За сколько можно взломать мобильную сеть?
Надежно ли электронное правительство
в эпоху WikiLeaks и Anonymous?

Взлом АСУ ТП – голливудские байки
или реалии сегодняшнего дня?
Интернет-банкинг – возможна ли победа
в битве с мошенниками?

Киберпреступность, кибершпионаж, кибервойна. Где грань?

четверг, 18 июля 2013 г.

PHDays III CTF: взгляд изнутри (часть 2)

Мы продолжаем свой рассказ о подготовке соревнований CTF, которые состоялись в рамках форума Positive Hack Days. Сегодня мы поговорим о создании интерфейса, удобстве его использования (юзабилити), а также разработке визуализации хода состязаний.

Первая часть

Пользовательский интерфейс


Очень важной частью разработки CTF являлось создание пользовательского интерфейса для команд (UI). С его помощью игроки должны осуществлять все действия, связанные с игровыми механиками. По личному опыту мы знали, что общее впечатление о CTF во многом зависит от качества UI, поэтому мы очень серьезно отнеслись к проработке дизайна и юзабилити. 

UI представлял собой веб-приложение, которое общалось с жюрейской системой через MongoDB и AMQP-RPC. В качестве основы мы выбрали связку Pyramid + Nginx. Система нотификаций была реализована на Flask. Требования к UI были следующими:

понедельник, 15 июля 2013 г.

PHDays III CTF: взгляд изнутри (часть 1)

23 и 24 мая 2013 года в рамках ежегодного международного форума по практической информационной безопасности Positive Hack Days III прошло одно из крупнейших соревнований по принципу Capture the Flag — PHDays III CTF. В этом году на организацию соревнования было потрачено очень много сил, и результат не оставил равнодушным ни одного из участников. По прошествии этого события мы решили рассказать о том, как проходила подготовка соревнования и представить взгляд из-за кулис.

 CTF — это соревнование по обеспечению ИБ в формате, схожем с командной игрой. Каждой команде предоставляется своя сетевая инфраструктура с предустановленными уязвимыми сервисами. Команды должны изучать сервисы, искать в них уязвимости и, используя их, атаковать сервисы своих соперников.

В то же время им необходимо поддерживать собственные сервисы в работоспособном состоянии и исправлять в них ошибки, чтобы защититься от атак соперников. При совершении успешной атаки на вражеский сервис команда получает некоторые секретные данные, называемые «флагом». Флаг является доказательством успешной атаки. Также, помимо сервисов, командам дается набор заранее подготовленных заданий, которые могут принести дополнительные флаги.