星期四, 7月 14, 2016

HoneyMe - HoneyCon 2016 crackMe

     今年是HoneyMe(HoneyCon 2016 crackMe)3屆,首先要感謝國網中心的平台、逸盈台北借予的forinet設備、台灣雲端安全聯盟及麟雲科技的工作人員、HoneyMe團隊的工作人員,包含出題的清雄、忠信,網路環境設計的勝翔、宏吉、正育、逸盈科技的工程師,以及給予眾多想法和贊助的一郎、eric


網路環境

     所有King of the Hill的機器都放在國網中心的CDX(Cyber Defense Exercise)平台當中,為了讓會場中每個人不要登入VPN就可以進到平台中,現場用了fortinet的設備與國網中心的設備建成tunnel,再使用不同的SSID區分僅參與會議的人眾與要參與HoneyMe的會眾。由於有CDX可使用,今年的題目首次設計了有內網的題目,期待未來可以真的模擬出更複雜的網路環境,並撒出大量的機器做為要被擁有的主機。不同於去年使用由中華電信贊助的雲端主機,在國網中心的平台上因為權限更大,可以設計使用的題目更加彈性,也可以完全在隔離的網路中運作。


雲端主機

     無論如何,有雲端主機可以使用實在方便許多,在這種兩三天的會議中要現場建起這些環境是很麻煩的,像在HoneyMe1屆舉時,我們事前2個月就要先借兩台2U的機器安裝Vmware,在上面部署環境測試,會議前幾天把所有設備寄送過去,在會前一天再全部設定好並開機測試,因為運轉起來太吵還要找個地方放它再牽網路線接到現場的gateway上。事後在這些機器上的比賽環境亦不能好好的保存,僅能拷備出來就要清空歸還。今年借用了國網的平台便可以在未來繼續當成題庫使用。


計分方式

     今年的評分方式一改往年使用輪詢占領時間乘上主機數的換網頁大亂鬥,計分板只使用上傳flag的簡單計分方式,或許未來都會這樣子做吧? 而擁有主機的比賽一直有個問題,真實世界的漏洞並不是完美的題目,它可能僅能使用一次,如果進去的人把密碼改了?把漏洞修了,那就少一題了。這個問題一直存在著,為了不讓出題者太過辛苦,而又可以避掉這個缺點的想法也一直還在構思當中。我們的出題者,今年弄了大地遊戲,在現場部署了有漏洞的真實設備。
     原先預計它是很好利用的,而一直以來我們也號稱都是真實環境的曾發生過的漏洞。但有時人不在家裡,常用的工具沒有帶上、手上的設備不夠強大、設計者和玩的人思路沒有對上了,方向一旦走錯了就難解了。因為第一次擺攤,原來大地遊戲是給來攤位的人玩的,沒有考慮到解題需要空間和時間,拿著NB,總不方便在走道上席地而坐。下一屆若仍有這類遊戲,應該是要讓會場的無線就可以連得到,結合到同一個SSID當中,才不會需要切來切去。然後至少會準備些椅子和延長線XD


參賽資格

     再來講講參賽資格,第1屆辦的時候很怕沒有人玩>_<,也因為遊戲的方式也和別人不同,無線網路也有問題,弄了很久才有人知道怎麼得分。第二天便把空餘的一個空間佈了有線網路、插座、桌椅,才讓參者得以舒服的進行。第2屆需要組隊並通過賽前賽才能獲得免費票進場,事實上我還是擔心沒有人參加,但是結果蠻意外的共有4個隊伍最後來到現場,現場保留的名額也有8個人左右索取進入方式,最後有3個現場報名的人排上名次。
     今年取消了賽前賽,一方面是沒時間準備另一方面是覺得多餘,但還是擔心沒人要玩。改以邀請的方式,邀請往年有來的團隊及2個未曾參與的團隊。由於會議性質並不是多數技術人會參加的,邀請團隊的意義在我來說是為了遊戲的可看性、競爭性。若能在邀請信函中提到每一個被邀請的團隊,讓大家互相知道一下對方可能會來參加也許不錯,沒有對手是不好玩的。在配分上也有做改變,去年是團隊競爭,所以把獎金做依得分比例的分配。今年定位在餘樂節目讓人人有獎,所以每人限擇一獎依得分排序優先選擇。


負分題

      一直以來我們在思考著HoneyPot要怎麼放進遊戲中,放進來被打的意義不大,它本來就是設計成誘捕系統是一個很容易被進去的系統。減分題是我一直想要放的,去年想把有觸發IPS告警的做負分。但是和IPS設備的整合、設備可以借多久是個大問題。往往在會前幾個月才能借到設備、題目才設計完成,如何測試也是個問題。雖然還是想要借多家設備來做個大型的擬真競賽環境,但現場設備實在太難以實現了。
     送出HoneyPot flag負分的想法是怎麼來的哩?好像是工作人員吃飯時想到的吧?常常想到了就做了,做了也不知道好不好,第一次做,效果好的就留下來。比賽時大家都很期待有人可以送出這個flag,期待看到負分出現。而果不其然,居然真的有人送出了flag。雖然有趣,而這最後看起來只是我們說明的不夠清楚。這名參賽者後來排序第2名,絕對是超級厲害的呀。只能說很有趣。



競賽時間

      開題和競賽時間牽扯到比賽的公平性,尤其在往年用占領時間做計算的情況下,因為題目都被解完了,沒有再競爭的空間,平白多計了許多時間,造成獎金分配變少也不是我所想見到的。未來若計分和時間有關係,會更注意到題目數量的題型的設計和結束時間呀!!!
     在今年原先預計第一天最後1小時才開啟的King of the Hill就在中午後就打開了,我想未來應該不會明確的說明何時會打開,而會依現場解題的進度來開啟,當題目全都解完或許就結束比賽,其它時間可以交流,而題目繼續開著讓大家練習。


比賽結果

最後在這邊恭喜第一科大的黃同學,以及所有上到排行榜上的參賽者。