OverTheWire offre une collection de wargames conçus pour vous aider à apprendre et à mettre en pratique les concepts de sécurité en plus de favoriser et d’exercer une façon particulière de penser. Penser en dehors des sentiers battus est, incontestablement, une capacité la plus puissante des hackers ou des codeurs. Il existe un million et un scripts et d’autres outils et tous sont extrêmement faciles à utiliser par rapport au développement de cette capacité. Même si vous avez les connaissances nécessaires pour les écrire vous-même, vous aurez toujours besoin de l’intelligence de la rue requise pour atteindre le résultat souhaité. Développer cet état d’esprit vous aidera à résoudre les problèmes pour le reste de votre vie.

Le premier wargame d’OverTheWire intitulé ‘Bandit’ est destiné aux débutants absolus. Il vous apprendra les bases que vous devrez connaître afin de vous engager avec leurs autres wargames qui augmentent en difficulté à mesure que vous montez les niveaux. Bandit vous apprendra à utiliser un shell Linux, des connexions distantes et SSH (secure shell). Si vous n’êtes pas familier avec SSH, je vous fournirai une très brève explication. La première itération de SSH (SSH-1) a été développée par Tatu Ylönen à l’Université de technologie d’Helsinki. Sa création a été provoquée par une attaque par reniflage de mot de passe sur le réseau universitaire. SSH est un protocole de réseau cryptographique permettant d’exploiter des services réseau en toute sécurité sur un réseau non sécurisé. Il s’agit généralement de choses comme la ligne de commande à distance, la connexion et l’exécution de commandes à distance. Tout service réseau peut être sécurisé avec SSH. Il a été conçu pour remplacer Telnet et d’autres protocoles shell distants (non sécurisés). Avant SSH, ces protocoles envoyaient des informations (comme des mots de passe) en texte brut, ce qui les rendait susceptibles d’être interceptées par l’analyse de paquets. L’analyse des paquets sera-t-elle un futur article de blog? Qui le sait?.

Les jeux de OverTheWire sont organisés en niveaux et il est prévu que vous terminiez le niveau précédent avant d’avancer. Contrairement aux matchs de piratage CTF (capture du drapeau) de l’équipe rouge contre l’équipe bleue, la suite de wargame OverTheWire est jouée en solo, il y a donc beaucoup moins de « frais généraux organisationnels » nécessaires pour démarrer les choses. De toute façon, les vrais amis sont surfaits. Tout le monde le sait de Mr. Robot que les super-leet ont des imaginaires. Alerte spoiler.

Bandit a actuellement 34 niveaux. L’ordre suggéré pour jouer aux jeux est de commencer là au niveau 0, puis une fois que vous avez travaillé dessus, passez au Léviathan, au Natas ou au Krypton. Après cela, ils suggèrent Narnia, Behemoth, Utumno et Maze dans cet ordre. Il existe également Vortex, Semtex, Manpage et Drifter. Bandit est conçu pour familiariser l’utilisateur avec la ligne de commande et SSH et vous mettre en place avec certaines des compétences nécessaires pour les jeux ultérieurs. À Narnia, l’utilisateur est familiarisé avec l’exploitation de base. Le code source de chaque niveau de Narnia vous est fourni pour faciliter la recherche des vulnérabilités. Behemoth traite les erreurs de codage courantes telles que les débordements de tampons, les conditions de concurrence et l’escalade des privilèges. La plupart des jeux pour débutants ne nécessitent pas d’expérience de codage préalable, mais cela deviendra certainement utile à mesure que vous avancerez. Chaque jeu shell a son propre port SSH et ces wargames sont un excellent moyen de se familiariser avec la ligne de commande et les concepts généraux de la sécurité réseau.

Pour commencer avec ‘Bandit’, vous aurez besoin de SSH. L’hôte est bandit.labs.overthewire.org sur le port 2220 avec un identifiant et un mot de passe de bandit0. Vous pouvez vous connecter via la ligne de commande avec:
ssh -l bandit0 -p 2220 bandit.labs.overthewire.org

Pour les utilisateurs d’Ubuntu, vous pouvez installer le serveur SSH avec:

sudo apt update
sudo apt upgrade
sudo apt install openssh-server

Pour les utilisateurs Windows (non WSL), vous devrez télécharger PuTTY ici:
https://www.putty.org

OverTheWire utilise également un tableau de bord appelé par la commande wechall dans le shell SSH. Il est fourni par WeChall à https://www.wechall.net. Pour utiliser le tableau de bord, rendez-vous sur le site Web de WeChall et créez un compte. Allez dans Account puis WarBoxes pour obtenir votre jeton. Modifiez votre ~/.bashrc en ajoutant:
export WECHALLUSER="YourUserName"
export WECHALLTOKEN="YOUR-WECHALL-TOKEN-HERE"

Ensuite, modifiez votre ~/.ssh/config et ajoutez:
Host *.labs.overthewire.org
SendEnv WECHALLTOKEN
SendEnv WECHALLUSER

Informations supplémentaires:
https://overthewire.org/wargames/

Please do not hesitate to contact me if there is a particular subject you would like covered in a future blog post.