Rok temu z przyjemnością pisałem, że nasz (powstający jeszcze wtedy) team CTFowy zakończył sezon 2013 na trzecim miejscu w klasyfikacji generalnej prowadzonej przez CTFTime.org. Cel w sezonie 2014 był jasny - zakończyć sezon na pierwszym miejscu. Miło jest mi napisać, że plan udało się zrealizować :) (P.S. w czwartek od 12:00 odbędzie się nasze AMA o CTFach/etc na wykop.pl).



Krótkie przypomnienie czym są CTFy

(jeśli wiesz, czym jest CTF, możesz spokojnie pominąć ten punkt)
Od czasu do czasu pojawia się na moim blogu nowy czytelnik, więc warto, żebym to wyjaśnił (po raz kolejny).



CTF (ang. Capture The Flag) w kontekście security/hackingu to drużynowy turniej, podczas którego drużyny starają się rozwiązać jak najwięcej zadań z kategorii powiązanych z security/hackingiem, takich jak: web (bezpieczeństwo aplikacji webowych), pwn (exploitacja low-level / bezpieczeństwo aplikacji natywnych), RE (crackme / szeroko pojęty reverse-engineering), crypto (kryptoanaliza), forensics (informatyka śledcza), stegano (steganografia), ppc/programming (programowanie/algorytmika), itp. Dodam, że zadania są praktyczne do bólu i w przypadku części kategorii można je streścić jako "włam się na [przygotowany przez organizatorów] serwer na którym stoi taka a taka [również przygotowana przez organizatorów] źle napisana aplikacja".

Istnieją dwa główne typy CTFów:

- Jeopardy - w 24-48h należy rozwiązać 20-50 zadań z różnych kategorii, o różnym poziomie trudności.
- Attack-Defense - każda drużyna otrzymuje identyczny serwer na którym stoi 5-8 serwisów; na serwerze są flagi, które należy bronić (szukać błędów i łatać aplikacje [zazwyczaj hexedytorem]), a przy okazji należy atakować serwery innych drużyn i wykradać z nich flagi (tj. tworzyć exploity na znalezione błędy i używać je do wykradania flag). Wygrywa drużyna która zdobyła najwięcej flag, najmniej straciła, a przy okazji jej serwisy były cały czas na chodzie.



CTFy odbywają się średnio co 2 tygodnie (jest ich około 30-40 w roku), trwają typowo od 8 do 48 godzin i bierze w nich udział od 10 (finały) do 2000 drużyn (wliczając w to drużyny jednoosobowe) z całego świata. Rozgrywane są zarówno online jak i offline (na miejscu).

O ile same turnieje są zazwyczaj niepowiązane ze sobą (wyjątkiem są rundy kwalifikacyjne), to ich wyniki są agregowane w serwisie CTFTime.org, który od kilku lat prowadzi również ranking ogólny (aka klasyfikację generalną).

Patrz także: CTF? WTF? oraz wpis na wiki.

Dragon Sector w 2014

Zacznę od stanu osobowego - sezon rozpoczęliśmy w 9-osobowym składzie (gynvael, j00ru, adami, keidii, mak, vnd, mawekl, redford, valis), ale już w trzecim tygodniu stycznia doszły do nas kolejne 3 osoby (q3k, tkd, jagger), które zresztą grały z nami gościnnie już pod koniec poprzedniego sezonu. W podobnym okresie gościnnie zaczął grać z nami gościnnie lympho, który jednak oficjalnie dołączył do nas pod koniec sezonu 2014. Niemniej jednak w zasadzie cały sezon graliśmy w tym samym składzie (pełen skład można zobaczyć na naszej stronie - http://dragonsector.pl/).


