Attack-Defence CTF , Cyber Range Review

Cyber Defence Exercise 2016 Winner

ผมมีโอกาสได้เข้าร่วมแข่งขัน Cyber Defence Exercise 2016 ของสถาบันวิชาป้องกันประเทศ ซึ่งในรอบสุดท้ายเป็นการแข่งขันแบบ Attack-Defence CTF ระบบ Cyber Range ผมเลยถือโอกาสเอามารีวิวครับ

CTF คืออะไร? CTF มาจากคำว่า Capture the Flag (CTF) ในบทความนี้หมายถึงการแข่งขันทักษะทางคอมพิวเตอร์ทั้ง hacking และ security ในหัวข้อ web, forensic, crypto, binary, programming(debug, review code), … เป็นต้น

โดยทั่วไปการแข่ง CTF มีอยู่ 2 รูปแบบ

  1.  Jeopardy จะเป็นรูปแบบมีโจทย์มาให้เราทำการแก้ปัญหาด้วยทักษะต่างๆตามหมวดหมู่เช่น web, forensic, crypto, binary, programming(debug, review code), … เป็นต้น ซึ่งแต่ละผู้จัดงานก็มีรูปแบบโจทย์ไม่เหมือนกันความยากง่ายก็เช่นกัน โดยเมื่อแก้ปัญหาสำเร็จผู้เข้าแข่งขันก็จะได้ flag ใครได้คะแนนเยอะสุดก็เป็นผู้ชนะ โดยทั่วไปการแข่งรูปแบบนี้ส่วนใหญ่แข่งแบบออนไลน์
  2. Attack/Defence จะเป็นรูปแบบที่แต่ละทีมมี servers ที่ต้องดูแลเพื่อไม่ให้คู่ต่อสู้โจมตีได้สำเร็จ(เสีย flag) และต้องโจมตีผู้อื่นเพื่อเอา flag มาให้ได้

Cyber Range เป็นระบบที่พัฒนาโดย ACIS/Cybertron เป็นระบบที่ใช้สำหรับแข่งขัน CTF และฝึกฝนทักษะในด้าน information security ทั้งในเชิงรุกและป้องกัน  ผมมีโอกาสได้เข้าร่วมแข่ง CTF แบบ attack/defence ที่จัดโดยสถาบันวิชาป้องกันประเทศโดยใช้ระบบ Cyber Range ในการแข่งขัน

รูปแบบการแข่งขัน
ทุกทีมจะต้องป้องกัน server ของตัวเองไม่ให้ถูกแฮคและพยายามแฮค server ทีมอื่นเพื่อเอา flag แต่ละทีมจะมี servers ที่ต้องดูแล 3 เครื่อง
และแต่ละเครื่องมี flag อยู่ 1 flag เริ่มต้นแต่ละทีมมีคะแนนอยู่ 100 คะแนนถ้าเสีย flag จะเสีย -33 คะแนน ถ้ายึด flag คู่ต่อสู้ได้บวก 10 คะแนน

รูปแบบโจทย์ในการแข่งขัน
โจทย์เป็นช่องโหว่ที่เกิดขึ้นจริงสามารถพบได้ในระบบทั่วไป มีทั้ง web application, server services, misconfiguration, buffer overflow,
code review, … ระดับความยากของโจทย์มีหลากหลายตั้งแต่ brute force password แล้วได้ flag จนถึงช่องโหว่ buffer overflow ที่ต้อง bypass DEP/ASLR บน Wndows  Server 2008 ถึงจะได้ flag

กลยุทธ์ในการแข่งของทีมผม

  1. ความเร็ว เนื่องจากช่วงต้นเกมส์แต่ละทีมกำลังหาวิธีป้องกันระบบของตัวเองอยู่ ระบบเลยยังมีความปลอดภัยต่ำ เป็นโอกาสที่เราจะยึด flag คู่ต่อสู้ได้ง่าย
  2. ตัดกำลังคู่แข่งคนสำคัญหรือทีมตัวเต็งคือถ้าเรายึด flag เขาได้ เขา -33 คะแนนโอกาสที่เขาจะกลับมาได้ ต้องยึดได้ 3-4 flag ซึ่งเป็นไปได้ยาก เท่ากับว่าแทบจะหลุดอันดับ 1 ใน 3 ไปเลยถ้าเสีย 1 flag
  3. เน้นป้องกันมากกว่าโจมตี

สรุป ระบบ Cyber Range ถือว่าโอเคเลยในการใช้เป็น labs ฝึกฝนทางด้าน information security เป็นช่องโหว่ที่เกิดขึ้นจริงทั่วไปมีขั้นตอนในการแฮคที่สมจริง เช่น ต้องแฮคเข้าไปแล้วทำการอัพสิทธ์เป็น root ถึงจะได้ flag และได้ฝึกทักษะการป้องกันช่องโหว่จริง ส่วน CTF แบบ Jeopardy โจทย์จะเน้นไปที่การโจมตีในเคสเฉพาะ, ทักษะการแก้ปัญหา, ความสดใหม่ของเรื่องที่เอามาออกโจทย์, ความหลากหลายของโจทย์ มากกว่า

 

Cyber Defence Exercise 2016 Winner
Cyber Defence Exercise 2016 Winner
, , ,
Previous Post
ลง Anti-Virus + FW + Update ล่าสุดแล้วปลอดภัย? ดูนี่ก่อน
Next Post
[ภาคต่อ] แฮคจาก android app จนสามารถควบคุม server หรือได้ root ของ app นั้นๆ

Related Posts

No results found.

2 Comments. Leave new

  • อยากทราบรายละเอียดเกี่ยวกับ ข้อ 3 เน้นป้องกันมากกว่าโจมตี ว่าป้องกันอย่างไรละเอียดมากก็ดีครับ จะได้เป็นความรู้เพิ่มเติม

    Reply
    • mayaseven
      May 17, 2016 08:40

      เน้นป้องกันคือใช้คนและเวลากับการป้องกันมากกว่าโจมตีน่ะครับ ส่วนวิธีการป้องกันในแต่ละเครื่องนั้นแตกต่างกันแล้วแต่โจทย์ครับ บางโจทย์ต้องแก้ไข code ให้ไม่มีช่องโหว่เช่น SQLi, Command Injection, … บางข้อต้องแก้ไข config ให้มีความปลอดภัย บางข้ออาจจะต้องใช้เทคนิคพิเศษ 😉 แต่ทั้งนี้ทั้งนั้น server ของเราต้องสามารถให้บริการ services, applications ได้ตามปกติหลังการแก้ไขนะครับ

      Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Fill out this field
Fill out this field
Please enter a valid email address.
You need to agree with the terms to proceed