Tag: ctf

Kategori
Uncategorized @id

Facebook membagikan platform CTF

facebook membagikan platform ctf
facebook membagikan platform ctf

Untuk menguasai keahlian tentang network security tentunya perlu banyak praktek. Hanya saja kita tidak bisa secara bebas mempraktekkan tools network security di mana saja. Karena menggunakan tools security di jaringan artinya melanggar hukum. Apalagi di negara kita sekarang sudah ada Undang Undang  ITE (UU no 11 tahun 2008 tentang Informasi dan Transaksi Elektronik). Nah biasanya game CTF (Capture The Flag) menjadi salah tempat latihan untuk belajar security. Untuk penggemar CTF, ada kabar baik. Baru-baru ini Facebook membagikan platform CTF menjadi open source.

Platform CTF ini dapat diunduh dan digunakan untuk latihan. Selain itu dapat digunakan juga untuk menyelenggarakan even lomba CTF. Menggunakan platform CTF ini, kita dapat dengan mudah merancang skenario lomba, dan menampilkan skor lomba secara langsung.  Fitur lainnya adalah mempermudah proses pendaftaran peserta dan menampilkan game map. Facebook menyediakan juga beberapa skenario lomba CTF yang dapat digunakan. Diantaranya skenario dalam kategori reverse-engineering, forensics, web application security, cryptography, dan binary exploitation.

Facebook telah beberapa kali menyelenggarakan even CTF untuk keperluan pendidikan.  Gulsan Singh seorang software engineer Facebook mengumumkan pembagian platform CTF ini untuk publik pada tulisan blog berikut:

https://www.facebook.com/notes/facebook-ctf/facebook-ctf-is-now-open-source/525464774322241/

Platform CTF ini dapat diunduh pada link github berikut ini:

https://github.com/facebook/fbctf/

Pada halaman tersebut terdapat tutorial juga untuk menjalankan platform CTF ini. Platform ini dipasang langsung pada sistem operasi Linux. Pada web Github tersebut disediakan tutorial instalasi CTF untuk distro Ubuntu 14.04. Walaupun begitu konon platform CTF ini dapat digunakan pada berbagai sistem distro Linux. Facebook merekomendasikan platform ini dipasang pada Virtual Box dan Vagrant. Tutorial lengkapnya dapat dilihat pada halaman wiki berikut:

https://github.com/facebook/fbctf/wiki

CTF merupakan games security yang sangat populer. Game ini terdiri dari beberapa kategori yang terdiri dari beberapa level. Pada setiap level, peserta harus memecahkan berbagai persoalan tentang security. Ada soal tentang hacking, ada juga tentang berbagai teknik pertahanan. Peserta yang berhasil menyelesaikan sebuah level akan mendapatkan poin. Pada akhir lomba peserta yang mendapatkan poin tertinggi akan keluar menjadi pemenang.

Lomba CTF ini biasanya sangat digemari. Dengan dibagikannya platform CTF secara terbuka oleh Facebook, tentunya akan memudahkan kita untuk membuat event CTF. Mungkin ada mahasiswa yang tertarik untuk membuat lomba CTF dengan platform ini?

Semoga Bermanfaat!

tentang Vagrant:

https://www.vagrantup.com/about.html

Kategori
event

Google Capture The Flag 2016

Bagi para penggemar game security CTF, sebentar lagi ada lomba Google Capture The Flag 2016. Lomba ini akan diadakan tanggal 29 dan 30 April 2016. CTF kali ini agak berbeda, karena untuk pertama kalinya diselenggarakan oleh Google. Hadiahnya cukup menarik:

Juara 1 : $3,133.70 USD

Juara 2: $2,000.00 USD

Juara 3: $1,000.00 USD

Lomba ini nanti akan terdiri dari beberapa tantangan berikut:

  • Mobile
  • Crypto challenges
  • Networking challenges
  • Web
  • Reverse Engineering
  • Forensics
  • Memory Corruption

Untuk Pendaftaran bisa langsung dilihat pada link berikut:

https://capturetheflag.withgoogle.com/

Bagi yang penasaran nanti soalnya seperti apa, Google telah menyiapkan beberapa soal sebagai pemanasan. Dapat dilihat pada halaman berikut:

https://capturetheflag.withgoogle.com/teasers

Ayo tunggu apa lagi cepetan daftar!

