Quels sont les concours / défis de "piratage"?

Je ne connais pas une bonne référence à indiquer pour une lecture plus approfondie. Je vais donc essayer d'énumérer quelques pertes de temps que j'aime personnellement.

Dans ce qui suit, je me permettrai de faire la différence entre les différents styles de compétitions de piratage. Je ne sais pas s'il s'agit d'une approche canonique, mais cela aidera probablement à expliquer les différences entre celles que je connais:

Jeux de guerre

Ces jeux ont lieu sur un serveur donné, où vous commencez avec une connexion ssh et essayez d'exploiter les binaires setuid pour obtenir des autorisations plus élevées. Ces jeux sont généralement disponibles 24h/24 et 7j/7 et vous pouvez les rejoindre quand vous le souhaitez.

• Sur le fil
• Écraser la pile
• Intrusion

Compétitions basées sur des défis

Ces jeux vous présenteront de nombreuses tâches que vous pouvez résoudre séparément. Les défis varient principalement de l'exploitation, CrackMes, crypto, médico-légale, sécurité Web et plus encore. Ces jeux sont généralement limités à quelques jours et l'équipe avec le plus de tâches résolues est annoncée gagnante. Je vais énumérer mes préférées, car je suis assez convaincue que vous en trouverez facilement plus. Certaines des activités énumérées viennent d'avoir lieu et d'autres auront lieu dans les mois suivants.

• Qualifications Defcon
• Qualifications Codegate
• CSAW CTF (généralement en été)
• Hack.lu CTF 2011 (fin septembre de cette année) et Hack.lu CTF 201
• PlaidCTF

Capturer le drapeau

Ceux-ci nécessitent en fait que vous capturiez et protégez "drapeaux". Le plus connu est probablement l'iCTF, qui a subi quelques changements de règles au cours des dernières années. Ce jeu est également limité à un certain laps de temps. Les candidats sont généralement équipés d'une machine virtuelle qu'ils doivent connecter à un VPN. Votre tâche consiste à analyser la machine présentée, à trouver des bogues de sécurité, à les corriger et à exploiter les bogues sur d'autres machines de votre VPN. Les "drapeaux" sont stockés et récupérés par un serveur de jeu central qui vérifie la disponibilité d'une équipe et si les drapeaux précédemment stockés n'ont pas été volés.

• iCTF (généralement en décembre)
• CIPHER CTF (sera renouvelé par de nouveaux organisateurs cette année)
• RuCTF et RuCTFe (un CTF russe et sa version internationale)

Autre

Il y a aussi un tas de machines virtuelles téléchargeables disponibles pour jouer hors ligne, ce qui est une sorte de mélange entre 3) et 2) je suppose.

• Damn Vulnerable Web Application
• Damn Linux vulnérable
• Google Jarlsberg

Modifier:

Étiquette

Je viens de tomber sur un cinquième type de jeu que je n'ai vu nulle part ailleurs. Toutes les équipes s'affrontent pendant plusieurs tours et chaque tour est un match entre deux équipes. Phase 1: Les deux équipes se rootent sur un système Linux et essaient de masquer autant de portes dérobées que possible en 15 minutes. Après ces 15 minutes, les équipes échangent des PC et tentent de découvrir et de supprimer autant de portes dérobées que possible (également avec un accès root). Dans la troisième phase, chaque équipe récupère son serveur (sans accès root) et est censée exploiter autant de portes dérobées pour obtenir à nouveau un accès root. Les portes dérobées exploitables à distance obtiennent des points bonus :)

Il semble que des jeux comme celui-ci aient été réalisés pendant les LinuxTag Conventions Linux en Allemagne ces dernières années.

Le scénario est expliqué plus en détail ici (allemand seulement!)

