Przewiń do zawartości

CTF, a praktyka w pracy

Co ma wspólnego branie udziału w turniejach z zdobywaniem doświadczenia w branży? Na pozór, jedno robimy „dla zabawy”, drugie robimy dla pieniędzy. Jednak to właśnie rozwiązywanie zadań CTF uczy nas najwięcej. Szczególnie stawiając pierwsze kroku w branży cyberbezpieczeństwa.

Pytanie jednak jest takie. Co wspólnego ma ta „zabawa” z faktycznym zawodem w branży bezpieczeństwa IT? Otóż naprawdę sporo! Szczególnie jeżeli będziemy kierować się ściśle w kierunku pentestingu. Jednak na tym się opcję nie kończą! I pomimo, że ktoś aspiruje na stanowiska bezpieczeństwa w firmach, mogą sami zwrócić uwagę jak źle skonfigurowane mogą być pewne opcje.

Czemu jest to dobry start? 

Ponieważ praktycznie uczymy się nowych rzeczy! Ba, całkowicie nowych rzeczy, których wcześniej nie znaliśmy. Poznajemy:

  • nowe narzędzia
  • uczymy się pisać przydatne skrypty (na przykład poznajemy język Python)
  • poznania różnych rodzajów dziur w systemie
  • czy też samego sposobu myślenia

To wszystko sprawia, że możemy rozwinąć się w naprawdę zatrważającym tempie! Na początku nawet najprostsze zadanie będzie dla nas wyzwaniem. Jednak z czasem, kiedy już poznamy narzędzia i metodykę działania, będzie przychodziło nam to o wiele sprawniej. Zresztą, tak jak w każdym zawodzie.

Największa różnica

Największą różnicą między pracą, a „turniejową zabawą” jest to, że w CTF-ach mamy pewność o podatności danego systemu. Jeżeli rozwiązujemy jakieś zadanie czy też szukamy dziury w jakimś systemie mamy pewność, iż autor zadania postarał się o jakieś luki w zabezpieczeniach. Czy ukrył je lepiej lub gorzej zależy już tylko od poziomu trudności samego wyzwania.

W pracy najczęściej nikt nie wie o podatnościach, a to właśnie my mamy je znaleźć. Będą zarówno te banalne jak i te, które będą wymagały tony przepracowanych godzin, gdzie potem może okazać się, że nie tędy droga. Co nie zmienia faktu, że musimy wiedzieć, gdzie tego szukać, a do tego idealnie nadają się zadania CTF.

To nie tylko turnieje!

Oczywiście, nie trzeba brać w turniejach, można rozwijać się samemu wyszukując konkretne zadania CTF w Internecie (a jest ich pełno!). Choć jak dobrze wiemy dużo łatwiej pracuje się w zespole! Jeżeli gdzieś utkniemy, zawsze możemy zapytać o coś drugiej osoby. 

Po prostu, rozwiniemy się szybciej, a przy tym można się po prostu dobrze bawić 😉 

Nie przegap kolejnych artykułów!

Jeżeli chcesz być na bieżąco z kolejnymi publikacjami? Zarejestruj się, a wyślę Ci stosowne powiadomienie 😉

Przykład z życia

Aktualnie pracuję w ramach praktyk mamy przetestować SIEM, czyli system do zarządzania incydentami w danej sieci. Monitoruje on ruch sieciowy oraz logi i na jego podstawie generuje odpowiednie alerty. Nasz zespół studentów

Nasz zespół składający się z członków Koła Naukowego White-Hats ma za zadanie generowanie takich incydentów. Nie jest to nic innego jak próba ataku na system, oczywiście w kontrolowanych zwirtualizowanych warunkach. Infrastruktura jest tak skonstruowana, aby w miarę łatwy sposób można było skutecznie przeprowadzić ataki. Następnie konfrontujemy nasze “hakerskie” działania z tym co pokazał system monitorowania sieci.

Tutaj dopiero widać jak dużo doświadczenia można było przenieść z zadań CTF! Jeżeli wcześniej już się tym “bawiłeś”, to przetestowanie takiego systemu będzie dla takiej osoby jak bułka z masłem! A przecież to praca, którą robimy jako praktyki studenckie!

Widzę również jak wiele mi jeszcze brakuje do bycia kimś naprawdę profesjonalnym. Kolega, który naprawdę wsiąkł w temat “Capture The Flag”, idzie dosłownie jak burza przez ten system. Z przyjemnością obserwuję jego pracę i dużo mogę się od niego nauczyć. To niezwykle motywuje aby rozwiązywać w domu jak najwięcej takich podatnych maszyn wirtualnych. Mateusz, jeżeli to czytasz to wiedz, że robisz świetną robotę!

Confidence

Confidence, a na nim jeden z większych turniejów CTF
Konferencja z branży cyberbezpieczeństwa – Kraków 3,4 Czerwiec

Jako Koło Naukowe White-Hats jedziemy w najbliższy poniedziałek na konferencje Confidence. Jest to międzynarodowa konferencja organizowana w Krakowie. Na pewno będzie to okazja na posłuchanie kilku ciekawych prelekcji z branży cyberbezpieczeństwa.

Do tego organizowany jest turniej CTF! Dzielimy się na zespoły i będziemy próbować swoich sił w tych zmaganiach. Oczywiście, nie liczymy na wysokie miejsca ze względu na rangę konferencji, jednak chcemy po prostu zebrać doświadczenie jako nowicjusze!

Oczywiście, w przyszłym tygodniu pojawi się relacja z całej imprezy! 

Link do wydarzenia

Co Ty sądzisz o zadaniach CTF? Przydatne? Czy może jest jakiś inny sposób na zdobycie zawodu w tej branży? 

Daj znać w komentarzu!

Jak uczyć się pentestingu
Konkretnie, jak uczyć się pentestingu!
White-Hats PWr
Koło naukowe White-Hats
Podziel się artykułem !
  •  
  •  
  •  
  •  

Skomentuj pierwszy!

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *