Säkerhetspodcasten #130 - Security Fest CTF!
Lyssna
Innehåll
Dagens avsnitt spelades in av Robin von Post under Security Fest 2018 och är en samling intervjuer på ämnet CTF!
Inspelat: 2018-06-01. Längd: 00:14:03.
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,000 --> 00:00:24,940
Hej, Pet från podcasten här. Vi har fullt upp och förberedda inför Securityfest och filmar den och så, men vi hade en sån himla tur att när Securityfest gick av stapeln så var Robin von Host där och Johan bad honom hjälpa till och ta lite intervjuer med lite olika personer som jobbade i CTFN, vår Capture the Flag-tävling.
2 00:00:24,940 --> 00:00:32,780
Så det kommer att komma några intervjuer med Capture the Flag-spelare och några av dem som skapade Capture the Flag-tävlingen.
3 00:00:34,240 --> 00:00:49,220
Okej Johan, tack så mycket. Jag går ut på golvet här och tränger mig fram genom massorna fram till ett av CTF-lagen som sitter längst bak i salen och här kommer jag fram till en man som får presentera sig själv och vad heter det laget du har tävlat för?
4 00:00:49,800 --> 00:00:53,400
Det heter HAT, Hack All The Things. Mitt namn är Kristoffer Claesson.
5 00:00:53,940 --> 00:00:54,920
Och hur länge har du varit här?
6 00:00:54,920 --> 00:00:58,580
Hur länge har du hållit på med CTF-tävlande?
7 00:00:58,880 --> 00:01:02,340
Jag skulle vilja säga aktivt de senaste 3-4 åren ungefär.
8 00:01:03,280 --> 00:01:07,500
Har du någon speciell gren där du känner att du briljerar lite extra?
9 00:01:08,340 --> 00:01:15,320
Det är väl beroende på hur man jämför med dagens resultat så är det ju absolut inte krypto, men annars brukar jag anse mig stark på krypto och webb-challenges.
10 00:01:16,900 --> 00:01:22,700
Och du har alltså kört Securityfests CTF här du under det senaste dygnet.
11 00:01:23,840 --> 00:01:24,900
Kör du hela dygnet?
12 00:01:24,920 --> 00:01:26,920
Kör jag hela dygnet eller fick du sova någonting?
13 00:01:27,480 --> 00:01:31,840
Stolt vildhäggare så klippte jag gräset igår kväll så jag hade tyvärr bara idag att göra det.
14 00:01:32,080 --> 00:01:43,360
Okej, och om man går igenom utmaningarna som har varit här då, vad ska du säga, när kickar adrenalinet in, när går det liksom och kastar upp kepsen i taket?
15 00:01:45,400 --> 00:01:54,880
Sätter ju en del frustration i de senaste, sista timmen skulle jag vilja säga med tanke på att känna tiden vi var inne på, man ser att leaderboarden bara börjar klättra igen.
16 00:01:54,920 --> 00:01:59,540
Äntligen så, sista två, tre timmarna så börjar det bli kämpigt.
17 00:02:00,440 --> 00:02:01,960
Hur många är ni i ert lag totalt?
18 00:02:02,520 --> 00:02:03,560
Idag var vi tre stycken.
19 00:02:03,560 --> 00:02:11,560
Och har ni då olika specialiteter eller hjälps ni åt och snackar med varandra? Hur hjälps man åt i ditt lag?
20 00:02:12,360 --> 00:02:15,360
Ja, bland annat så har han satt jämte med mig då, Patrik.
21 00:02:18,760 --> 00:02:23,960
Han är väl egentligen stark på lite miss-challenges.
22 00:02:23,960 --> 00:02:24,880
Ja, sen har vi en uppe i Stockholm.
23 00:02:24,920 --> 00:02:30,040
En uppe i Stockholm då, som kör remote idag och han kan definitivt det här med exploits och reverse engineering.
24 00:02:30,560 --> 00:02:38,480
Okej, tack så mycket. Vi tackar för den lilla inputen på hur det var på CTF här och knattar över till nästa lag. Tack så mycket.
25 00:02:38,480 --> 00:02:39,520
Tack så mycket.
26 00:02:41,040 --> 00:02:47,960
Ja, vi krabblar över vidare här från det här bordet till nästa mellan alla människor fram till nästa bord.
