4 puan yazan GN⁺ 2023-08-28 | 1 yorum | WhatsApp'ta paylaş
  • OverTheWire’ın Wargames’i, güvenlik kavramlarını oyun gibi çözerek Unix/Linux, web güvenliği, kriptografi ve tersine mühendislik pratiği yapabileceğiniz bir öğrenme alanıdır
  • Başlangıçta Bandit ile temel bilgileri edindikten sonra ilgi alanınıza göre Natas, Krypton veya Leviathan ile devam edebilirsiniz
  • Ardından Narnia, Behemoth, Utumno ve Maze’e geçildikçe binary exploit ve tersine mühendislik zorluğu artar
  • Her wargame’in ayrıntılı açıklamaları ve bağlantı bilgileri, sol menüdeki ilgili oyun sayfasından kontrol edilmelidir
  • Kabuk tabanlı oyunlar farklı SSH portları kullandığından, bağlanmadan önce ilgili oyun sayfasındaki yönergeleri kontrol etmek önemlidir

Oyunlarla güvenlik öğrenimi

  • OverTheWire topluluğu, güvenlik kavramlarını doğrudan pratik edebileceğiniz wargame’ler işletir
  • Belirli bir wargame’in ayrıntılı kuralları ve bilgileri, sol menüden bağlantı verilen ilgili oyun sayfasında bulunabilir
  • Sorun, soru veya önerileriniz varsa sohbete katılabilirsiniz

Önerilen ilerleme sırası ve bağlantı yöntemi

  • Başlangıç noktası Bandit’tir; Unix/Linux temellerini ele alan giriş seviyesi bir oyundur
  • Temel bilgileri edindikten sonra ilgi alanınıza göre aşağıdaki oyunlardan biriyle devam edebilirsiniz
    • Natas: web güvenliği
    • Krypton: kriptografi
    • Leviathan: tersine mühendislik
  • Sonraki aşamada zorluk, binary exploit ve tersine mühendislik odaklı oyunlarla artar
    • Narnia: binary exploit’e giriş ve tersine mühendislik
    • Behemoth, Utumno, Maze: binary exploit ve tersine mühendislik
  • Kabuk tabanlı oyunlar birbirinden farklı SSH portları kullanır
    • SSH bağlantı yöntemi her oyun sayfasının sol üst kısmında açıklanır

1 yorum

 
GN⁺ 2023-08-28
Hacker News yorumları
  • Birlikte bakılabilecek kaynaklar:
    https://linuxsurvival.com/
    https://old.reddit.com/r/linuxupskillchallenge/
    https://github.com/learnbyexample/TUI-apps — kendi hazırladığım bir kaynak; grep, sed, awk gibi araçlar için etkileşimli alıştırmalar sunuyor

  • OTW denince smash the stackten bahsetmemek olmaz
    Bu toplulukların en iyi yanı, beraberindeki IRC kanallarıydı; şimdi çoğu ölü durumda
    Jduck, spender gibi ünlü isimler vardı ve sert havaya dayanabiliyorsanız en iyilerden öğrenebiliyordunuz
    Şu an o sahne biraz zombi hâline yakın; oyunlar genel olarak güncel tutuluyor ama eski canlılık yok

    • “Sert havaya dayanabiliyorsanız en iyilerden öğrenebiliyordunuz” derken ne kastedildiğini merak ediyorum
      Yaygın bir kaba üslup ya da elitizm olduğunu tahmin ediyorum ama emin değilim
    • Aynı alanda benzer ruh ve atmosfere sahip modern bir topluluk olup olmadığını merak ediyorum
    • Steganografi görevlerine gelene kadar eğlenceliydi
      CTF’lerde hâlâ steganografiden kaçınıyorum
  • İlgili yazılar:
    Wargames can help you to learn and practice security concepts through games - https://news.ycombinator.com/item?id=29724594 - Aralık 2021, 26 yorum
    The Bandit Wargame - https://news.ycombinator.com/item?id=29708304 - Aralık 2021, 1 yorum
    OverTheWire: Wargames to learn and practice security concepts - https://news.ycombinator.com/item?id=16252873 - Ocak 2018, 23 yorum
    Wargames - https://news.ycombinator.com/item?id=9878302 - Temmuz 2015, 17 yorum

  • Yakın zamanda siber güvenlik yüksek lisans sertifika programını tamamladım; uygulamalı kısmın başlarındaki hatırı sayılır bölüm, basitçe OTW’yi takip edip bazı dersleri bitirmekten ibaretti
    Harika bir kaynak; önceden bilseydim programa bu kadar çok para vermek yerine sadece OTW alıştırmaları yapmış olabilirdim

    • Sırf merakımdan soruyorum, OTW’nin tamamını bitirdin mi?
      Programda ne kadar faydalı olduğunu hissettiğini de merak ediyorum
      Sadece Bandit alıştırmalarından bile şimdiden çok şey öğreniyorum; bunun başlangıç seviyesi olduğunu bildiğim için tamamını bitirmek epey ilginç olurdu
    • Bence bu, sonuçta yüksek lisans düzeyi sertifika programlarının zayıf yanını gösteriyor
      OTW ve kaynakları harika, ama yine de hâlâ giriş seviyesine yakın
  • Öğrenme eğrisi iyi olan, görece yeni eğitim kaynakları:
    https://pwn.college/
    https://dreamhack.io
    https://guyinatuxedo.github.io
    https://www.picoctf.org/

  • Bu gruplar ilk dönemlerindeyken etraflarında bir ölçüde bulunmuştum; 2000’lerde hackr.org, darkdevelopments.com, ssgroup.org gibi yerleri işleten çocukların çoğunun bugün başkalarının öğrenmesi için iyi ortamlar oluşturmaya bu kadar aktif biçimde çalışması gerçekten harika
    Hackthissite ve websec.fr de aynı çizgiden insanların yaptığı harika kaynaklar

  • En azından bana göre mutlak klasiklerden birini de ekleyeyim:
    https://www.hackthissite.org/

    • Eskiden orada geliştirici olarak çalışmıştım
      HTS, bilgisayar bilimine başlamama vesile olmuştu
  • PowerShell için benzeri:
    https://underthewire.tech/wargames

  • Her seviyeyi tamamladıktan sonra dosya sistemindeki .txt dosyasına adını ve kısa bir not bırakabildiğini hatırlıyorum
    Genelde “Kilroy was here” seviyesinde şeylerdi ama bir ergen için oraya kendini eklemek bile insana tam bir 1337 hacker olmuş hissi veriyordu; motivasyonu epey artırıyordu
    https://microcorruption.com da bakmaya değer
    Linux’a özgü bilgi gerektirmiyor; doğrudan MSP430 assemblyye giriyor ve ikili dosyalar ile gömülü sistem exploit’lerine giriş için küçük ve iyi bir kaynak

  • Tesadüfen 2010’da hazırladığım ikili tersine mühendislik ödevinin kaybolmuş kaynak kodunu az önce buldum
    Önce içine bakmadan derlemenizi öneririm
    “modern” dalını kullanın ve bomb.c yaması için README talimatlarını izleyin
    https://github.com/RPISEC/csci-4971-bomb

    • İlk başlarken gerçekten iyi bir alıştırmaydı
      Tasarladığın için teşekkürler