Merhabalar,
Proje X CTF yarışmamız 120 kişinin aktif/pasif katılımıyla birlikte sonuçlandı.
Yarışmacılar sokak sokak dolaşarak USB belleklere ulaşmaya çalıştı. Aktif bir şekilde kod avcılığı yaptılar. Sürprizlerle karşılaştılar. Yarışmanın, hem bizim açımızdan hem de yarışmacılar açısından sürükleyici geçtiğini düşünüyorum. Eğlenceli bir birliktelik oldu.
Kolektif bir bilinç oluşturma zamanı
Hacker yeteneklerini -hacker burada üreten kişi anlamında- 360 derece görmeye çalıştık. Bu yüzden sadece saldırgan bir üslup kullanmak yerine paradigma bağımsızlığı olan, yaratıcı olduğunu düşündüğümüz bir üslup kullanmayı tercih ettik ve yarışmayı bu çerçevede modelledik.
CTF yarışmalarında genellikle içeriğin teknik boyutu baskıcı bir tavır sergiliyor. Bu durumun farklılaşması önemli; çünkü günümüzde takım çalışması, ikili ilişkiler teknik bilginin önünde yer alıyor.
Yarışmaya Hazırlanırken...
Niye Dead-Drop kullandık? Yarışmacılar için fiziksel bir aktivite gerçekleştirmek istedik. Ekip çalışmasının ne kadar önemli olduğunu bir kez daha vurgulamak istedik.
Niye senaryolaştırdık? Senaryolar, yarışmanın en eğlenceli katmanıydı. Katılımcılar, senaryoların içinde yarışmaya ilgili ipuçlarını özenle aradılar.
Niye JavaScript'i seçtik? Öğrenmesi ve pratiğe dökülmesi kolay bir dil.
Niye karıştırılmış(obfuscate) bir kod seçtik? Karıştırılmış kodlar genelde gizlenmek ve güvenlik mekanizmalarını aşmak için kullanılıyor. Bu tarz kodların oluşturulması, tersine mühendislik yaparak çözümlenmesi kimi durumlarda hayati önem taşıyabiliyor.
Yarışma Çözümleri
"Yalçın G." adlı yarışmacının 26 Eylül 2013 Perşembe 21:55 tarihinde çözümü bize iletmesiyle birlikte yarışmanın sonlandığını sosyal medya hesaplarımızdan duyurduk. Üstün performansından dolayı kendisini tebrik ediyoruz.
Sırasıyla çözümleri inceleyelim.
Yalçın G. 'nin çözümü:
JS Bin
Superbug.co ekibinin çözümü:
JS Bin
Yarışma İpuçları
Lokasyon ile ilgili ilk ipucumuz,
T.İ.M ekibinden Ömer , Söğütlüçeşme durağından adliyeye doğru yürümeye başladı. Arkasında yankılanan ayakkabı seslerini duyabiliyordu. Takip edildiğini farkedince Eğitim Mahallesi'ne doğru hızlıca yöneldi ve çıkmaz sokaklardan birine girdi. Bir süre dükkanlardan birine gizlendi. Peşindekileri atlattığını düşündü ama emin olamadığı için atmosfer kodunu güvenli bir yere koymak istedi. Bu yüzden USB belleğin içine koyduğu atmosfer kodunu çıkmaz sokağın sonundaki güvenli olduğunu düşündüğü bir duvarın içine yerleştirdi ve kimse görmeden o bölgeden uzaklaştı.
Lokasyon ile ilgili ikinci ipucumuz,
- Adamı kebap salonun orada kaybettik patron
black : O kodu bulmadan gelmeyin!
Atmosfer kodunu black ve ekibinden önce bulmak zorundasınız.
Atmosfer koduyla ilgili ilk ipucumuz,
Atmosfer koduyla ilgili ipucu : Ömer Bey'e +7 777 214-35-60 nolu telefondan bir kısa mesaj geldi. Mesajın içeriği: "сохраните етот номер"
Görüşler
Yarışmanın öncelikle Dead-Drop ile başlaması gerçekten çok keyifliydi. Klasik bilgisayar başında oturan adamlar kavramından sıyrılıp kilometrelerce ötede şifreli dosya aramak için yola çıkmak zorunda kaldım. Dead-Drop noktası ararken diğer yarışmacılarla tanışma fırsatı buldum ve bazılarımız keyifli minik aksiyonlar yaşadı. Şifreli dosyaya ulaştıktan sonra ipucu olarak verilmiş telefon numarasına göre şifreli metni tekrardan düzenledim.
Daha sonra diğer yarışmacı arkadaşlardan Ülgen'in yardımı ile metnin tamamının Base64 olduğunu öğrendim. Buradan kendisine çok teşekkür ediyorum. Base64 çözümünden sonra beni nelerin beklediğini tahmin ediyordum ancak yanılmıştım. Giderek zorlaşan bir algoritmaya sahipti. Sırasıyla Base64'den sonra elde edilen hashi tersine çevirdim (reverse string) karşımda hex bir data oluşmuştu bunu stringe çevirdim.
Son olarak karşımda Char kodlarına çevrilmiş harfler vardı ve aralarında virgül ile ayrılmıştı. Char kodlarını harflere çevirdiğimde yarışma sonlanmıştı :) Keyifli bir yarışmaydı. Dead-Drop noktasının bulunmasından şifrenin çözülmesine rağmen uğraştırıcıydı. Başta Evren Yalçın olmak üzere emeği geçen herkese ve tüm sponsorlara bize bu keyifli yarışmayı sundukları için teşekkür ederim.
Yalçın G. ( Kazanan yarışmacı )
Dead-Drop kavramını bu yarışmada tanıdım, benim için yarışmanın en zevkli kısmı laptop ile kendimizi sokağa atmamızdı. Açıkçası bulduğum andaki haz ile kodu hemen orada çözmemek için kendimi zor tuttum. Ama bu düşüncelerim şifreli kodun txt ini açana kadardı çünkü asıl şimdi başlıyorduk.
Farklı bir yarışma farklı bir haz getirdi. S4'ü kaçırmanın hüznü yanı sıra keşke yarışmanın stepleri ve senaryosu daha uzun olsaydı diye içimden geçirmedim değil. Böyle zevkli yarışmalara ender rastlıyoruz, emeği geçen tüm ekibinize ayrı ayrı çok teşekkür ederim.
Mustafa Yalçın ( Yarışmacı )
İletişim
Yarışmanın web sitesi : www.projexctf.com
E-posta adresi : superbug [at] projexctf [dot] com
EOF
0 yorum:
Yorum Gönder