27 00:02:47,960 --> 00:02:50,520
Och vem har jag här som sitter här?
28 00:02:50,520 --> 00:02:51,800
Erika Lovström heter jag.
29 00:02:52,060 --> 00:02:53,840
Och vilket lag tävlar du för?
30 00:02:53,840 --> 00:02:55,880
Jag tävlar för ett lag som heter Black Cats.
31 00:02:56,140 --> 00:02:59,720
Aha, och hur länge har du hållit på med CTF-tävlande?
32 00:02:59,980 --> 00:03:03,060
Lite av och till, kanske ett halvår, ett år.
33 00:03:03,320 --> 00:03:06,900
Så du skulle anse att du ändå inte har hållit på så superlänge då?
34 00:03:07,160 --> 00:03:12,780
Nej, inte superlänge men jag har väl kört lite på framförallt upplärning och sånt där.
35 00:03:13,300 --> 00:03:13,800
Spännande.
36 00:03:14,060 --> 00:03:18,920
Och du har ju kört nu den senaste tiden här och hur har det gått för dig?
37 00:03:19,180 --> 00:03:23,540
Jag och min kompis Casper som kör i ett team, vi kom faktiskt fyra på dem.
38 00:03:23,840 --> 00:03:24,860
Den lokala teamen här.
39 00:03:25,380 --> 00:03:25,880
Coolt!
40 00:03:26,140 --> 00:03:26,920
Grattis, grattis!
41 00:03:27,160 --> 00:03:33,320
Och om du skulle ge några råd till någon som vill börja köra CTF, vilken ände startar man?
42 00:03:33,560 --> 00:03:41,240
Jag skulle börja på OWASP-sidan och även deras tools som till exempel Joushop eller Security Shepherd
43 00:03:41,500 --> 00:03:44,320
som ändå för att öva på eventuella CTF.
44 00:03:44,840 --> 00:03:48,160
Alltså hur man gör olika XSS-er eller andra hacks och så.
45 00:03:48,680 --> 00:03:53,800
Vilken disciplin skulle du säga är det roligaste i en CTF eller vilken del är det du går igång på?
46 00:03:54,100 --> 00:03:55,880
Jag tycker alltid att XSS är roligt.
47 00:03:56,400 --> 00:04:03,060
Men har börjat nu på sistone och fått ganska roligt på att om man har en firmware som man ska hacka.
48 00:04:04,600 --> 00:04:10,220
Okej och om du skulle säga i laget då, ni var två eller flera, nej två som kör.
49 00:04:10,480 --> 00:04:13,800
Hur sker ert samarbete? Sitter ni och liksom
50 00:04:14,320 --> 00:04:19,180
hjälper varandra eller tipsar varandra om hur man kommer vidare? Vad är liksom samarbetsformen i ett CTF-lag?
51 00:04:19,440 --> 00:04:22,520
Jag är faktiskt i ett lag med en person som är väldigt erfaren.
52 00:04:22,520 --> 00:04:27,380
Så han hackar mer på daglig basis i den verkliga världen.
53 00:04:27,640 --> 00:04:31,740
Så just igår satt vi ett par timmar tillsammans.
54 00:04:32,000 --> 00:04:37,120
Men sedan idag har jag suttit mest själv och fått lite stöd och hjälp när jag har fastnat.
55 00:04:37,360 --> 00:04:41,200
Eller när jag behöver bli riktad på rätt spår.
56 00:04:41,720 --> 00:04:43,760
Och satt du upp hela natten eller fick du sova något?
57 00:04:44,020 --> 00:04:49,140
Jag fick faktiskt sova. Jag gick från kontoret klockan tio så att jag satt inte hela natten.
58 00:04:49,660 --> 00:04:50,680
Och när är det du går?
59 00:04:50,940 --> 00:04:52,480
Vad är liksom när du sitter i ett CTF?
60 00:04:52,780 --> 00:04:57,380
Och du lyckas knäcka någon flagga eller vad är det som får dig och
61 00:04:57,640 --> 00:05:00,460
vad får adrenalinet och glädjen att flöda under en tävling?
62 00:05:00,720 --> 00:05:03,020
Alltså det är ju fortfarande när det funkar.
63 00:05:03,280 --> 00:05:04,300
Yes! Det funkar!