Beberapa bahan buat persiapan lomba CTF, tulisan saya tentang CTF

http://julismail.staff.telkomuniversity.ac.id/belajar-ctf/

Bahan bacaan tentang tools yang bisa digunakan untuk ikut CTF

 

CTF tools

Kategori
Uncategorized @id

Belajar CTF

from http://www.somewhatsimple.com

Minggu ini ada beberapa mahasiswa yang ingin belajar CTF (capture the flag).  Rencananya mereka mau coba ikut kompetisi CTF. CTF merupakan kompetisi di bidang information security. Kompetisi CTF ini sangat populer, hampir setiap event security seperti konferensi dan seminar diadakan pula lomba CTF.  Pesertanya juga bermacam-macam mulai dari para nubie sampai para profesional Security, dari anak muda sampe bapak-bapak.

Secara umum ada 3 macam format CTF, jeopardy, attack-defence dan mixed. Pada lomba CTF dengan format Jeopardy biasanya kita akan dikasih soal yang harus dikerjakakan, bila berhasil mengerjakan soal tersebut kita akan mendapatkan poin. Pemenangnya biasanya yang mendapatkan poin yang paling besar dan paling cepat mengerjakan. Soalnya bermacam-macam, ada tentang web hacking, cryptography, forensic, programming dll. Umumnya soalnya langsung praktek. Jarang banget yang teori. Sehingga membutuhkan penguasaan beberapa tools di bidang security. Format jeopardy ini cukup seru karena kita seperti seorang detektif yang lagi mencari-cari flag.

Format yang kedua adalah attack-defense. Dalam format ini peserta diharuskan membuat sebuah server. Kemudian peserta akan diadu, kita akan diminta mempertahankan sistem kita, dan menyerang komputer lawan. Peserta akan mendapat poin dari defense dan attack. Poin defense didapat dari bagaimana kita mempertahankan server kita, sementara poin attack diperoleh dari bagaimana kita bisa membobol sistem lawan.

Format terakhir adalah mix, atau campuran. Biasanya CTF tipe ini terdiri dari campuran dua format diatas, atau jenis lomba lainnya. Misalnya khusus tentang cryptography, khusus tentang reverse engineering dll.

Pada format jeopardy dibagi menjadi beberapa kategori. Untuk CTF dengan kategori Web biasanya kita akan dikasih sebuah alamat web, peserta akan diminta mencari cara untuk mendapatkan akses ke web tersebut. Terdapat berbagai macam cara, bisa dengan SQL injection, XSS injection dll. Disini kita harus mengerti tentang celah keamanan web. Untuk belajar bisa dengan menggunakan beberapa tempat latihan seperti DVWA, Badstore, Hacme, WebGoat dll. List lengkapnya bisa dilihat disini https://www.owasp.org/index.php/OWASP_Vulnerable_Web_Applications_Directory_Project

Kategori berikutnya ada crypto atau kriptografi. Disini dibutuhkan pengetahuan tentang berbagai algoritma kriptografi. Biasanya kita akan dikasi pesan rahasia yang harus dibongkar. Nah kita mengenal berbagai macam tipe enkripsi, dan pola dari masing-masing algoritma ini. Untuk belajar crypto bisa menggunakan tools seperti cryptool. Ada juga banyak materi kriptografi di khan academy pada link berikut: https://www.khanacademy.org/computing/computer-science/cryptography

Berikutnya ada kategori Forensik. Disini kita akan diberi sebuah data atau file, kemudian kita diminta mengekstrak flag dari data tersebut. Misalnya mengekstrak data dari disk image, dari memory dump dll. Ada juga terkadang kita diminta membongar pesan yang disembunyikan dengan teknik steganografi. Disini diperlukan pemahaman tentang berbagai macam format data. Beberapa tools yang bisa digunakan http://www.sweetscape.com/010editor/

Kategori lainnya reverse engineering. Disini kita dikasi sebuah file binary, kemudian kita diminta untuk melakukan reverse engineering dan mencari flag yang disembunyikan pada file tersebut. Tapi ada juga lomba yang memberi sebuah source code, kemudian kita diminta mencari flag yang disembunyikan disitu. Disini diperlukan keahlian membaca kode assembly. Bisa coba belajar disini http://www.crackmes.de/

Ada juga kategori programming. Disini biasanya kita biasanya dikasi sebuah permasalahan matematika. Untuk menyelesaikan perhitungannya kita perlu membuat sebuah script. Biasanya disini diperlukan pemahaman tentang python. Ada banyak tutorial tentang python, contohnya http://www.diveintopython.net/

Untuk mulai belajar bisa coba baca-baca dulu tentang CTF write-up. Write-up ini maksudnya solusi yang dibuat orang yang telah berhasil mengikuti CTF. Contohnya bisa dilihat di link berikut:

https://ctftime.org/writeups

http://ctf-for-beginners.blogspot.co.id/

https://github.com/ctfs/write-ups-2015

https://ctf-team.vulnhub.com/

http://rndc.or.id/wiki/index.php?title=CTF_Writeups

http://blog.rentjong.net/

Have Fun!

