How [not] to suck at Hacking Games

Partage d'expérience sur les CTFs. Tout en s'amusant.

Avertissement

Vous allez tomber dans un univers mythique rempli d’incohérences et d’abus divers.

…à vos risques et périls

Avertissement

Présentation surchargée d’anglicismes!

Notes

1st: parce que je sais pas comment traduire ces termes. 2nd parce que j’ai pas envie de parler de capturer des drapeaux et de faire des jeux de bidouilleurs.

Avertissement

Stressez pas a prendre des notes de tools, y’a pas de contenu pertinent dans cette présentation.

:~$ whoami

ESET Malware Researcher
Enseigne l’infosec à l'École de technologie supérieure depuis 5 ans
Membre fondateur de Amish Security
Membre fondateur des CISSP Groupies

Notes

Amish sous toute ses déclinaisons
quelques victoires

donc.. un CTF c’est quoi?

CTF ⇒ Capture The Flags

Plutôt comme ça

Notes

mais avec plus de diversité culturelle.. ouin.. p-e pas.

Dans les faits ce sont…

hacking games
hacking puzzles
computer science puzzle
nerd puzzles

Notes

Combien ici a main levé en on déjà fait?.

Myth: CTF are about information security

comment ça marche?

des gens créatifs et généreux font des scénarios et défis
les participants arrivent (ou se loggent)
on cherche des flags
on soumet les flags à un système de pointage

Les "fameux" flags

parfois sous la forme FLAG:abcdefgh…
sinon {FLAG:…}
ou encore The flag is: abcdefgh…
ou juste: 112f3a99b283a4e1788dedd8e0e5d35375c33747
ou même: ceciestunfantastiqueflag
mais après ont les voit partout!

Notes

Pas mettre the flag is

Pourquoi participer?

apprendre!
sortir de sa zone de confort, constamment!
se trouver une job le fun
ou trouver du talent passionné
les contacts

"Plus de la moitié des chercheurs dans notre équipe ont été rencontrés dans des compétitions de type "CTF"."

"Le contexte de compétition nous permet rapidement de voir les compétences techniques et sociales d’un candidat."

"Plusieurs de nos chercheurs ont des problèmes de comportement et de consommation d’alcool …"

"… mais c’est tout de même grâce à eux que nous pouvons nous vanter d’avoir la meilleure équipe de recherche en sécurité au Québec."
pmb - Prés. ESET Canada

Notes

si vous voulez lui parler c’est lui

variantes

Cyberwar (managed, unmanaged)
Red vs Blue
Jeopardy board
Javascript-RPG
Batshit insane (iCTF)
…

perks

on-site || off-site || hybrid
besoin d’affiliation académique
limite de membres

Sujets explorés (suite)

Cryptographie
- 1st gen: craptographie, enigma
- 2nd gen: hashs, puzzles, small-RSA, password cracking, etc.
- current-gen: crypto-oracle, big int maths

Notes

Tout ça est biaisé selon mes participations.

Sujets explorés (suite)

reverse-engineering
forensic
réseautique
stégano

Sujets explorés (suite)

recon
system hardening
algo
lock-pick
specialized platforms (Android, iOS, haiku, BSDs, VMS, …)

et attention!

C’est de plus en plus dur.

Notes

Le niveau augmente d’années en années parce que les participants, la relève et l’insconscient collectifs sont de plus en plus fort. (avant: crypto = monosubstition, maintenant crypto = crypt-oracle)

Tout le monde a une histoire

La mienne a commencé a la Boule de cristal du CRIM

Notes

Un CTF peu tradionnel, y’a pas de mot..
On arrive avec des boites patchés
faut owner des boites patchés en 76h (remember "games")
desfois ils droppent des boites ultra vulnerables (vieux NT4)
on se les chicanes via nos metasploits autopwn

Cipher CTF 4

Hey les enfants vous êtes a un vrai CTF

Notes

fini le windows
fini les tools standards qui marchent

Ensuite, un bel âge

HackUS
Defcon quals 18
CSAW
Hackfest
iCTF
… (iterate)
hack.lu
plaidctf
mozilla ctf
northsec

CSAW

Ma fille s’y met

Notre participation dégénéra

Tellement que…

le "Bilodeau" peak — hackfest 2011

Pour perdre tout CTF…

Never read write-ups!

