•  

    pokaż komentarz

    1. Ile średnio trwa taki CTF? Ile czasu na rozwiązanie zadania / zadań?
    2. Czy na scenie są jacyś guru którzy nie biorą udziału w takich zawodach?
    3. Uważacie się za mocnych w porównaniu z takimi ludźmi? (O ile istnieją :D)

    •  

      pokaż komentarz

      @paszczur:
      1). Zazwyczaj od 8 do ~50h (ale są też zawody typu microcorruption.com czy cykada gdzie trwało to chyba tygodnie, jednak to poza ctftime). Jedno zadanie zajmiuje od 1 min do 50h :) (są różne poziomy trudności)
      2). Są (chociaż bez podawania nicków) - strzelam, że ok 1/3 tych najlepszych gra (np. geohot gra a inni nie).
      3). W porównaniu z geohotem nie czuję się mocny nic a nic :)
      // jagger

  •  

    pokaż komentarz

    1. Czy ksywe dragon* czerpales z DragonFly ?
    2. Jak wygladaja wasze KexAlgorithms / Ciphers / MACs w sshd_config ?
    3. Jakie ciekawe sprzety udalo wam sie posiasc ( P0wNeD ) ?
    4. Czy macie jakies osiagniecia w docker.io, np. uzyskac dostep do natywnej maszyny z poziomu kontenera ?
    5. Czy wszystkie znalezione Luki/BUG'i zglaszacie, czy raczej zostawiacie sobie furtke na jakies zawody ?
    6. Czy generujecie czasami klucze (ssh/openssl/itp.) na wirtualnej maszynie ?
    7. Ulubiony laptop?

    pokaż spoiler lenovo ?

    •  

      pokaż komentarz

      @NoComments:
      1) @Gynvael wie :)
      2) defaultowe z debiana wheezy backports (na moich osobistych serwerach)
      3) osobiście - (podczas CTF) Linux działający "chyba" na Sega Dreamcast, ale może było coś ciekawszego po drodze i mi umyka teraz
      4) docker to jeszcze świeża technologia - sama z siebie ma trochę problemów i historię bagów (czasami ocierających się o facepalm). Nie zabezpiecza w żaden sposób przez pwn-waniem kernela, co więcej poszerza trochę attack surface (niektóre syscalle jak np. sys_mount stają się dostępne) - innymi słowy większośc bagów w kodzie kerenela (tych ring0 code execution) pozwoli opuścić kontener. Być może z czasem i wykorzystaniem prawdziwej CPU-wirtualizacji (poprzez execution-drivers) stanie się to bardziej dojrzałe.
      5) Korzystanie z bocznych furtek (m.in. kernel-bug priv-escalation) itp. jest zwyczajowo zabronione w CTF-ach, ale system jest honorowy, więc teoretycznie się da (jak nikt nie zauważy). Inna sprawa, że mało kto zaryzykowałby utratę 0day-a na CTF. Bagi zgłaszam.
      6) Rozumiem, że to pytanie-pułapka? :) Robiąc cokolwiek na maszynie, która fizycznie nie należy do "nas", w 100% jesteśmy zależni od właściciela fizycznego sprzętu, i albo mu ufamy do odpowiedniego stopnia (np. poprzez odpowiednią umowę i uwarunkowania prawne), albo nie. To samo z zastosowaną przez niego metodą wirtualizacji.
      7) Stare magnezowe IBM Thinkpady

      // jagger

  •  

    pokaż komentarz

    @dragonsector
    1. Co sądzicie o takich akcjach jak niedawny "atak" LizardSquad na sieci PSN, i XBL?
    2. Czy istnieje jasny (bądź ciemny ;) ) podział na white-hat hacker i black-hat hacker
    3. Był ktoś z Was na Defconie?
    4. Czy przed każdym zagrożeniem da się uchronić (vide pyt. 1 gdzie był spory DDoS)?
    5. Kiedyś usłyszałem na wykładach z kryptografii, że tak naprawdę każdy nawet najbardziej zaawansowany system/algorytm szyfrujący (lub każde zabezpieczenie) da się pokonać, potrzeba tylko na to czasu i środków (wiedzy, ludzi, lub po prostu kasy) - to było lat temu... 10 - czy podzielacie taką opinię?

    Dzięki za odpowiedzi i powodzenia w kolejnych CTF!

    •  

      pokaż komentarz

      @piotr-berent:
      1 - Pseudo-haktywizm za pomocą DDoSowania - Było, zakop, nic ciekawego, etc.
      2 - Puff, to pozostawię komuś bardziej filozoficznemu od odpowiedzi.
      3 - Tak, nasz team startował w CTFie na DEFCON22. @Gynvael , weź rzuć jakieś zdjęcia.
      4 - Nie - dziura zawsze się znajdzie, chociazby w niższych warstach (vide ostatnie fuckupy z OpenSSL, GNUTLS, Bash...). A DDoS to nie atak ;).
      5 - Nie jestem cryptonerdem, poczekam aż ktoś inny się wypowie :).

      //q3k

  •  

    pokaż komentarz

    No witam, to ja ma trochę inne pytanie. Aktualnie uczę się w liceum (mat - fiz - inf), IT Security mnie, mogę powiedzieć, że mocno interesuje, co radzicie robić w przyszłości, żeby dojść jak najdalej? Jakie studia, czy może odpuścić studia i zabrać się za praktykę?

    •  

      pokaż komentarz

      @IreuN: osobiście - studia mogą być ciekawe, ale raczej jako uzupełnienie własnej pasji. Na moich studiach (weiti pw) najbardziej interesowały mnie przedmioty, które nie były związane z moją pasją, bo tę wiedzę w większości poznałem sam. Za to mogłem się pouczyć o telekomunikacji (jak działa telefon, sieć SDH albo jak spawać światłowód), elektronice (wzmacniacze, pomiary) czy ciekawych zakątkach matematyki. Ale rozumiem, że inni mogą patrzeć na to pod innym kątem // jagger

  •  

    pokaż komentarz

    Czy macie klientów w Polsce?