Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Решение выдуманных проблем реальными способами

Решение выдуманных проблем реальными способами

DevOps Moscow New Year Party, 19-12-2018
Александр Усков (МРОО АРСИБ)

Каждое мероприятие, особенно если оно связано с информационной безопасностью (CTF), должно с каждым разом становиться насыщеннее и сложнее, соответственно для создания специфичной инфраструктуры нужно использовать современные методики и инструменты, облегчающие жизнь. Что же должно помочь облегчить этот путь? Docker-изация всего и вся? Нужно ли применять IaC? Как происходит процесс “сбора граблей”? Какие проблемы есть и что с ними делать?

DevOps Moscow

December 20, 2018
Tweet

More Decks by DevOps Moscow

Other Decks in Education

Transcript

  1. Что, как и куда? • CTF – Capture The Flag.

    • Это командная игра, целью которой является получение скрытой информации (флагов). Флаг представляет собой последовательность символов(например хэш или некий текст) CTF бывают 2-х видов • Task-based – когда игрокам предоставляется набор заданий разных категорий и сложности. Каждое задание оценивается определенным количеством очков. • Classic – защита от атак на свой сервер, а также атака наибольшего возможного количества серверов других команд. • Разработка с умышленным занесением уязвимостей. 2
  2. 3

  3. 4

  4. Процесс создание проблем Раньше: Все на виртуальных машинах. (Виртуалки для

    заданий, для системы) LXC контейнеры. Chroot. ARM Сейчас: Docker для заданий Docker для жюри-системы Перенос в облака IaC Размещение примерно 25 заданий 5
  5. 6

  6. 7

  7. Выдуманная проблема 1: Bitcoin-ферма на orange pi • 10 играющих

    команд. • 20 orange pi. По 2 на команду. На одном – магазин, на другом – биткоин. • Логика – майнить монетки, покупать в магазине “криптоноски” • Уязвимости – атака 51%, увеличение мощности майнера, атака на магазины соперников. • Задача – защита своего магазина, эксплуатация уязвимостей на соперниках. 8
  8. Выдуманная проблема 2: Docker для каждого • PWN - задание.

    Эксплуатация уязвимостей и проход дальше. • Виртуальная машина для каждой команды(20). • Как сделать так, чтобы не сломалось. • Брутфорс. 10
  9. Выдуманная проблема 2: Docker для каждого Решение: Socat + Docker

    = На каждое подключение свой контейнер. Прокидывание доступа к ресурсам докера. Изменение detach команды для предотвращения “выхода” из контейнера. --detach-keys 11