(Fotka by Tyler/PPP)

Jeśli chodzi o same turnieje, to w sezonie 2014 wzięliśmy udział w 33 rankingowych CTFach (oraz jednym nierankingowym), z czego:

- 5 offline:
-- Insomni'hack 2014 w Genewie (Szwajcaria): 1 miejsce
-- Codegate CTF Finals 2014 w Seulu (Korea): 3 miejsce
-- PHD CTF Finals 2014 w Moskwie (Rosja): 1 miejsce
-- DEF CON CTF 2014 w Las Vegas, NV (USA): 3 miejsce
-- Nuit du Hack CTF Finals 2014 w Paryżu (Francja): 4 miejsce
- 1 online z możliwością gry na miejscu:
-- 31C3 CTF w Hamburgu (Niemcy): 3 miejsce
- oraz 28 online



Jeśli chodzi o wyniki, to:
- wygraliśmy 7 CTFów (+ 1 nierankingowy)
- na podium stawaliśmy w sumie 18 razy (+1 jw.)
- na miejscach 4-10 lądowaliśmy 10 razy
- pozostałe 5 razy było słabiej ;)

W klasyfikacji generalnej (https://ctftime.org/) przez prawie cały rok utrzymywaliśmy się na pierwszym miejscu, ale amerykański zespół Plaid Parliament of Pwning większość sezonu deptał nam po piętach, a na kilka tygodni nawet wyprzedził. Niemniej jednak sezon udało zakończyć się na pierwszym miejscu.

Ostatecznie zdobyliśmy w tym sezonie 1793.171 pkt (vs 939.359 w zeszłym sezonie).
Chyba nie muszę dodawać, że jako kapitan jestem bardzo zadowolony z wyniku i bardzo dumny z naszego zespołu :)

Aktywność powiązana

W minionym roku oprócz udziału w CTFach nasz zespół zrobił jeszcze kilka rzeczy wartych wspomnienia.

- Po pierwsze, w sezonie 2014 opublikowaliśmy na naszym blogu 23 rozwiązania zadań z minionych CTFów.
- Po drugie, w Strefie CTF w magazynie Programista opublikowaliśmy 12 artykułów (11 rozwiązań zadań oraz 1 dość długi opis DEF CON CTF i formatu Attack-Defense).
- Idąc dalej, na YouTube wrzuciliśmy kolejny filmik (niestety tylko jeden) z rozwiązaniem zadania (click).
- Zorganizowaliśmy również jeden CTF single-player (teaser online + offline), który odbył się na konferencji CONFidence w Krakowie.
- Również na CONFidence poprowadziliśmy prelekcję pt. "On the battlefield with the Dragons - the interesting and surprising CTF challenges" (nagranie, slajdy).



Ogólnie dość pracowity rok.

Ah, no i w końcu dorobiliśmy się strony z listą naszych graczy.

Scena CTF

W sezonie 2014 scena była jeszcze bardziej aktywna niż rok wcześniej - było więcej CTFów, pojawiły się nowe drużyny i nowi gracze.

Najbardziej ucieszyło mnie pojawienie się nowych polskich graczy oraz teamów, w tym grającego regularnie teamu Snatch The Root, który zakończył sezon na 29 miejscu w klasyfikacji generalnej.

Na polskiej scenie pojawiło się też trochę więcej niż zwykle konkursów CTFo-podobnych organizowanych m.in. przez CERT.pl, sekurak.pl, z3s czy PGS software. Kto wie, może 2015 będzie bardziej przypominać 2004-2008 pod względem ilości/jakości tego typu konkursów ;)

Podziękowania

Przede wszystkim dla naszych rodzin, partnerek, a także pracodawców za wsparcie w ciągu roku - udział w 34 CTFach w ciągu roku wymaga jednak sporej dawki cierpliwości z ich strony :)

Również chciałbym podziękować NASK / CERT.pl oraz Uniwersytetowi Warszawskiemu za wsparcie kilku naszych graczy w kwestii wylotu do USA na finały DEF CON CTF. Chciałbym również podziękować autorowi PELock za wsparcie dla naszego teamu w tym samym celu.

