Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Решение выдуманных проблем реальными способами

DevOps Moscow
December 20, 2018
Education
1
84

Решение выдуманных проблем реальными способами

DevOps Moscow New Year Party, 19-12-2018
Александр Усков (МРОО АРСИБ)

Каждое мероприятие, особенно если оно связано с информационной безопасностью (CTF), должно с каждым разом становиться насыщеннее и сложнее, соответственно для создания специфичной инфраструктуры нужно использовать современные методики и инструменты, облегчающие жизнь. Что же должно помочь облегчить этот путь? Docker-изация всего и вся? Нужно ли применять IaC? Как происходит процесс “сбора граблей”? Какие проблемы есть и что с ними делать?

DevOps Moscow

December 20, 2018
Tweet

More Decks by DevOps Moscow

See All by DevOps Moscow
DORA State of DevOps как подход к технологической DevOps-трансформации
devopsmoscow
0
73
Командные топологии. Открытый разговор
devopsmoscow
0
71
Зачем айтишнику личный бренд
devopsmoscow
0
140
Публичные выступления: классно, с удовольствием и пользой
devopsmoscow
2
80
Люди и конфликты в DevOps
devopsmoscow
2
150
DevOps в ESforce: все пути ведут в Kubernetes?
devopsmoscow
1
67
Манная Кафка и микросервисы
devopsmoscow
0
450
Data as a service
devopsmoscow
0
190
Что нужно, чтобы DevOps работал в enterprise компаниях
devopsmoscow
0
120

Other Decks in Education

See All in Education
XML and Related Technologies - Lecture 7 - Web Technologies (1019888BNR)
signer
PRO
0
2.5k
Web Architectures - Lecture 2 - Web Technologies (1019888BNR)
signer
PRO
0
2.6k
学習指導要領から職場の学びを考えてみる / Thinking about workplace learning from learning guidelines
aki_moon
1
700
Matz に頼られたので張り切って2時間ほどドイツと日本の互いの Ruby 学習事情についてディスカッションした話
yasulab
1
470
Comezando coas redes
irocho
0
360
東工大 traP Kaggle班 機械学習講習会 2024
abap34
1
310
子どものためのプログラミング道場『CoderDojo』〜法人提携例〜 / Partnership with CoderDojo Japan
coderdojojapan
4
14k
2024年度春学期 統計学 第14回 分布についての仮説を検証する ― 仮説検定(1) (2024. 7. 11)
akiraasano
PRO
0
160
CSS3 and Responsive Web Design - Lecture 5 - Web Technologies (1019888BNR)
signer
PRO
1
2.5k
1030
cbtlibrary
0
300
データハンドリング/data_handling
florets1
2
140
Web Application Frameworks - Lecture 4 - Web Technologies (1019888BNR)
signer
PRO
0
2.6k

Featured

See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Code Review Best Practice
trishagee
64
17k
Git: the NoSQL Database
bkeepers
PRO
427
64k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
Producing Creativity
orderedlist
PRO
341
39k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Thoughts on Productivity
jonyablonski
67
4.3k
It's Worth the Effort
3n
183
27k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
38
6.9k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k

Transcript

  1. Решение выдуманных проблем реальными способами Усков Александр “МРОО АРСИБ” 1

  2. Что, как и куда? • CTF – Capture The Flag.

    • Это командная игра, целью которой является получение скрытой информации (флагов). Флаг представляет собой последовательность символов(например хэш или некий текст) CTF бывают 2-х видов • Task-based – когда игрокам предоставляется набор заданий разных категорий и сложности. Каждое задание оценивается определенным количеством очков. • Classic – защита от атак на свой сервер, а также атака наибольшего возможного количества серверов других команд. • Разработка с умышленным занесением уязвимостей. 2

  3. 3

  4. 4

  5. Процесс создание проблем Раньше: Все на виртуальных машинах. (Виртуалки для

    заданий, для системы) LXC контейнеры. Chroot. ARM Сейчас: Docker для заданий Docker для жюри-системы Перенос в облака IaC Размещение примерно 25 заданий 5

  6. 6

  7. 7

  8. Выдуманная проблема 1: Bitcoin-ферма на orange pi • 10 играющих

    команд. • 20 orange pi. По 2 на команду. На одном – магазин, на другом – биткоин. • Логика – майнить монетки, покупать в магазине “криптоноски” • Уязвимости – атака 51%, увеличение мощности майнера, атака на магазины соперников. • Задача – защита своего магазина, эксплуатация уязвимостей на соперниках. 8

  9. Решение: +Ansible +Docker +BitcoinFork +GameNetwork = CTFcoin Выдуманная проблема 1:

    Bitcoin-ферма на orange pi 9

  10. Выдуманная проблема 2: Docker для каждого • PWN - задание.

    Эксплуатация уязвимостей и проход дальше. • Виртуальная машина для каждой команды(20). • Как сделать так, чтобы не сломалось. • Брутфорс. 10

  11. Выдуманная проблема 2: Docker для каждого Решение: Socat + Docker

    = На каждое подключение свой контейнер. Прокидывание доступа к ресурсам докера. Изменение detach команды для предотвращения “выхода” из контейнера. --detach-keys 11

  12. Cloud 12

  13. Croc Cloud API 13

  14. Светлое будущее • Автоматизация всего • IaC • Адаптация нашего

    custom к качественному продакшену 14

  15. Вместо заключения Ожидание Реальность 15

  16. @uskoff [email protected] С наступающим! 16