CTF как швейцарский нож специалиста

Всем привет, в этой статье мы рассмотрим CTF как некоторый инструмент, в частности такой универсальный швейцарский нож, составляющие которого обозначим следующим образом:

  1. CTF как рождение будущего тимлида

  2. CTF как шпаргалка HR-у

  3. CTF как отладчик руководителя

bfe382d8e027166c8552adbdf2e84fa8.png

Эта статья является печатной версией и дополнением к докладу, озвученном в рамках конференции OFFZONE 2023, с которым можно ознакомиться по следующей ссылке

На сегодняшний день среди ИБ специалистов и тех, кто стремится ими стать, можно выделить в основном два лагеря мнений: CTF формирует необходимый набор навыков для будущей успешной карьеры или же это просто игра, которая далека от реальности, а значит и тратить время на это необходимо соответственным этому мнению образом.

Весь доклад был построен с точки зрения участников провинциальных городов, что даёт возможность немного иначе посмотреть на сам формат соревнований, углубить размышления и получить дополнительные аргументы в пользу того или иного лагеря.

Неважно, кто сейчас читает эту статью, по ходу повествования мы пройдём путь по нитке времени, вернувшись на первый курс провинциального университета, затем посмотрим на ситуацию со стороны HR и закончим путешествие уже с позиции руководителя, использующего CTF как средство работы с коллегами.

Итак, попрошу ненадолго вернуться в ранние студенческие годы, те самые, когда только начинаешь осваивать мир и строишь планы на дальнейшую успешную карьеру.

af5bec4a7671de2a2b2d65f8b45f8cfa.png

В нашем с Вами мире сейчас происходит следующее:

-У нас с Вами средний по рейтингу ИБ ВУЗ в небольшом провинциальном городке со всеми вытекающими в сравнении с топовыми вузами последствиями
-CTF комьюнити  в городе на данный момент состоит только из нас с Вами, а ездить в мегаполисы вживую пообщаться, мягко говоря неудобно да и дорого
-Наше руководство видит нас не больше, чем деятельность профкома университета
-Мы точно знаем, что CTF нам строго необходим

Как из этого всего получить пользу и не перегореть раньше, чем лампочка в студенческой общаге?

9e6432644951c55f624edbe78cf4f1a7.png

Нам выпала роль построить свою команду и довести её хотя бы до топ-10 на отборочных, чтобы иметь возможность играть среди лучших составов страны.

Дальше всё как в советах по построению собственного бизнеса c разницей лишь в том, что рынок ИБ представлен не компаниями, а командами, а товаром является количество решённых заданий:

1) Ищем единомышленников в нашем провинциальном ВУЗе, для старта нам хватит 3–4 ребят, которые поверят в нашу с Вами идею, что мы выйдем в топ-10 когда-либо

Мы изучили базу, поняли, что представляют из себя соревнования и готовы стремиться к звёздам в поисках заветных флагов.

2) Как тимлид я должен обеспечить получение первых результатов как можно скорее, иначе моя команда просто уйдёт часами доделывать лабораторные работы и перечитывать по пятому кругу лекции

Эту проблема решалась еженедельными тренировками. Вполне очевидно, что нельзя прочитать книжку про CTF или купить курс как выигрывать, каждый раз необходимо мыслить нестандартно и снова и снова перед нами что-то новое, чего не было раньше.

На тренировках как раз и преследовалась главная цель: развивать навык нестандартного мышления. У всех он шёл по разному: кто-то приобретал его почти сразу, кто-то после школы отучался от привычной модели, побеждая привычку с контрольных работ, где вижу пример и вспоминаю, как показывал его решать учитель математики.

Вдобавок ко всему наша команда становилась дружнее. Если каждую неделю по несколько часов  отважно биться со сложными тасками, общей болью, а после и возможной радостью от решения можно объединиться, понять подходы и характер друг друга, стать по истине лучшими друзьями.

На этом этапе действительно стоит радоваться успехам по схеме от простого к сложному.

В качестве индикатора роста мы брали ctftime, ежегодно отслеживая уровень наших выступлений на том или ином ивенте.