Z mojej strony chciałbym oczywiście podziękować całemu zespołowi za aktywny udział w minionych CTFach, a także za masę czasu poświęconego dla teamu podczas całego sezonu :)

Dragon Sector CTF AMA

Jak wspomniałem na początku, w czwartek (8 stycznia) od godziny 12:00 odbędzie się prowadzone przez nas AMA (Ask Me Anything) o CTFach, security, itp. na wykop.pl (na ostatnie pytania odpowiemy w piątkowy poranek).

Link do AMA wrzucę jak tylko pojawi się temat.

Sezon 2015

Przerwa między sezonami jest bardzo krótka (w zasadzie czas na odpoczynek jest tylko w wakacje), więc pierwsze CTFy już w najbliższy weekend. I to dwa na raz:

- HackIM 2015 -  Jan. 09, 2015 07:30 — Jan. 11, 07:30 CET
- Insomni'hack teaser 2015 - Jan. 10, 2015 10:00 — Jan. 11, 22:00 CET

A więc powodzenia wszystkim grającym - HF GL i do zobaczenia na polu bitwy!

P.S. Podczas tego i poprzedniego roku pozbierałem trochę zdjęć/screenshotów z różnych CTFów. Wrzuciłem je tutaj.


Comments:

2015-01-07 09:15:15 = WhiteLightning
{
Z ciekawosci - ile czasu potrzebujesz na zrobienie takich zadan jak w SECURE 2014 CTF z cert.pl ?
}
2015-01-07 17:18:55 = Westen
{
Gratulacje!.
Przy okazji chciałbym się zapytać jak wygląda rozkład zadań w grupie podczas CTF. Czy wszyscy musicie we wszystkich dziedzinach Sec/Hack? Czy jednak każda osoba specjalizuje się w innej podkategorii?
}
2015-01-07 17:41:35 = Gynvael Coldwind
{
@WhiteLightning
Przez zrobienie rozumiesz stworzenie czy rozwiązanie?

@Westen
Dobre pytanie na jutrzejsze AMA! :)
}
2015-01-07 17:43:44 = Gynvael Coldwind
{
Nooo dobra, nie będę taki ;)
Generalnie sporo osób bez problemu rozwiązuje zadania z dowolnej kategorii na poziomie 100-300, natomiast powyżej się raczej specjalizujemy.
}
2015-01-07 21:01:27 = WhiteLightning
{
Rozwiazanie. Po prostu chce oszacowac przepasc dzielaca mnie od najlepszych:)
}
2015-01-07 22:08:24 = Westen
{
@Gynvael
Dzieki za odp. Na AMA niestety nie mogę być (sesja : /).
}
2015-01-08 12:43:56 = prg4mer
{
Koszt podróży na CTF offline pokrywacie z budżetu własnego czy jest płacony przez sponsorów?
}
2015-01-08 18:12:47 = Gynvael Coldwind
{
@WhiteLightning
Uh, musiałbym poprosić ich o zadanka i spróbować. Kilka wyglądało tam na takich na 5 minut max (to stegano na minutę - to pierwsza rzecz, którą zawsze sprawdzam; afair blizzard w instalatorze od Diablo 1 miał w taki sposób ukrytą wiadomość "buy warcraft II" ;>). Ale nie znalazłem write-upów do wszystkich, a pewnie przy którymś by więcej czasu zeszło.

@Westen
Co zrobić ;)

@prg4mer
Koszt podróży zazwyczaj pokrywają osoby, które lecą na dany CTF. Jeśli coś wygramy, nagrody idą przede wszystkim na pokrycie ich kosztów.
Czasami organizatorzy niektórych CTFów dają trochę pieniędzy na podróż (ale zazwyczaj mniej niż potrzeba w przypadku biletów lotniczych między kontynentami).
A jeśli chodzi o DEF CON CTF, to w zasadzie cały rok na to zbieraliśmy kasę z wygranych + sporo pomogli sponsorzy i nasi pracodawcy.
}
2015-01-09 22:00:56 = Bartosz Wójcik
{
Gratulacje dla całej ekipy :)
}

Add a comment:

Nick:
URL (optional):
Math captcha: 5 ∗ 5 + 5 =