Articles

Engagerer sig i overtråds krigsspil

Alt tekst

overtråd tilbyder en samling af krigsspil, der er designet til at hjælpe dig med at lære og praktisere sikkerhedskoncepter ud over at fremme og udøve en bestemt måde at tænke på. At tænke uden for boksen er uundgåeligt en hacker eller kodere mest magtfulde evne. Der er en million-og-en scripts og andre værktøjer derude, og alle af dem er ekstremt let at bruge i forhold til at udvikle denne evne. Selvom du har viden til at skrive dem selv, har du stadig brug for de nødvendige street-smarts for at opnå det ønskede resultat. At udvikle denne tankegang vil hjælpe dig med problemløsning resten af dit liv.

Alt tekst

Overtrådets første krigsspil med titlen ‘Bandit’ er rettet mod absolutte begyndere. Det vil lære dig det grundlæggende, du bliver nødt til at vide for at engagere sig med deres andre krigsspil, der stiger i vanskeligheder, når du bevæger dig op på niveauerne. Bandit vil lære dig om at bruge en shell, fjernforbindelser og SSH (secure shell). Hvis du ikke er bekendt med SSH, vil jeg give en meget kort forklaring. Den første iteration af SSH (SSH-1) blev udviklet af Tatu YL Larsen ved Helsinki University of Technology. Det blev skabt af et adgangskodesniffende angreb på universitetsnetværket. SSH er en kryptografisk netværksprotokol til drift af netværkstjenester sikkert over et usikret netværk. Dette er typisk ting som fjernkommandolinje, login og fjernkommandoudførelse. Enhver netværkstjeneste kan sikres med SSH. Det blev designet som en erstatning for Telnet og andre (usikre) fjernskalprotokoller. Forud for SSH sendte disse protokoller information (som adgangskoder) i almindelig tekst, hvilket gjorde dem modtagelige for aflytning gennem pakkeanalyse. Vil pakkeanalyse være et fremtidigt blogindlæg? Hvem ved.

spillene på overtråd er organiseret i niveauer, og det er meningen, at du skal fuldføre det foregående niveau, før du går videre. I modsætning til’ red team vs blue team ‘ hacking CTF (capture the flag) kampe, spilles Overtråds-krigsspilsuiten solo, så der er meget mindre ‘organisatorisk overhead’, der er nødvendigt for at få tingene i gang. Rigtige venner er overvurderet alligevel. Alle kender fra Hr. Robot, som super-leet har imaginære. Spoiler alarm.

Bandit har i øjeblikket 34 niveauer. Den foreslåede ordre til at spille spillene er at starte der på niveau 0, så når du har arbejdet igennem det, gå videre til enten Leviathan, Natas eller Krypton. Derefter foreslår de Narnia, Behemoth, Utumno og labyrint i den rækkefølge. Der er også hvirvel, Semleks, Manpage og Drifter. Bandit er designet til at gøre brugeren bekendt med kommandolinjen og SSH og sætte dig op med nogle af de færdigheder, der er nødvendige for de senere spil. I Narnia er brugeren bekendt med grundlæggende udnyttelse. Du får kildekoden for hvert niveau i Narnia for at gøre det lettere at finde sårbarhederne. Behemoth beskæftiger sig med almindelige kodningsfejl som bufferoverløb, løbsbetingelser og rettighedsforøgelse. De fleste af begynderspilene kræver ikke tidligere kodningserfaring, men det vil helt sikkert blive nyttigt, når du går videre. Hvert shell-spil har sin egen SSH-port, og disse krigsspil er en fantastisk måde at gøre sig bekendt med kommandolinjen og de generelle begreber om netværkssikkerhed.

for at komme i gang med ‘Bandit’ skal du bruge SSH. Værten er bandit.labs.overthewire.org på port 2220 med et login og adgangskode til bandit0. Du kan oprette forbindelse via kommandolinjen med:
ssh -l bandit0 -p 2220 bandit.labs.overthewire.org

For Ubuntu-brugere kan du installere SSH-serveren med:

sudo apt update
sudo apt upgrade
sudo apt install openssh-server

for vinduer (ikke-VSL) brugere skal du hente PuTTY her:
https://www.putty.org

overtråd bruger også en resultattavle, der påberåbes af kommandoen wechall i SSH-skallen. Det leveres af på https://www.wechall.net. For at bruge resultattavlen gå til hjemmeside og registrere en konto. Gå til AccountderefterWarBoxes for at få dit token. Rediger din ~/.bashrc tilføjelse:
export WECHALLUSER="YourUserName"
export WECHALLTOKEN="YOUR-WECHALL-TOKEN-HERE"

næste, Rediger din ~/.ssh/config og tilføj:
Host *.labs.overthewire.org
SendEnv WECHALLTOKEN
SendEnv WECHALLUSER

yderligere oplysninger:
https://overthewire.org/wargames/

Please do not hesitate to contact me if there is a particular subject you would like covered in a future blog post.