В качестве важных игр отбирались даты традиционных российских соревнований, настрой на которые был будто чемпионат мира, а на особые и как на олимпийские игры. Мы брали оппонентов примерно нашего уровня и играли до последней секунды жизни борды соревнований. Со временем оппоненты становились сильнее, ориентиры выше.

Как только состав, с которым всё начиналось , добился первых стабильных результатов, очень важно оставить после себя преемственность, да и универу доказать, что мы становимся больше, чем студенческая вокальная группа.

В лекционном зале участники основы читали лекции о том, что такое CTF, как мы будем развиваться, всё было легко и красиво, мы просто знакомили студентов, что наше движение есть и что это круто. Сами же в процессе этого учились собирали мысли в нужном порядке и аккумулировали опыт. Учить кого-то порой становится эффективнее, чем обучаться. Круто, если это ещё и даст результаты.

Месяц лекций собирал стабильно 50 человек, после месяца распространения информации по университету о темах докладов, числах проведения встреч и прочего, о нас стали хотя бы знать. Руководство ВУЗа не мешало, главное, что ничего не ломалось после наших занятий.

Потом шла практика, приглашение на тренировки и мысли на новую основу. Стабильно такая практика показывала: от первых лекций до регулярных игр доходило только процентов 10, и как получая поэтапно золото, мы стали находить будущую основу, от 50 точно оставалось 3–4, а значит жить ещё можно.

Однако все, кто не доходил, организовали по сути неформальное движение, которое стало понимать инфобез не как дисциплины ВУЗа, а в качестве перспективного важного и интересного занятия в жизни, требующего постоянного самообучения и интереса. Оно так и получается: им объясняли не книжками и составленными планами, а языком и примером ребят, старше их всего на пару лет.

1b4354ae0f8f5179325941154572c2d8.png

Многие подходы действительно имеют что-то общее с бизнесом:

  • на базе первого проекта можно получить невосполнимый опыт создания своей команды, пусть она даже и находится в такой эмулированной среде, где можно понять принципы руководства и научиться преодолевать организационные трудности

  • научиться важному скиллу как нетворкинг

На первых этапах не стоит бояться задавать вопросы опытным участникам. В своё время, хоть и было неловко, но были просьбы банально скинуть сервисы с финальной части тех или иных соревнований, чтобы получить представление о площадке да и вообще хотя бы чуть чуть понять, что такое AD в реальности. Нетворкинг был важнейшей составляющей в развитии команды, именно так можно найти точки соприкосновения с ИБ комьюнити страны и самое важное учиться говорить на одном языке с лидерами, что позволяет существенно быстрее двигаться в сторону сильных ребят и качественнее усваивать их советы

Именно CTF сообщество позволяет находить единомышленников. В какой области потом все мы не пересекались бы, становится значительно проще двигаться вперёд, имея такую важную объединяющую идею, да и интереснее работать, так как рядом коллеги, с которыми Вы говорите на одном языке, даже если росли в качестве специалистов когда-то в 1000 км друг от друга.

Время идёт, и вот мы пришли на собеседование в компанию. Какие шпаргалки есть у HR?

ca94672ef6eee574f23144181f9ec84d.png

Особым тёплым воспоминанием становятся игры, пройденные вместе. Поддержание команды — это действительно трудный и затратный процесс, который можно раскрывать часами.

Пункт в резюме «играл в СTF» действительно может подсказать многое:

  • история команды может сказать нам о том, насколько качественно готовятся новые её участники, учитывается ли опыт предыдущих составов. Если это был сильный коллектив, который сменился и остался наверху, значит ребята впитали лучшее от предшественников, и что более вероятно, доработали их ошибки

  • активность команды может показать целеустремлённость её участников и своё отношение к информационной безопасности

  • мнение о команде в CTF сообществе. Если состав имеет хорошие и добрые отзывы со стороны других участников, значит это может быть признаком того, что люди способны вливаться в рабочие коллективы, всё больше и больше состоящие из бывших участников CTF

Это лишь несколько из большого количества индикаторов в дополнение к победам команд. Все они не могут работать в системе, как краски разных оттенков, мешаем их, рисуем задуманную картину, какие акварели брать в набор решает сам художник. Хорошее знакомство с CTF-сообществом может дать определённый прогноз о будущей роли того или иного кандидата, чьё резюме имеет пункт «играл в CTF».

