Nederlandse hackers behalen tweede en derde plek bij Cyberlympics

De rest covered het bedrijf wel ja

Wel jammer dat dit even wel coverage krijgt, maar de vierde plek van een ander Nederlands CTF team afgelopen April in Korea niet

https://ctftime.org/event/133

Cyberlympics is een vrij 'corporate' aangelegenheid, en toetst in de ogen van vele andere CTF teams slechts in beperkte mate daadwerkelijke praktische skills. Als iemand die veel ervaring heeft met CTFs en die toevallig ook alle voorrondes van Cyberlympics heeft gespeeld kan ik er wel een lichtje op schijnen (en meteen aangeven waarom ik de waarde van Cyberlympics beperkt vind).

Cyberlympics kent een entry fee van $60. Alle CTFs van het 'andere' soort zijn praktisch altijd gratis

Zowel deze CTF als de 'andere' worden vaak of geheel online gespeeld, of kennen een online kwalificatie met de finales 'on site'

De meeste 'andere' CTFs bestaan tegenwoordig meestal uit een verzameling 'challenges' van varierende moeilijkheidsgraad, verdeeld over categorieeen als 'reverse engineering' (hier is een binary, zoek uit hoe het werkt), 'crypto' (in dit cryptoalgoritme zit een zwakheid, hier is een verseuteld bericht), 'web' (we hebben een website gebouwd, hack it), exploitation (schrijf een memory corruption exploit voor dit programma).

Een tweede soort is 'attack and defense', waarbij ieder team een VM krijgt, met daarop (zelfgeschreven!) services met vulnerabilities erin. Het is de bedoeling dat je jouw services patched, en tegelijkertijd andere teams aanvalt. Voor zowel offense als defense ontvang je punten.

Voor Cyberlympics waren de voorrondes echter heel anders:

Ronde 1: je kreeg een Ubuntu 10.10 VM waarbij ze een aantal services 'fout' hadden geconfigureerd of doelbewust backdoors hadden aangebracht. Denk aan een extra useraccount 'backdoor' of een FTP-service welke voor anonymous users writable is.

Hier kon je je score echter enkel zien als een 'percentage' van het aantal fixed vulns. Het was dus lastig zien of een wijziging goed was, en de organisatie heeft soms een krom idee van 'veilig' (een netcat binary moest je deleten, die is immers levensgevaarlijk!)

Ronde 2: wat hashes te cracken en een hoop cryptogrammen, voornamelijk klassieke ciphers zoals Playfair, Caesar cipher, Vigenere.

Brakheid hier was dat je EXACT de juiste 'online decoder' moest gebruiken, men gebruikte soms simpelweg de default settings van de tools op die website.

Ronde 3: je kreeg een VPN login voor een netwerk met een hoop 'vulnerable' services. Hier kwam het erop neer dat je bestaande vulnerabilities moest exploiten, veelal met een geautomatiseerde tool als Metasploit.

Het grootste probleem was nog wel dat men een proprietary VPN-terminator gebruikte (ipv. iets als OpenVPN), hierdoor hadden veel teams probelemen met het werkend krijgen van de VPN (er was ook geen testmoment oid). De teams die wel eens eerder hadden meegespeeld hadden hier waarschijnlijk voordeel. Van de machines in het netwerk waren er een aantal hergebruikt van voorgaande jaren, ook hier hadden teams weer voordeel.

Finale (niet gespeeld, van horen zeggen): lijkt op de derde ronde, maar dan onsite

De bottomline is tweeledig:
1. Cyberlympics test geen 'echte' skills, maar enkel het doen van een truukje (cryptogrammen), blind een brakke VM 'securen' (1e ronde) of jaren oude vulnerabilities misbruiken dmv. Metasploit.

De echte 'skills' liggen wmb. bij het ZELF kunnen vinden van ONBEKENDE fouten in programma's en protocollen. Dat wat de 'andere' CTFs testen (daar is NIETS 'bestaand' of 'hergebruikt' maar op een realistische manier custom gebouwd).

2. Cyberlympics, en de organiserende partij (EC-Council) kunnen niet eens een fatsoenlijke CTF bouwen, zelf als de core business om Metasploit gebouwd is.

Had ik al gemeld dat:
- De eerste ronde gecancelled was omdat deze (verspreid over de wereld) op verschillende dagen werd gehouden, en een andere continent al antwoorden had gelekt omdat ze het N dagen eerder hadden gespeeld?
- Het systeem van EC-Council waar je antwoorden moet zitten bol staat van de SQL-injection vulnerabilities? Ze kunnen zelf niet eens een veilige website bouwen
- Alles echt ONTZETTEND brak is.

Rest me alleen nog Deloitte en KPN te feliciteren met hun 2e en 3e plaats. Ik vind de waarde qua 'skills' zeer beperkt, maar gezien van de brakheid van de hele competitie, en de frustratie die dat oplevert wordt het bijna een meta-game om dat 'juist' te kunnen spelen. Waarvoor hulde.

tl;dr Cyberlympics is primair een promovehicle voor KPN/Deloitte/EC-Council, speel een echte CTF (Hack.lu, PHDays, DEF CON CTF, pCTF, etc.)