64 00:05:04,560 --> 00:05:05,320
Det blev rätt!
65 00:05:05,580 --> 00:05:08,900
Den känslan är oslagbar och det är väl därför man fortsätter.
66 00:05:09,420 --> 00:05:12,740
Okej och förhoppningsvis kanske du inspirerar någon att börja nu också då?
67 00:05:13,000 --> 00:05:14,540
Jag hoppas det! Det är väldigt kul!
68 00:05:15,040 --> 00:05:18,880
Tack så mycket för att du tog dig tid att gå ifrån CTFen här lite och prata med mig.
69 00:05:19,140 --> 00:05:19,660
Tack så mycket!
70 00:05:19,920 --> 00:05:20,420
Tack!
71 00:05:20,680 --> 00:05:22,480
Ja, då knölar jag mig fram.
72 00:05:22,780 --> 00:05:29,940
Vi går fram vidare här mellan borden fram till ett annat bord för att se vem är det som sitter här och vad heter ert lag?
73 00:05:30,460 --> 00:05:32,760
Det var namnet Kalle och laget
74 00:05:33,280 --> 00:05:35,840
Cyberjägarna tror jag att vi blev.
75 00:05:36,080 --> 00:05:36,860
Cyberjägarna?
76 00:05:37,620 --> 00:05:43,760
Och då undrar jag hur många CTFer har du i bagaget i bakluckan i din ryggsäck?
77 00:05:44,540 --> 00:05:49,400
Det skulle kunna vara kanske tio stycken sådär. Det brukar bli när man är på konferenser under något som ser lockande ut.
78 00:05:49,920 --> 00:05:50,420
Perfekt!
79 00:05:50,680 --> 00:05:52,480
Då har vi någon som har sett några
80 00:05:52,780 --> 00:05:54,560
konferenser under sin tid här och
81 00:05:54,820 --> 00:06:00,960
då undrar man ju förstås vad är det då som lockar och som triggar igång dig när du får se utmaningarna?
82 00:06:01,220 --> 00:06:02,760
Flaggorna som väntar?
83 00:06:04,040 --> 00:06:07,620
Det är primärt när man hittar saker som ser roliga ut att lösa.
84 00:06:07,880 --> 00:06:10,440
Och sådana saker som gärna ligger i hennes egen
85 00:06:10,700 --> 00:06:12,740
kunskapsdomän så att säga.
86 00:06:13,000 --> 00:06:16,580
Och vilken domän är det som du går igång på mest då?
87 00:06:17,100 --> 00:06:18,380
Jag är ju mer av en
88 00:06:18,640 --> 00:06:21,700
app-sack-kille så jag gillar ju webbprylar och
89 00:06:21,960 --> 00:06:22,980
protokollhacking och
90 00:06:23,500 --> 00:06:24,260
kanske lite
91 00:06:24,780 --> 00:06:26,300
trafikanalyser och sådana saker.
92 00:06:27,580 --> 00:06:30,400
Och var skulle du säga att du har
93 00:06:30,920 --> 00:06:36,300
tillskansat dig den här informationen? Hur blev du en CTF-kille?
94 00:06:37,320 --> 00:06:38,860
Det är väl egentligen rent
95 00:06:39,100 --> 00:06:40,380
professionellt.
96 00:06:40,640 --> 00:06:43,460
Vi tar de sakerna som liknar det som
97 00:06:43,980 --> 00:06:44,740
vi jobbar med.
98 00:06:45,000 --> 00:06:51,400
Perfekt! Så du känner att det här är en del av din yrkeskompetens som du liksom slipar på i och med att du får
99 00:06:51,700 --> 00:06:54,000
få vara med och köra lite CTF på konferenser också?
100 00:06:54,520 --> 00:06:55,540
Det skulle man kunna säga, ja.
101 00:06:56,060 --> 00:07:03,980
Hur skulle du säga, vad är det man går igång på? När är det liksom i själva CTF-spelandet som det liksom brinner till och att
102 00:07:04,760 --> 00:07:06,040
du lyfter på hatten?
103 00:07:06,800 --> 00:07:11,660
Det är när man ser saker som man förstår är svåra men man kan se en väg på hur man ska lösa dem.
104 00:07:11,920 --> 00:07:14,740
Sen får man kämpa långt med för att nå fram den vägen.