Остаётся последний элемент нашего с вами швейцарского ножа.

2f15ba62c0b9b020ae68c19eadaec50b.png

Когда в коллектив приходит новенький, можно наблюдать достаточно типичную картину: почитай вот это и садись нарешивать. Формула универсальная.

Мы задались вопросом: как помочь ребятам, которые слишком долго вкатываются в тему?

Он много читал, научился открывать Burp, и кавычки повставлял, и алерты выводил, начинаются соревнования, он напряжённо сел, в конце таска от безысходности ищет райтапы прошлых лет: ну вдруг каким то счастьем один в один таск решается как выдал поисковик.

Решили так абстрактно сказать залезть в исходники их светлых умов и посмотреть логику.

Собрали разных людей, преимущественно без опыта игры вообще. На интересовали ошибки в них, связанные с отсутствием внимания к мелочам и шаблонности мышления. Эти параметры можно менять под интересующие конкретные навыки.

Дали им задачку на OSINT. Перед участниками фрагмент из видеозаписи времён 80-ых годов, в описании таска сказано: в поле зрения этого человека попало здание с многофигурными скульптурными композициями. Как это здание выглядит сейчас?

91d4ef19ae4faf372d58cddf1e06f3b0.png

Участники полностью знали город, где искать, знали, что здание находится в поле зрения человека на скриншоте, то есть площадь поиска тоже заранее была ограничена.

И как отлаживали то?

Таск имел две точки останова: первое — найди в четырёх соснах на этой площади здание с многофигурными скульптурными композициями, второе — найди как оно выглядит сейчас.

На первом этапе проверяем у ребят внимательность: найдут они эти композиции или нет вообще, на втором как они способны выйти из привычных шаблонов, когда начнут, распознав здание, атаковать поисковые системы.

Композиции были на крыше здания, а на площади вокруг было лишь 4 здания. Люди долго крутились на 3D-картах, не замечая скульптуры на крыше.

Мы видели, как участники пытались притянуть за уши любые фрагменты зданий, которые замечали.

Вроде бы простейшие манипуляции под носом помогли отметить нам для себя наличие базовых навыков и качеств, которые лежат в основе большинства крупных соревнований. В будущем после долгих мук, заставлявших участников порой болезненно выйти за грани своих шаблонов, было гораздо легче развивать у ребят рвение и навык поиска флагов в заданиях других разделов.
С внимательностью разобрались. Поговорим о шаблонах.

Да, открою Яндекс-Карты и в бой по комментариям. Когда люди битый час усердно перебирали фотографии откуда только можно в поисках комментов, мы говорили: где искать ты тоже знаешь, смотри всё что дано по таску (был также дан шаблон для запроса в интернете, не было сказано лишь, где искать). Красиво просто легло, скрин с ютуба да и флаг был там же.
Таск звучал: как выглядело бы место? И здесь все привыкли в фото, забыв , что видео также является источником информации.
Вот и шаблон — что ну точно флаг спрячут в комментах к фото, а было в комментах к видео.

Случай , конечно, некоторым казался «от здравой логики до уцуцуги одинг шаг», но эта игра на гране фола с подсказками нужна была нам, чтобы заставить людей включить воображение и свободу идей в их сознании, ища эту самую подсказку в каждой букве и по сути изобретая варианты решения.

О том, что пройден первый этап таска, мы , конечно же, сообщали участникам. Было важно не замучить людей, а понять, как строятся их мысли, именно поэтому работал постоянный фидбек на момент решения задания.

Мы прошли с вами лишь по нескольким составляющим такого инструмента как CTF, обратили внимание, как это можно использовать для становления личности, поиска роли нового кандидата, и как средства изучения слабых сторон своих сотрудников на уровне не только скиллов, но и базового — образа мышления.

Тема этого доклада весьма философская и наверняка вызвала у каждого, кто познакомился с ним, своё мнение по этому вопросу.

Спасибо за прочтение и отдельная благодарность комьюнити за интересные студенческие годы!!!

© Habrahabr.ru