Дмитрий Муковкин. Как мы делали SibirCTF. Проверяющая система

Transcript

1. Как мы делали SibirCTF Проверяющая система

2. Кто ты вообще?

3. О чем хотелось рассказать • Менеджмент соревнований • Проверяющая система

4. О чем будет рассказано 1. История проверяющих систем на SibirCTF

   2. Технологии 3. Проблемы

5. О чем будет рассказано Все это сугубо личное мнение

6. SibirCTF уже 4 года `14 6 команд 1 день 9

   команд 1 день 12 команд 3 дня 16 команд 4 дня `15 `16 `17

7. 2014 год: проба сил • Проверяющая система написана на C++

   • 3 сервиса • Тестировалась на 2 командах • Писалась в “кратчайшие” сроки

8. 2014 год: проба сил Упала через несколько минут после старта

9. 2014 год: проба сил • Все проблемы были исправлены за

   полчаса • Отработала стабильно

10. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

11. 2014 год: вынесенные уроки Необходимо тестировать все заранее, предусмотрев все

    возможные случаи

12. 2015 год: забыли про патч-корды • Решили взять чужую платформу,

    а не писать свою • Количество сервисов - 4

13. 2015 год: забыли про патч-корды • Подняли после обеда •

    Почти написали свою собственную за час

14. 2015 год: ошибки Нужно выбирать “правильных” людей на ключевые позиции.

    Необходимо постоянно следить за ходом работы этого человека. Если вы берете чужую разработку, то должны глубоко изучить её.

15. 2016 год: пишем сами • Написали собственную платформу на Python

    • Тестировали в течении 2-3 месяцев • Написали 4 сервиса

16. 2016 год: пишем сами • Ни разу не упала •

    Внештатных ситуаций не произошло

17. 2016 год: выводы Проверяющая система это еще не все. Не

    стоит забывать про сервисы.

18. 2017 год: все лучше и лучше Делаем упор на сервисы.

    Сервисы становятся “взламываемыми”

19. 2017 год: итоги Нагрузка вырастает в несколько раз Обнаруживаются слабые

    места в платформе Стабильные платформа, сервисы - это еще не все. Необходимо думать об визуализации.

20. 2017 год: итоги Нужно делать ШОУ!

21. Что вообще за attack-defense

22. Стек Python Почему? • Распространенность • Огромное количество библиотек •

    ...

23. Архитектура • Модуль генерации флагов и постановки задач • Модуль

    работы с чекерами • Модуль приемки флагов • Скорборд

24. База данных

25. Скорборд Flask Не забыли включить мультипоточность

26. Модуль генерации флагов и постановки задач • Генерирует флаги •

    Создает задачи и отправляет в очередь • Начисляет очки защиты

27. Модуль работы с чекерами

28. RabbitMQ Платформа, реализующая систему обмена сообщениями между компонентами программной системы

    на основе стандарта AMQP

29. Модуль приемки флагов • Определяет команду • Проверяет сданный флаг

    • Если все условия выполняются, то начисляется очко атаки

30. Итоги • Это не сложно, если ты обладаешь достаточными компетенциями

    • Но более ответственно (очень много точек отказа) • Нужно много-много тестировать • Облажаться - это тоже опыт

31. Итоги https://github.com/KevaTeam/ctf-attack-defense/