Beberapa materi tentang CTF

https://trailofbits.github.io/ctf/

http://captf.com/

http://resources.infosecinstitute.com/n00bs-ctf-labs-infosec-institute/

http://blog.compactbyte.com/2014/04/24/security-ctf/

https://github.com/isislab/Project-Ideas/wiki/Capture-The-Flag-Competitions

resource lainnya

http://www.amanhardikar.com/mindmaps/Practice.html

https://www.vulnhub.com/

 

 

 

Kategori
event

Lomba CTF IDSECCONF

Untuk para penggemar keamanan jaringan. Ada lomba seru  yang diadakan IDSECCONF (Indonesia Security Conference). Lomba CTF IDSECCONF (Capture the flag) ini merupakan lomba tahunan. Kegiatan ini adalah salah satu permainan simulasi hacking yang diadakan tiap tahun berbarengan dengan diadakannya kegiatan IDSECCONF. IDSECCONF merupakan event security yang selalu menghadirkan pakar-pakar security di Indonesia. Event ini diselenggarakan oleh komunitas security Echo. Tahun ini acara IDSECCONF akan diadakan di Jogjakarta tanggal 1-2 November 2014 bekerjasama dengan UPN Veteran Jogjakarta.

Kali ini pendaftaran telah dibuka. Lomba akan berlangsung dari 10 oktober sampai 12 Oktober 2014. Pemenangnya akan mendapat hadiah akomodasi gratis (transport, tempat tinggal dan konsumsi) untuk mengikuti acara IDSECCONF di Jogjakarta. Selain itu pemenang CTF akan otomatis jadi salah satu pembicara di acara IDSECCONF di Jogjakarta. Nah disana nanti pemenang ini akan diminta menjelaskan langkah-langkah yang dia lakukan dalam lomba CTF ini.

Tahun ini lomba ini dibagi beberapa tahap/misi, ada eksploitasi, ada pemograman, ada web hacking, ada kriptografi, reverse engineering dan digital forensic. Biasanya setiap tahunnya selalu ada trik-trik baru yang telah disiapkan team echo pada acara CTF. Sehingga event ini selalu menarik untuk diikuti. Pendaftaran dan lomba ctf ini gratis. Untuk pendaftaran silahkan buka web berikut: http://ctf.idsecconf.org/

Beberapa tulisan tentang jalannya lomba CTF IDSECCONF tahun-tahun sebelumnya bisa dilihat disini:

http://www.slideshare.net/idsecconf/idsecconf2013-ctf-online-write-up

http://www.slideshare.net/idsecconf/ctf-online-idsecconf2012-walkthrough

http://ezine.echo.or.id/ezine24/24_CTF_Online_Idsecconf_2011_write_up.txt

Ayo daftar!

lomba ctf idsecconf

Kategori
event

Cyberjawara 2014 – lomba hacking

ID-SIRTII akan mengadakan lomba security Cyberjawara 2014. Lomba ini merupakan lomba hacking. Dari hasil lomba ini nanti akan dibentuk tim Cyberjawara Nasional, yang akan diikutkan dalam event security internasional.

Lomba ini dibagi 2 tahap, babak penyisihan online  peserta akan diminta untuk melakukan Information gathering dan mengikuti lomba CTF (Capture the Flag) . Pada Information gathering akan diuji kemampuan mengumpulkan informasi untuk kepentingan Audit sistem keamanan, Security Assessment atau untuk membuat statistik Keamanan Internet Indonesia. Pada lomba CTF peserta akan diuji kemampuan untuk menyelesaikan soal tantangan Keamanan Informasi (Server Hardening, Digital Forensics, Cracking, Defacing, Malware Analysis, Traffic Analysis, dll). Babak penyisihan akan dibagi dalam 5 wilayah yaitu wilayah:

1. Sumatera & Kalimantan.
2. Banten, Jawa Barat & Jakarta.
3. Jawa Tengah & DI Yogyakarta.
4. Jawa Timur, Bali, NTT & NTB.
5. Sulawesi, Maluku dan Papua.

