Dragon Sector AMA

Jesteśmy polskim zespołem biorącym udział w rozgrywkach CTF (security/hacking). Zapraszamy do zadawania pytań! Odpowiadamy z kont: @dragonsector, @gynvael i @lympho (ew. dodatkowe wymienimy na stronie w linku). Start 8.1.2015 12:00. Koniec 9.1.2015 10:00

- #
- #
- #
- #
- #
- 241
Komentarze (241)
najlepsze
2. Skąd się znacie?
3. Ile macie lat, jakie wykształcenie, itp?
4. Próbowaliście hackować Wykop?
5. Wykorzystywaliście kiedyś swoje skille niekoniecznie w dobrym celu?
1. Czy rozwalenie strony przed dos/ddos może jakoś pomóc przy wycieku zawartości (bazy itp) ?
2. Istnieją jakieś bardziej h4x0rskie sposoby do sprawdzenia zakresu IP (całej strefy adresów powiązanych) należącego do tej samej 'organizacji' niż numerowanie + i - w ostatnim oktecie ? ;D
3. Czy można wysłać pakiet sieciowy bez enkapsulacji ?
4. Jaki język jest najbardziej uniwersalny i posiada największe możliwości jeśli chodzi o pisane nardzędzi do "testowania" aplikacji
1 - Trudno mi sobie taki wyobrazić, ale nie zajmuję się webem.
2 - whois na netblocku (zdobywasz zakres), zmap/nmap, próbujesz wykminić co siedzi pod wspólnymi routerami (traceroute, mtr -e dla MPLS), takie tam.
3 - Na Ethernet? No, jeżeli wyślesz niepoprawną ramkę to najpewniej ci coś zdropuje po drodze (NIC/Switch). Jak wyślesz poprawny Ethernet, a niepoprawny IPv4/v6, to ci pierwszy router po drodze dropnie.
4
Najdziwniejsze zadanie, z jakim przyszło wam się zmierzyć?
Wasz najtrudniejszy/najgroźniejszy/najbardziej wymagający rywal?
Czym zajmujecie się na codzień?
- Ghost in the Shellcode 2014 - cały CTF był grą MMORPG napisaną w Unity, specjalnie na konkurs. Część zadań polegała na modyfikowaniu klienta gry w celu zdobycia przewagi nad resztą przeciwników. Były tam skarby w stylu modyfikowanie przedmiotu wina, żeby zostać praktycznie niezwyciężalnym na pewien
2) Ile* zgarniacie za 0-day'a?
3) Co Was sklonilo do wyjscia z nory? Slawa? Pieniadze? Czynienie dobra dla spoleczenstwa?
* - srednio
1) Jako team nie szukamy razem błędów w oprogramowaniu OS czy komercyjnym (są chwilowe alianse, ale bardziej związane z faktem że kilku z nas pracuje w jednej firmie), być może kiedyś to zmienimy
2) Osobiście, największe (prywatnie) bounty jakie dostałem to 4x za RCE w IDA-Pro, zaraz potem miła nagroda za kilka razy RCE-like w Firefoksie (także w ich bug bounty)
3) Pasja, "jak mniemam" :)
// jagger
Część z nas pracuje w firmach "internetowych" które są ciągłym obiektem ataku, a nasze zadanie to albo do tego nie dopuścić, albo to powstrzymać (albo już tylko posprzątać:P).
// jagger
1. Co sądzicie o "CTFie" jakim jest/była Cicada 3301( ͡º ͜ʖ͡º). Czy ktoś z Was próbował rozwiązać zagadkę?
2. Pytanie trochę mniej związane z CTFami. Jak oceniacie bezpieczeństwo "polskiego internetu". Pytam Was z perspektywy osób, które oprócz udziału w konkursach robią od czasu do czasu pentesty dla firm i instytucji.
3. Pytanie całkiem niezobowiązujące. Czy panowie z agencji na "2 lub 3 literki" ( ͡
Ja polecam x64_dbg (x64dbg.com). To dość nowy debugger, zrobiony przez ludzi, którzy się na tym znają. Obsługuje i 64 i 32 bitowe aplikacje, jest robiony na podobieństwo ollego, ale zawiera sporo ulepszeń, m.in. możliwość skryptowania. No i jest open-source ;)
No i dodatkowo IDA x64 do analizy statycznej.
// Redford
2. Jak udaje sie Wam godzic prace,ctfy i inna dzialalnosc z zyciem prywatnym? Niektorzy z Was maja zony, jak one do tego podchodza?
ad 2: No, jest ciężko. Mamy wyrozumiałe drugie połówki, ograniczone życie towarzyskie (duh), a najczęściej po prostu nie startujemy w pełnym składzie - podczas typowego, niskoprofilowego konkursu są 3-4 osoby które siedzą non-stop, a reszta orbituje dookoła i się dołącza jak znajdzie czas i coś ciekawgo do roboty.