/Modifier

J'espère que ce post n'est pas devenu trop déroutant en raison de sa longueur;)

Liste non ordonnée des listes de compétitions de piratage:

• http://capture.thefl.ag/practice-ctf/ , Calendrier
• http://www.wechall.net/sites.php
• http://exploit-exercises.com/
• http://www.stumbleupon.com/su/1YNSxi/www.brighthub.com/internet/security-privacy/articles/77093.aspx/

J'ai vraiment apprécié: http://exploit-exercises.com/

Depuis leur site:

1. Nébuleuse - Nébuleuse couvre une variété de défis simples et intermédiaires qui couvrent l'escalade de privilèges Linux, les problèmes courants du langage de script et les conditions de concurrence du système de fichiers.
2. Protostar - Protostar introduit des problèmes de corruption de mémoire de base tels que les dépassements de tampon, les chaînes de format et l'exploitation de tas sous un système Linux "à l'ancienne" qui n'a aucune forme des systèmes modernes d'atténuation des exploits activés.
3. Fusion - Fusion continue la corruption de mémoire, les chaînes de format et l'exploitation de tas mais cette fois en se concentrant sur des scénarios plus avancés et des systèmes de protection modernes.

Vous pouvez rechercher le mot-clé " war games " si vous voulez " puzzles" comme ceux de OverTheWire.org .

Voici une liste d'autres sites de défi:

• http://www.wechall.net/sites.php

Malheureusement, je ne connais pas d'autres compétitions de haut niveau que celles que vous avez déjà mentionnées.

Soit dit en passant, je pense que cette question correspondrait à un statut wiki communautaire.

iCTF: http://ictf.cs.ucsb.edu/
DC3 (en cours en ce moment): http://www.dc3.mil/challenge/
NetWars SANS: http://www.sans.org/netwars/

Il y a aussi beaucoup de compétitions de sécurité de la FCE lors de grandes conférences comme Shmoocon, DEFCON, etc. Je recommanderais d'aller à certains inconvénients pour plus d'informations.

Cela dépend vraiment de l'objectif final que vous souhaitez, soit le FCT, la criminalistique, la réponse en direct, etc.

• Capture.thefl.ag possède d'excellentes ressources,
• Calendrier CTF en direct
• Liste des FFC/Jeux d'entraînement en ligne et des comptes rendus des gagnants des FFC précédents.

Ça ne peut pas être plus génial que ça.

http://ctftime.org/ est un bon site pour connaître les événements à venir de capture du drapeau, il a également un classement et des comptes rendus qui sont excellents.

Ce n'est pas une prise sans vergogne car je ne suis pas du tout impliqué dans ce podcast mais j'écoute l'ispodcast de la semaine dernière avec Ed Skoudis. Je ne me souviens pas de la date exacte mais pensez que c'était mardi ou mercredi. Ed parle beaucoup de divers défis et de trucs de la FCE.

J'ai créé un wiki détaillant de nombreuses compétitions différentes, avec des descriptions et des liens vers des articles et des ressources pour les débutants. Voyez-le là: http://ctf.forgottensec.com

Il y a aussi le Spider Challenge de Spider.io (piratage Web).

Le but:

Nous avons caché quatorze codes dans challenge.spider.io et aux alentours. Avec chaque code que vous trouvez, nous vous donnerons un indice pour vous aider à trouver le code suivant. Dès que vous vous connectez au défi, le chronomètre commence à tourner. C’est une course contre la montre. C'est une course contre d'autres hackers. Bonne chance!

Vous avez besoin d'un compte Twitter pour participer.

Ed Skoudis a une belle collection de tests de pénétration/défis médico-légaux ici: http://www.counterhack.net/Counter_Hack/Challenges.html

Enigmagroup a quelques défis de piratage intéressants ... Certains inversions [défis binaires elf ainsi que les fenêtres inversées], craquage captcha, défis réalistes, sténographie, cryptographie et d'autres choses habituelles comme xss, javascript, etc. sur.

Hack in the Box (HITB) Capture The Flag http://conference.hitb.org/hitbsecconf2012kul/event/capture-the-flag/

Un concours de piratage annuel pendant HITBSecConf

x41414141.com est un bon ... lorsque vous avez terminé, on vous demande votre CV.

Il s'agit d'un récent concours de piratage et toujours en cours: www.hackimind.com

À propos du concours:

Un fichier (publié le 30 novembre 2012) a été encodé et la clé de décodage sera rendue publique le 17 mars 2013 - date de fin du concours.

Votre défi est de décoder le fichier sans sa clé.

Pour réclamer le prix, soumettez le fichier décrypté sur la plateforme Innovation Exchange.

Au cours de la compétition, ce site sera utilisé pour partager des conseils avec tous les participants.