105 00:07:15,760 --> 00:07:21,660
Perfekt! Och hur skulle du rekommendera den som inte har spelat CTF och köra igång?
106 00:07:21,960 --> 00:07:25,020
Vilken disciplin är det som
107 00:07:25,540 --> 00:07:26,820
du skulle rekommendera att man börjar i?
108 00:07:27,080 --> 00:07:33,220
Det beror ju lite på vad man har för intresse. Gillar man binära analyser i väldigt hög utsträckning så
109 00:07:33,480 --> 00:07:33,980
är ju det
110 00:07:34,240 --> 00:07:37,320
förstås, det finns ju väldigt mycket sådana CTF.
111 00:07:38,340 --> 00:07:44,480
Men annars är det ju om man befinner sig på konferenser som den här eller SECTE så har man ju ofta roliga CTF som man
112 00:07:45,000 --> 00:07:46,280
kan ta en liten bit av
113 00:07:46,540 --> 00:07:47,560
och se hur långt man kommer.
114 00:07:48,060 --> 00:07:50,120
Hur balanserar man själva
115 00:07:50,380 --> 00:07:51,400
CTF-arbetet som
116 00:07:51,700 --> 00:07:54,260
man kan lägga ner hur mycket tid som helst den tar på
117 00:07:54,520 --> 00:07:56,560
med själva konferensdeltagandet
118 00:07:56,820 --> 00:07:58,620
och lyssna på föreläsningar och så vidare.
119 00:07:59,120 --> 00:08:02,460
Det är naturligtvis en stor utmaning så generellt sett så brukar det bli så att
120 00:08:03,220 --> 00:08:07,820
när det är tråkiga talks så går det bra i CTF-en och när det går för bra i CTF-en så slutar man lyssna på talks.
121 00:08:08,080 --> 00:08:13,200
Så det är alltid ett problem. Man får ju fundera på om man tycker att det är värt det då eller om man ska lyssna på talksen och göra CTF-er
122 00:08:13,460 --> 00:08:14,220
vid andra tillfällen.
123 00:08:15,000 --> 00:08:21,140
Perfekt! Ja men då har vi fått lite tips här från en som har några mer CTF-er i bakluckan. Tack så mycket Kalle för
124 00:08:21,700 --> 00:08:22,980
att du slet dig från bordet här.
125 00:08:23,240 --> 00:08:23,740
Tack själv!
126 00:08:24,000 --> 00:08:28,620
Okej då lämnar vi det bordet och krånglar oss vidare genom folkmassan här
127 00:08:28,860 --> 00:08:34,760
fram till CTF-crew-bordet och vem är det som sitter här?
128 00:08:35,020 --> 00:08:36,040
Här sitter Dev0.
129 00:08:36,300 --> 00:08:40,380
Och ni har haft bråda dagar förstås den här
130 00:08:40,640 --> 00:08:45,260
tiden både inför och skapa utmaningarna och nu under själva eventet.
131 00:08:45,500 --> 00:08:47,820
Hur många lag blev det till slut som deltog?
132 00:08:48,320 --> 00:08:51,400
Tusen någonting var det, jag kommer inte ihåg siffran exakt.
133 00:08:51,700 --> 00:08:54,520
Många lag var det, det var ganska högtryck.
134 00:08:54,780 --> 00:08:57,580
Och hur många lag hade vi lokalt här på plats bland borden?
135 00:08:57,840 --> 00:08:59,900
Det vet jag faktiskt inte riktigt exakt.
136 00:09:00,400 --> 00:09:06,040
Ja men eller hur, det kändes som att det satt en bra drös med folk här på bakre plan.
137 00:09:06,300 --> 00:09:10,640
Och då är man ju nyfiken då, vi har pratat nu med några som har kört CTF-en
138 00:09:10,900 --> 00:09:15,760
och de går ju igång på de här lite klurigare uppgifterna såklart och
139 00:09:16,020 --> 00:09:21,660
jag får ju då nyfikenhetsådran i mig, undrar ju, när man sitter i ett sådant här
140 00:09:21,900 --> 00:09:28,360
och ska konstruera de här uppgifterna, kommer det från en klar blick från himmel eller har man någon idé?
141 00:09:28,620 --> 00:09:30,400
Hur går tankegångarna?
142 00:09:30,660 --> 00:09:36,300
Ja, ibland så kommer det kanske baserat på någonting som man själv nyligen har lärt sig
143 00:09:36,540 --> 00:09:38,080
eller som man skulle vilja lära sig
144 00:09:38,340 --> 00:09:40,900
och så försöker man sätta ihop något bra under tiden man lär sig
145 00:09:41,420 --> 00:09:45,760
och så försöker man göra någonting annorlunda som kanske inte har gjorts exakt likadant tidigare.
146 00:09:46,280 --> 00:09:50,120
Så att det blir en liten twist eller något nytt som man själv har lärt sig som man använder.
147 00:09:51,700 --> 00:09:56,820
Hur länge tar det liksom? En typisk uppgift som du har gjort till det här eventet,
148 00:09:57,080 --> 00:09:59,380
vad skulle man säga, hur mycket tid lägger man ner?
149 00:10:00,400 --> 00:10:02,460
Det är väldigt olika, ibland lägger man
150 00:10:02,700 --> 00:10:07,580
många timmar på detaljer som ingen märker, ingen skriver om i write-upsen men
151 00:10:07,820 --> 00:10:10,640
det kan ta allt från en timma till
152 00:10:11,420 --> 00:10:12,940
fem timmar, tio timmar
153 00:10:13,200 --> 00:10:14,480
beroende på vad det är för typ av challenge.
154 00:10:15,000 --> 00:10:21,140
Och vad är det som triggar en att göra de här utmaningarna? Vad är det liksom som gör att man ändå vill göra en till?
155 00:10:21,700 --> 00:10:24,780
Det är väldigt roligt att spela själv
156 00:10:25,020 --> 00:10:28,860
så jag gillar ju när andra sitter och gör utmaningar och det här är ju mitt sätt att lära
157 00:10:29,120 --> 00:10:29,900
någon annan
158 00:10:30,140 --> 00:10:30,920
det jag har lärt mig.
159 00:10:32,200 --> 00:10:35,520
Och om ingen gör challengen så blir det ju inget spel så att säga.
160 00:10:36,040 --> 00:10:37,060
Det är mycket därför.
161 00:10:37,320 --> 00:10:38,080
Det är roligt.
162 00:10:39,360 --> 00:10:46,280
Och vilken disciplin, vilken domän är det som du har specialiserat dig på eller är du mer generalist?
163 00:10:48,320 --> 00:10:49,860
Jag försöker att göra lite
164 00:10:50,120 --> 00:10:51,660
Challenger med lite Forensics
165 00:10:51,960 --> 00:10:52,720
Touch på.
166 00:10:54,520 --> 00:10:56,820
Det blir väldigt blandade Challenger.
167 00:10:57,080 --> 00:10:59,900
Ibland lite enklare än Pwn och Web
168 00:11:00,140 --> 00:11:01,180
och Crypto.
169 00:11:01,420 --> 00:11:05,780
Ibland så är det Crypto och lite Web. Det är lite blandat.
170 00:11:06,300 --> 00:11:11,920
När du tittar runt bland borden här och ser att folk sliter sitt hår och liksom
171 00:11:12,180 --> 00:11:18,320
men ändå liksom lyckas få någon flagga och ställer sig upp och skriker av lycka här. Vad känner du då när de har tagit en av dina
172 00:11:18,580 --> 00:11:19,340
utmaningar?
173 00:11:19,860 --> 00:11:20,880
Jag tycker det är jätteroligt.
174 00:11:20,880 --> 00:11:22,420
Då har de lärt sig någonting nytt.
175 00:11:22,680 --> 00:11:24,460
De har kämpat och gjort massa saker
176 00:11:24,720 --> 00:11:27,800
som de kanske inte hade gjort innan och inte hade gjort om de inte hade testat detta.
177 00:11:28,300 --> 00:11:29,840
Jag tycker det är jätteroligt
178 00:11:30,100 --> 00:11:30,600
att se.
179 00:11:31,380 --> 00:11:33,940
Och om man själv skulle vilja börja göra
180 00:11:34,200 --> 00:11:37,260
CTF, alltså bli spelkonstruktör, var börjar man då?
181 00:11:38,040 --> 00:11:44,180
Det är egentligen bara att börja. Det kan vara bra att spela CTF och känna lite på hur det funkar och få lite feeling för det.
182 00:11:46,480 --> 00:11:47,240
Och sen är det bara att göra.
183 00:11:47,500 --> 00:11:50,580
Det pågår CTF hela tiden varje helg.
184 00:11:50,880 --> 00:11:51,640
Vardagar också.
185 00:11:52,160 --> 00:11:54,720
CTFtime.org är ett bra ställe att titta på.
186 00:11:54,980 --> 00:11:55,480
Så
187 00:11:55,740 --> 00:11:58,560
kan man hitta alla möjliga nivåer på level där.
188 00:11:59,320 --> 00:12:05,480
Ja, det verkar vara en övergripande känsla ni har fått efter att ha gått runt och pratat med folk här och pratat med dig, att det här är en typ
189 00:12:05,720 --> 00:12:11,100
av verksamhet som passar egentligen alla nivåer. Man kan vara nybörjare eller ganska erfaren och fortfarande få en kick.
190 00:12:11,620 --> 00:12:12,120
Absolut.
191 00:12:12,380 --> 00:12:16,480
Det är ju någon annans twist på någonting som man lär sig.
192 00:12:16,740 --> 00:12:19,560
Man sitter och gräver och gräver och googlar och
193 00:12:19,560 --> 00:12:22,120
kämpar för att hitta den där flaggan.
194 00:12:22,640 --> 00:12:23,140
Absolut.
195 00:12:24,680 --> 00:12:30,820
Perfekt. Då tackar jag dig för att jag fick slita dig lite från bordet här för en liten stund och tackar också för den här
196 00:12:31,080 --> 00:12:31,840
genomgången av CTF
197 00:12:32,100 --> 00:12:38,000
på Security Fest 2018. Väldigt spännande och det ska bli jätteroligt att få höra
198 00:12:38,240 --> 00:12:42,860
resultatpresentationerna. Även kanske se vissa write-ups efter det här och kunna följa dem.
199 00:12:43,120 --> 00:12:44,400
Tusen tack för att du ställde upp på intervjun.
200 00:12:44,640 --> 00:12:45,160
Ja, tack.
201 00:12:45,920 --> 00:12:49,000
Så, Niklas aka Dev0
202 00:12:49,000 --> 00:12:49,760
för övrigt
203 00:12:50,020 --> 00:12:55,400
väldigt märklig stavning av Dev0. Det tog mig lång tid att fatta att D3
204 00:12:56,160 --> 00:12:58,980
VNU11
205 00:12:59,240 --> 00:13:00,780
ska utlättsas Dev0.
206 00:13:01,040 --> 00:13:01,800
Men så är det.
207 00:13:02,320 --> 00:13:05,120
Dev0 hörde av sig och ville att
208 00:13:05,640 --> 00:13:11,280
vi ska vara tydliga med att det är många i CTF-teamet som har jobbat hårt så att
209 00:13:11,780 --> 00:13:14,600
betona alla andras insatser också.
210 00:13:15,360 --> 00:13:18,440
Så han vill att vi nämner vilka som är med i
211 00:13:19,000 --> 00:13:23,100
CTF-teamet och våra Capture-Flagg-skapare är inte mindre än
212 00:13:23,600 --> 00:13:25,660
Avlid I.M. Brunn
213 00:13:26,160 --> 00:13:26,940
Likvidera
214 00:13:27,440 --> 00:13:29,500
Klon aka Klondike
215 00:13:30,260 --> 00:13:31,800
Dev0
216 00:13:32,060 --> 00:13:33,600
och
217 00:13:34,880 --> 00:13:35,900
Bob
218 00:13:36,160 --> 00:13:37,940
B0BB
219 00:13:38,960 --> 00:13:43,840
Avlid I.M. Brunn finns på Twitter. Likvidera finns på Twitter.
220 00:13:44,080 --> 00:13:46,140
Klon finns på Twitter och
221 00:13:46,400 --> 00:13:48,960
0xD3
222 00:13:49,260 --> 00:13:55,140
VNU11 finns också på Twitter, det vill säga Dev0.
223 00:13:55,400 --> 00:13:59,500
Ja, så kan ni lägga tecken framför. Ni fattar, ni fattar. Tack så hemskt mycket!