Pred kratkim sem sodeloval na SANS Ranges.IO CTF tekmovanju in dosegel 264. mesto, pri čemer sem rešil približno 80% nalog. Ker gre za SANS okolje, kjer so izzivi praviloma praktično usmerjeni in precej blizu realnim varnostnim scenarijem, sem z rezultatom zadovoljen.
CTF tekmovanja niso samo igra. So zelo dober preizkus tega, kako razmišljaš pod pritiskom, kako hitro znaš analizirati problem in kako dobro znaš povezati znanje iz različnih področij: Linux sistemov, omrežij, forenzike, spletne varnosti, kriptografije, skriptiranja in splošnega “troubleshooting” pristopa.
Zakaj sem se lotil CTF-ja
Kot sistemski administrator se pri delu pogosto srečujem z varnostnimi vprašanji. Ne nujno vedno v obliki dramatičnih incidentov, ampak v čisto vsakdanjih stvareh: napačne konfiguracije, pravice, dnevniki, omrežni dostopi, ranljive storitve, slabo nastavljeni sistemi.
CTF je zato dobra vaja, ker te prisili, da stvari pogledaš z druge strani. Ne samo “kako nekaj postaviti”, ampak tudi “kako bi lahko to kdo zlorabil”. Ta miselni preskok je po mojem mnenju zelo pomemben za vsakogar, ki dela z infrastrukturo.
Kaj pomeni 80% rešenih nalog
80% rešenih nalog pomeni, da večina izzivov ni ostala samo pri poskusu. Pri takšnih tekmovanjih je to dober znak, ker naloge pogosto zahtevajo kombinacijo več znanj. Redko gre samo za to, da poznaš eno orodje ali en ukaz.
Pogosto je treba najprej razumeti, kaj se sploh dogaja. Potem izbrati pravi pristop. Nato preveriti hipotezo. In šele potem pride do dejanske rešitve.
To je zelo podobno realnemu delu v IT-ju. Dokumentacija ni vedno popolna, sistem ni vedno lepo urejen, napaka ni vedno očitna. Včasih imaš samo nekaj logov, čuden simptom in občutek, da nekaj ne štima.
Kaj sem se naučil
Največja vrednost takšnega CTF-ja ni samo končna uvrstitev, ampak proces reševanja.
Nekaj stvari, ki so se mi ponovno potrdile:
- Osnove so še vedno najpomembnejše.
Dobro razumevanje Linuxa, omrežij, pravic, procesov in datotek je še vedno zlata vredno. Nova orodja so koristna, ampak brez osnov hitro tavaš v temi. - Metodologija premaga paniko.
Ko se zatakne, pomaga miren pristop: poglej vhodne podatke, preveri predpostavke, razbij problem na manjše dele in ne skači takoj na najbolj eksotično rešitev. - Avtomatizacija pomaga, ampak ne nadomesti razumevanja.
Skripte, one-linerji in orodja so super, vendar moraš vedeti, kaj ti rezultat sploh pove. Slepo poganjanje orodij redko pripelje daleč. - Vsaka nerešena naloga je dobra lekcija.
Tiste naloge, ki jih ne rešiš, so pogosto najbolj koristne. Tam hitro vidiš, kje imaš luknjo v znanju ali premalo prakse.
Uvrstitev: 264. mesto
- mesto se morda na prvi pogled sliši kot številka brez konteksta, ampak pri takšnih CTF-jih je pomembno gledati širšo sliko. Sodelujejo ljudje z zelo različnim ozadjem: študenti, varnostni raziskovalci, sistemci, pentesterji, razvijalci in ljudje, ki CTF-je rešujejo redno.
Zame je rezultat predvsem potrditev, da imam dobro osnovo in da lahko praktične varnostne izzive rešujem učinkovito. Hkrati pa je tudi jasen opomnik, da je prostora za napredek še veliko.
In to je pravzaprav najboljši del. Dober rezultat, ampak ne tak, da bi človek mislil, da je že vse osvojil.
Zaključek
SANS Ranges.IO CTF je bil dobra izkušnja in koristen preizkus znanja. Rešenih 80% nalog in 264. mesto mi pomenita predvsem to, da sem na pravi poti.
CTF-ji so odličen način za učenje, ker združujejo teorijo, prakso, pritisk in radovednost. Poleg tega hitro pokažejo, da v kibernetski varnosti ni bližnjic. Treba je razumeti osnove, znati razmišljati sistematično in imeti dovolj potrpljenja, da se prebiješ skozi problem.
Zame je to še ena motivacija, da nadaljujem z učenjem, vadbo in poglabljanjem znanja na področju informacijske varnosti.
Stara šola še vedno drži: najprej osnove, potem orodja.