Så er der kun få timer til den årlige hackerkonkurrence PROSA Capture the Flag. Det er tæt på at jeg vil kalde det for de uofficielle danmarksmesterskaber i hacking. Konkurrencen er startet i 2010 anført af Robert Chris Larsen som næsten alene står for hele udviklingen!
Selve konkurrencen er en capture the flag hvor man får tildelt en virtuel maskine, Linux og skal forsvare denne og angrib de andres. Konceptet har været holdt ens igennem årene og man kan sidde hjemme og kobler op til miljøet over VPN forbindelser, i år bruges igen OpenVPN.
CTF setup
Dette års setup er to bladeservere . Disse to servere har disse specs:
- 2 x Intel(R) Xeon(R) CPU E5-2697 v2 @ 2.70GHz – 320 GB
- 320Gb NFS storage til virtuelle servere, som deles nemt mellem de to servere
Det er fuldstændigt overkill, selvom der er ca. 15 hold som hver skal have servere og et par scoreservere og en OpenVPN server. Disse servere er villigt sponsoreret af Solido Hosting som har stillet dem til rådighed for konkurrencen, ca. en uges tid.
Konkurrencen
Til konkurrencen får man tildelt en virtuel server 10.0.0.56 eksempelvis med kun SSH adgang. Denne server kører Linux og der er et antal services, altså småprogrammer som Robert har lavet – og lavet dårligt! Ihvertfald er der helt sikkert fejl som kan udnyttes, men man skal selv finde dem – det er altså ikke almindelige fejl i eksisterende programmer.
Den server får man adgang til kl 16:00 fredag og den første time er der firewall som sikrer at andre ikke kan hacke ens services. Der er altså en times panik hvor man prøver at forstå hvilke services der er, samt få dem patchet inden kl 17. Det giver en del stress at vide at man IKKE kan nå at patche allesammen, OG der kommer angreb om 45min, 30min, om 10minutter kommer der angreb!!!11111
Det er også værd at bemærke at man får minuspoint hvis ens services IKKE virker – derfor er der brug for både offensive, men bestemt også defensive resourcer til almindeligt systemadministration under et CTF. De bedste hold har rask væk 10 deltagere med mange specialer.
Den officielle side for dette event er:
http://ctf2014.the-playground.dk/
men der kan være en fordel i at se på den gamle fra sidste, hvor man også kan hente image til virtualisering.
http://ctf2013.the-playground.dk/
Holdene
Der er som altid nogle hold der stiller op, og der er gengangere og nye hold – de fleste med meget fantasifulde navne. Bedøm selv navnene, og stort shoutout til dem!
* UNF
* FLUG
* Team Squirrel Injection
* The Flaming Marshmellows
* TonnisTanks aau.dk
* Stegtflaesk
* Civilpoliti
* ImNotFreddyMercury
* Generic Evil CTF Team
* Bebbers
* hunter2
* Pwnies primært fra DIKU
* Tykhax
* Datamatiker EAMV
Dette CTF er specielt velegnet til nye deltagere og det er helt garanteret at alle lærer noget og har det sjovt. Selvom man måske første år føler sig som kanonføde, så er det en sejr at være med og et sammenhold blandt de ~100 deltagere som både driller, hjælper og troller hinanden hårdt på IRC og på servere. Når jeg siger det er velegnet til begynder er det at Robert med hård hånd sikrer at alle har det sjovt. Eksempelvis er det OK at reboote en server hvis man får root adgang til de andres, men kun nogle få gange – så er det demonstreret og nok.
NB: det er for sent at joine i år, men hvis du har interesse i dette område, så hent evt. den virtuelle server fra sidste år, og write ups – der beskriver hvordan man løser nogle af opgaverne. Du er også velkommen til at følge med på twitter, IRC og hjemmesiden – hvis du kan løse en challenge kan du måske sælge den for bitcoin til et af holdene 
PS dette indlæg er også Tag’et med Lisp, idet en af de tidligere challenges var skrevet i Lisp 
Edit: some words
Leave a Reply