//q3k
// jagger
2. Czy bez znajomości języków programowania da się pracować w it security?
3. W jakim stopniu ma związek to wszystko z matematyką?
4. Czy do zadań crypto/stegano piszecie i wykorzystujecie napisany program-dekoder czy raczej w głowie można rozwiązać zadania?
5. Często widzę
2. Na co dzień przesiadujecie w hakerspejsach ? Czy raczej na ircu w zaciszu pokoju? Często spotykacie się w RL?
3. Zaczynaliście dawno ? #hackpl, ziny p0wera & lcamtufa, Phreaking? Czy raczej nowa fala ? A jeśli nowa to czy łyknęliście trochę historii jak to drzewiej "emacs'em przez sendmaila" było całkiem poważne ?
4. "Hackerzy" z '95
1 - Ja od środka - C++. Potem częściowo w stronę C i kodu maszynowego, częściowo w stronę Pythona.
2 - Z Teamu ja przesiaduję w HSWAW często, Redford czasami przychodzi pracować ze mną nad http://hackaday.io/project/723-reverse-engineering-toshiba-r100-bios
3 - Ja młoda dupa jestem, ale staram się trochę zaczerpnąć historii - czytuję czasami phracka, textfiles...
4 - https://gallery.hackerspace.pl/pictures/IMG_7896.JPG
5 - Doprecyzuj..?
//q3k
By zacząć się w to bawić potrzeba mieć super sprzęt czy taki "domowy" wystarczy?
Wiadomo, że szybsze cpu, ram i łacze to wygoda - ale wpływu na działanie zadań to w większości przypadków nie ma. A jeśli nawet, to zawsze można wynająć Amazon EC2 albo Google
W takim razie na jakim poziomie stoją organizatorzy takich imprez?
Czy są to jacyś uber guru, czy sami też moglibyście podobne problemy układać?
// jagger
2. Jakie języki programowania znasz? Czy w zespole istnieje podział na osoby znające różne języki czy wszyscy piszecie w konkretnych ?
2). C/C++ - mniej dokładnie: Java, Perl, Pyhon, Go, SQL, PHP i inne egzotyki... - podział jest - niekoniecznie taki, że połowa teamu zna C a połowa Javę - ale są spece darzący różne języki (i bardziej ogólnie: różne technologie) różna atencją.
// jagger
;-)
// jagger
2. Czy zdarzyło się kiedykolwiek, żeby jakiś polski zespół wyprzedził Was w jakimś CTFie? Czy jeśli chodzi o "lokalny" ranking, to zawsze byliście na pierwszym miejscu w każdych zawodach.
3. Czy istnieje jakaś strona/ranking/agregator, na którym można pooglądać sobie jakie były CTFy i jakie miejsca zajmowaliście/jaką mieliście konkurencję?
4. Pisaliście, że CTFy trwają
1) ciezko powiedziec, znam tylko jeden aktywanie grajacy (Snatch the Root / https://ctftime.org/team/7016 ) i on wypada calkiem niezle
2) nie mam pojecia - patrz ctftime
3) ctftime.org
4) zazwyczaj pare dni, do tygodnia zalezy od ctf'a
sa tez tez robione backupy zadan na shell-storm.org oraz https://github.com/ctfs/write-ups,
zdarza sie tez ze ogranizacja ctf udostepnia wszytko (albo prawie) co ma np, https://github.com/legitbs/
// mak
2. Jak wyglądają zarobki na tle innych sektorów IT(np. programistów javy/c++)?
Na resztę pytań np o naukę już odpowiadaliście w innych komentarzach. Swoje pytania motywuje przeświadczeniem jakie panuje u mnie na roku/uczelni/kierunku że najlepsi informatycy to szerokiej gamy programiści i oni zarabiają największe pieniądze:), sam piszę jedynie w Pythonie okazjonalnie w c#/javie, o ile Python sprawia mi
1). Nie jest IMO - security będzie rosło i rosło jeszcze przez lat wiele. jak sądzę wiele firm jeszcze poważnie odczuje skutki braku dobrych praktyk i zechcą ten stan zmienić. W Polsce - jak zwykle - z opóźnieniem.
2). Chyba podobnie (uśredniając wszystko i wszystkich)
// jagger
Na IRCu (którego używamy do komunikacji i kolaboracji przez internet podczas zawodów online) piszemy po polsku. Wewnętrzne materiały są zazwyczaj mieszanką angielskiego (gdy np. opisujemy rozwiązania zadań, które czasami trzeba przesłac jako „dowód” dla orgów) i polskiego. //q3k
PS. OpenBSD represent!