość medali na igrzyskach?
Tylko lans...? Wydaje mi się że chodzi tu o coś w rodzaju patriotyzmu, narodowej dumy z tego, że jest się Polakiem, wszyscy utożsamiamy się z zwycięzcami z naszego narodu.
ps.
lol zapomniałem napisać capatchy i wyskoczył mi na ekran latający rekin
"Co da jak Polacy wygrają mistrzostwa w piłce nożnej? Co da jak Polacy zdobędą największą ilość medali na igrzyskach?
Tylko lans...?"
W praktyce tak.Czy spadło bezrobocie w Hiszpanii kiedy Hiszpania wygrała mistrzostwa?, a może ludzie szybciej domierzają z punktu a do punktu b?, a może ludzie żyją o wiele dłużej niż dzień przed finałem mistrzostw?
Podtrzymuję tezę - lans i nic więcej.
To chyba raczej prze Angelinę Jolie. ;)
;)
Add a comment: