rozbor, oprava elektroniky, zdrojový kód, unix, oracle a chaotické poznámky z oblastí do ktorých občas zabŕdnem
Pri správe infraštruktúry musí oddelenie Operations udržiavať veľké množstvo DNS záznamov vo veľa zónach. DNS správca zošalel z obrovského množstva záznamov, sediac pred monitorom nakláňajúc sa sem a tam hovoril opakovane, o jeho doméne infra.tcc ako o nejakom milášikovi z pána prsteňov.
Mám za úlohu preskúmať zóny, záznamy a ich počty, aby sme nabudúce prijali odolnejšieho správcu. Ako pomôcku máme, že než sa zbláznil vravel o sekundárnych serveroch a AXFR/IXFR distribúcií zón.
Admin Johnson začal testovať zálohovacie procedúry na serveri johnson-backup.cypherfix.tcc. Nechal ale proces rozpracovaný z dôvodu iných zaujímavých úloh. Mám zistiť, či je v súčasnom stave napadnuteľný.
Ako pomôcku dostávam, že admin Johnson nie je dobrý v dodržiavaní hygieny hesiel.
Pre skeptikov zverejnil svoju kartičku a vyzval kolegov na prihlásenie na jeho vlastný SSH server (password-card-rules.cypherfix.tcc) pod jeho loginom "futurethinker".
Mám úlohu overiť slabiny tejto metódy.
Ako pomôcku dostávam, že kolegovo obľúbené číslo je 18 a teda počet znakov hesla bude pravdepodobne tento.
V tiketovacom systéme sa šíria klebety, že niekde na sieti beží stará neudržiavaná služba. Táto môže byť bezpečnostným rizikom, aj keď sa volá 3S - "Super Secure Service". Starší zamestnanci vspomínajú, že mala doménové meno supersecureservice.cypherfix.tcc. Táto neexistuje na aktuálnom DNS serveri, ale nejaká informácia môže byť na starom ns6-old.tcc, ktorý sa bude čoskoro rušiť. Ďalšia úloha za 2 body.
Preskúmaj službu a zisti čo najviac.
Náš IDS (intrusion detection system) zaznamenal podozrivú komunikáciu medzi zariadením srv-test23.cypherfix.tcc (10.99.24.23, 2001:db8:7cc::24:23) v našom obvode a C2 botnetom Leonidas300. Používateľ a správca zariadenia v jednom nemá poňatia ako je to možné a odmieta vypnúť dôležité testovacie zariadenie (ako VIP si zjavne môže dovoliť komplikovať vyšetrovanie). Ale je ochotný dodať ssh kľúč a testovacieho používateľa pre preskúmanie zariadenia.
Mojou úlohou je analýza incidentu, hlavne čo spôsobuje občasnú detekciu komunikácie s botnetom. Úloha je za 2 body.
IDS je dostupný na http://ids.cypherfix.tcc
Prvá úloha v The Catch po prijatí za analytika, ktorú som si vybral. V CSIRT zistili, že analytici si niesú uplne istí v základných pojmoch, skratky sa im pletú. Preto je tu úloha zodpovedať správne na 10 kvízových otázok. Je potrebné vybrať správnu zo 4 možností. Úloha je za 1 bod.
Moje odpovede som napísal malým číslom vpravo, väčšina by mala byť správna.
Prvý októbrový pondelok začal ôsmy ročník The Catch. Počas 3 týždňov bolo možné hravou formou CTF súťažne riešiť úlohy súvisiace s IT bezpečnosťou. Pre zapojenie sa stačilo, po spustení súťaže, zaregistrovať na stránke www.thecatch.cz - zadať login, heslo a mail.
Na webe je bodkovaná deliaca čiara, má bodky v dvoch polohách - vyššie a nižšie. Informácia uložená v dvoch úrovniach, bez zjavných oddeľovačov, je zvyčajne kódovaná binárne. Prepísal som teda bodky do 0 a 1 a preložil cez CyberChef ako 7-bitový ascii reťazec: 20 years of CESNET-CERTS
To bude téma tohto ročníka.
* CESNET-CERTS - je názov CSIRT tímu združenia CESNET od r.2004
Po zadaní vlajky sa mi odomkla sekcia CSIRT - Training center.
