Non conosco un buon riferimento a cui puntare per ulteriori letture. Così cercherò di elencare alcuni perditempo che personalmente mi piacciono.

Nel seguito mi permetterò di distinguere tra vari stili di competizioni di hacking. Non so se questo è un approccio canonico, ma probabilmente aiuterà a spiegare le differenze tra quelle che conosco:

Wargames

Questi giochi si svolgono su un determinato server, dove si inizia con un login ssh e si tenta di sfruttare setuid-binari per ottenere autorizzazioni più elevate. Questi giochi sono solitamente disponibili 24 ore su 24 e puoi iscriverti quando vuoi.

• Over The Wire
• Smash The Stack
• Intruso

Competizioni basate sulla sfida

Questi giochi ti presenteranno numerosi compiti che puoi risolvere separatamente. Le sfide variano principalmente dallo sfruttamento, CrackMes, crittografia, forensic, sicurezza web e altro ancora. Questi giochi sono in genere limitati a pochi giorni e il team con il maggior numero di compiti risolti viene annunciato vincitore. Elencherò il mio preferito, dal momento che sono abbastanza convinto che ne troverai facilmente altri. Alcuni degli elenchi sono appena stati effettuati e altri si svolgeranno nei mesi successivi.

• Defcon Quals
• Qualified Codegate
• CSAW CTF (di solito durante l'estate)
• Hack.lu CTF 2011 (fine settembre di quest'anno) e Hack.lu CTF 2010
• PlaidCTF

Cattura la bandiera

In realtà richiedono di catturare e proteggere "flag". Il più noto è probabilmente iCTF, che ha subito alcune modifiche alle regole negli ultimi anni. Questo gioco è anche limitato a un certo periodo di tempo. I concorrenti sono in genere dotati di una macchina virtuale che devono connettersi a una VPN. Il tuo compito è analizzare la macchina presentata, trovare bug di sicurezza, correggerli e sfruttare i bug su altre macchine nella tua VPN. Le "bandiere" sono memorizzate e recuperate da un server di gioco centrale che controlla la disponibilità di una squadra e se i flag precedentemente memorizzati non sono stati rubati.

• iCTF (in genere a dicembre)
• CIPHER CTF (sarà rinnovato dai nuovi organizzatori quest'anno)
• RuCTF e RuCTFe (un CTF russo e la sua versione internazionale)

Altre

Ci sono anche un sacco di macchine virtuali scaricabili disponibili per giocare offline, che è una specie di mix tra 3) e 2) suppongo.

• dannata applicazione Web dannosa
• Linux dannatamente vulnerabile
• Google Jarlsberg

Modifica

tag

Ho appena scoperto un quinto tipo di gioco che non ho visto da nessun'altra parte. Tutte le squadre si sfidano durante diversi round e ogni round è una partita tra due squadre. Fase 1: Entrambe le squadre si radicano su un sistema Linux e cercano di nascondere il maggior numero possibile di back-door entro 15 minuti. Dopo questi 15 minuti, i team scambiano i PC e cercano di scoprire e rimuovere il maggior numero di back-door possibile (anche con accesso root). Nella terza fase, ogni squadra riavvia il server (senza accesso alla root) e dovrebbe sfruttare tutte le back-door per ottenere di nuovo l'accesso come root. I back-back sfruttabili da remoto ottengono punti bonus:)

Sembra che giochi come questo siano stati eseguiti durante le Convenzioni Linux LinuxTag in Germania negli ultimi anni.

Lo scenario è spiegato in modo più dettagliato qui (solo tedesco!)

/ Modifica

Spero che questo post non sia diventato troppo confuso a causa della sua lunghezza;)

Elenco non ordinato di elenchi di concorsi di hacker:

• link , Calendar
• link
• link
• link

Mi sono divertito molto: link

Dal loro sito:

1. Nebulosa - Nebulosa copre una serie di sfide semplici e intermedie che riguardano l'escalation dei privilegi di Linux, problemi di linguaggio di scripting comuni e condizioni di razza del file system.
2. Protostar - Protostar introduce problemi di corruzione della memoria di base come overflow del buffer, stringhe di formato e sfruttamento dell'heap in un sistema Linux "vecchio stile" che non ha alcuna forma di moderno sistema di mitigazione degli exploit abilitato.
3. Fusion - Fusion continua il danneggiamento della memoria, le stringhe di formato e lo sfruttamento dell'heap ma questa volta si concentra su scenari più avanzati e sistemi di protezione moderni.

Puoi cercare la parola chiave " war games " se desideri " puzzle " come quelli di OverTheWire.org .

Ecco un elenco di alcuni altri siti di sfida:

• link

Sfortunatamente, non conosco altre competizioni di alto profilo di quelle che hai già menzionato.

A proposito, penso che questa domanda si adatterebbe con uno wiki della comunità .

iCTF: link
DC3 (continua ora): link
NetWars SANS: link

Ci sono anche molte competizioni CTF di sicurezza in occasione di grandi conferenze come Shmoocon, DEFCON, ecc. Consiglierei di andare ad alcuni svantaggi per maggiori informazioni.

Dipende molto dall'obiettivo finale che vuoi, sia CTF, forensics, live response, ecc.

Il link è un buon sito per conoscere l'imminente cattura degli eventi della bandiera, inoltre ha una classifica e recensioni eccezionali.

• Capture.thefl.ag ha risorse eccellenti,
• Live CTF Calendar
• Elenco di CTF / giochi e esercitazioni online da parte dei vincitori dei precedenti CTF.

Non può essere più fantastico di quello.

Questa non è una spina spudorata perché non sono coinvolto in questo podcast, ma ascolto l'isdpodcast della scorsa settimana con Ed Skoudis. Non ricordo la data esatta ma pensate che fosse martedì o mercoledì. Ed parla molto delle varie sfide e cose del CTF.

Ho creato una wiki che descrive molte diverse competizioni, con descrizioni e link a resoconti e alcune risorse per principianti. Guardalo lì: link

Esiste anche Spider Challenge da Spider.io (Web hacking).

L'obiettivo:

We’ve hidden fourteen codes in and around challenge.spider.io. With each code that you find, we’ll give you a clue to help you find the next code. As soon as you sign in to the challenge, the clock starts ticking. It’s a race against time. It’s a race against other hackers. Best of luck!

Hai bisogno dell'account Twitter per partecipare.

Ed Skoudis ha una bella collezione di test di penetrazione / prove forensi qui: link

Hack in the Box (HITB) Cattura la bandiera link

Una competizione annuale di hacking durante HITBSecConf

Enigmagroup ha alcune interessanti sfide di hacking ... Alcune inversioni [sfide binarie elfiche e inversione di finestre], captcha cracking, sfide realistiche, stenografia, crittografia e altre solite cose come xss, javascript e così via.

Questa è una recente competizione di hacking e ancora in corso: www.hackimind.com

Informazioni sulla competizione:

A file (published on Nov 30th 2012) has been encoded and the decoding key will be made public on March 17th 2013 – end date for the competition.

Your challenge is to decode the file without its key.

In order to claim the prize, submit the decrypted file into the Innovation Exchange platform.

During the course of the competition this site will be used to share hints with all participants.

0x41414141.com è buono ... quando finisci ti viene chiesto il tuo curriculum.