Dari babak penyisihan akan dipilih 2 team dari masing-masing wilayah yang akan mengikuti babak Final. Pada babak final, 10 team dari babak penyisihan ini akan diadu dengan team pemenang cyber jawara 2013 serta 4 tim undangan. Babak final akan dilakukan offline di Bandung. Pada babak final akan diuji  kemampuan dasar IT Security, kemampuan untuk melakukan analisa Network Services, Perimeter Keamanan, Pentest, serta CTF.

Waktu Pendaftaran adalah tanggal 1-20 Oktober 2014.

Babak penyisihan 22-23 Oktober 2014

Babak Final 5 November 2014 di Bandung

Peserta adalah tim 2-5 orang. Pendaftaran dilakukan online pada form bisa dilihat di http://cyberjawara.idsirtii.or.id/

Ayo Daftar!
cyberjawara2014

 

Kategori
event

Kompetisi CTF (Capture The Flag) SQLiLab

SQLiLab menyelenggarakan kompetisi CTF (Capture The Flag ). Kompetisi ini merupakan kompetisi hacking online yang diselenggarakan SQLiLab. Peserta akan diminta untuk menerobos sebuah server dan mengambil sebuah flag (file). Kompetisi ini merupakan yang kedua setelah sebelumnya pada 2013 diikuti 1800 orang dari seluruh dunia. Lomba akan dimulai tanggal 18 April 2014 sampai 20 April 2014 secara online.

Pada lomba kali ini akan ada 2 level, setiap levelnya peserta harus mengambil 1 buah flag. Pendaftaran lomba ini gratis. Pendaftaran bisa dilakukan di web ctf.notsosecure.com  . Hadiah kompetisi ini cukup menarik, yaitu :

  • 1  Aplikasi Netsparker Web Application Security Scanner Professional
  • 1 Aplikasi Metasploit Pro License from Rapid7
  • 1 tiket untuk konferensi Appsec EU dan  HackMiami
  • 1 akses gratis  1 bulan SQLiLab
  • 1 akses gratis 1 bulan ke Pentester Academy

Untuk bisa mendapatkan flag, peserta harus menguasai teknik SQL injection dan menganalisa celah keamanan pada webserver. Selain itu tools analisa web seperti Burpsuite akan sangat membantu. Pada lomba sebelumnya peserta harus mencari cara untuk login pada sebuah website, kemudan melakukan SQL injection untuk mendapatkan akses sebagai admin. Tulisan tentang jalannya lomba CTF ini pada tahun 2013 bisa dilihat disini. Di tulisan tersebut juga dijelaskan cara yang digunakan untuk mendapatkan flag.

ctf-logoSQLiLab merupakan lembaga yang menyelenggarakan training tentang keamanan web. SQLiLab merupakan bagian dari perusahaan konsultan keamanan Inggris NotSoSecure Ltd. Keliatannya akan seru lombanya, mari kita daftar!

Kategori
event

Kompetisi CTF pemilu

Menyambut pemilu ada yang bikin kompetisi hacking capture the flag. Kompetisi CTF merupakan salah satu format lomba hacking, umumnya peserta akan diminta untuk menerobos sebuah server dan mengambil sebuah data.  Pada kompetisi ctf pemilu ini peserta akan diminta menyelesaikan beberapa tahapan, dengan tema pemilu. Ada 8 tantangan yang harus diselesaikan. Salah satu skenarionya anda akan diminta menjadi orang yang direkrut oleh pemerintah untuk mengamankan Pemilu dari aksi hacking. Ada alur ceritanya yang membuat kompetisi ini menarik.  Kompetisi ini sudah dimulai dari tanggal 18 Maret, dan akan berakhir sampai 6 April 2014. Ada hadiah Iphone 5.  Menurut panitia kegiatan ini diadakan untuk menampung bakat dari teman-teman komunitas agar tidak salah arah (melakukan kegiatan deface, DDoS, dll), Noosc pun coba memberikan wadah untuk berkompetisi sekaligus menawarkan reward untuk mereka yang berhasil menjuarai kompetisi tersebut. Dalam lomba ini, peserta diberikan sejumlah misi yang harus dipecahkan satu per satu secara bertahap. Pemenang adalah peserta yang paling pertama berhasil menyelesaikan misi level tertinggi saat masa kompetisi berakhir, dan akan mendapat hadiah berupa satu Apple iPhone 5. Pendaftaran bisa dilihat di halaman berikut ini http://www.noosc.co.id/ctf/ . Pendaftaran tidak dipungut biaya

Untuk informasi tentang kegiatan ini bisa dilihat di halaman berikut http://www.noosc.co.id/events/noosc-ctf-2014-election-series/ Ada liputan tentang kompetisi ini juga di detik.com linknya bisa dilihat disini .

Ayo Daftar !!