Notes

definition Never try to reproduce them.

Never train.

Parce que le talent c’est inné

Never bookmark good tools

or never share them with your team

Communication

Ne jamais parler aux autres équipes pour discuter des épreuves
Ne jamais participer sur IRC

Ne jamais imiter ses héros

Ne jamais sortir des sentiers battus

Jamais ça non plus…

Notes

mais ça c’est un vrai conseil

Never code or learn to code

Participer seulement si vous êtes certain de gagner!

On n’apprends pas en perdant.

perdre c’est mieux!

Notes

Trouvez la votre

trouver vous un spot

N’importe lequel!… Litéralement

Notes

On est pas difficile. On fait des dons. Tant qu’on peut boire!

Présence physique > présence en ligne > pas présent

Ne pas se décourager

Notes

10 heures.

Causes désespérés

Avoir un département des causes désespérés.

Notes

Laurent dit ça

Soyez proactifs pour batir une équipe

Notes

Amish Security + Japan Overfl0w = Amish Overfl0w. NSec.

Perdre aux compés difficiles

Pour être meilleurs aux compés plus faciles

Développez des "réflexes"
Voyez venir les tendances

Notes

forensic, cryptoracle donne la chance de se preparer aux autres compés avec les write-ups, etc.

Realité

Ce sont des exercices. Ce n’est pas réel. Il faut penser au-delà de ce qu’on voit [en entreprise] ou lit.

Admins

Les admins veulent que vous réussissiez.

Notes

mis des centaines d’heures veulent voir les gens reussir si vous avez qqchose, n’hesitez pas a leur montrer votre progres et leur parler

Aller plus loin

et former la relève de nos équipes

Montréhack

3e lundi du mois à la maison Notman
http://montrehack.ca

Notes

Dans le cas de Montrehack c’est vraiment n’importe quoi mais ça marche!

HackFest Hackerspace

4e jeudi du mois au Cégep de Sainte-Foy
http://www.hackfest.ca/hackfest-community/hackerspace

Notes

raconter l’histoire

Barman: Vous êtes a quel rang dans votre compétition?
Moi: Premiers
Barman: lolwat!? Vous êtes les seuls qui buvez!!

Y’en a pas de tool secret…

Notes

Si y’a un secret c’est le gin

"Failure is simply the opportunity to begin again, this time more intelligently. There is no disgrace in honest failure; there is disgrace in fearing to fail."
Henry Ford

Notes

quote de Henry Ford

Notes

Dgoulet vous veut.

Questions?

Merci!

@obilodeau

Notes

Combien de bouteilles de tanqueray dans ma présentation? ;)

How [not] to suck at Hacking Games

Partage d'expérience sur les CTFs. Tout en s'amusant.

Avertissement

Avertissement

Avertissement

:~$ whoami

Anonymous

Troll

Monocle

Nyan cat

Grognons

Cuir cuir cuir moustache

donc.. un CTF c’est quoi?

Non pas comme ça…

Plutôt comme ça

Dans les faits ce sont…

Myth: CTF are about information security

comment ça marche?

Les "fameux" flags

Pourquoi participer?

variantes

perks

Exemples de sujets explorés

Sujets explorés (suite)

Sujets explorés (suite)

Sujets explorés (suite)

et attention!

Tout le monde a une histoire

Cipher CTF 4

Ensuite, un bel âge

CSAW

iCTF

Notre participation dégénéra

Tellement que…

Pour perdre tout CTF…

Rester seul

skiddie tools only

Never read write-ups!

Never train.

Never bookmark good tools

Communication

Ne jamais imiter ses héros

Ne jamais sortir des sentiers battus

Jamais ça non plus…

Never code or learn to code

Jamais se fier aux outils des autres

Participer seulement si vous êtes certain de gagner!

Plus sérieusement

perdre c’est mieux!

Avoir une muse

trouver vous un spot

Ne pas se décourager

Expliquer son challenge a ses pairs

Causes désespérés

Soyez proactifs pour batir une équipe

Batissez-vous un toolchain

Perdre aux compés difficiles

Realité

Admins

Aller plus loin

Montréhack

HackFest Hackerspace

Enfin.. s’amuser!!!

Conclusion

Y’en a pas de tool secret…

Questions?