4 pontos por GN⁺ 2023-08-28 | 1 comentários | Compartilhar no WhatsApp
  • Os Wargames da OverTheWire são um espaço de aprendizado para praticar Unix/Linux, segurança web, criptografia e engenharia reversa resolvendo conceitos de segurança como se fossem jogos
  • No início, você aprende os fundamentos com o Bandit e depois pode continuar escolhendo uma área de interesse entre Natas, Krypton e Leviathan
  • Em seguida, ao avançar para Narnia, Behemoth, Utumno e Maze, a dificuldade de exploits binários e engenharia reversa aumenta
  • As descrições detalhadas e as informações de acesso de cada wargame devem ser consultadas nas páginas individuais dos jogos no menu à esquerda
  • Jogos baseados em shell usam portas SSH diferentes, por isso é importante verificar as instruções na página do jogo antes de se conectar

Aprendendo segurança com jogos

  • A comunidade OverTheWire mantém wargames para praticar conceitos de segurança na prática
  • As regras e informações detalhadas de um wargame específico podem ser consultadas na página correspondente do jogo, vinculada no menu à esquerda
  • Se tiver problemas, perguntas ou sugestões, você pode participar pelo chat

Ordem recomendada e forma de acesso

  • O ponto de partida é o Bandit, um jogo introdutório sobre fundamentos de Unix/Linux
  • Depois de aprender os fundamentos, você pode seguir para um dos jogos abaixo, conforme sua área de interesse
    • Natas: segurança web
    • Krypton: criptografia
    • Leviathan: engenharia reversa
  • Na etapa seguinte, a dificuldade aumenta com jogos focados em exploits binários e engenharia reversa
    • Narnia: introdução a exploits binários e engenharia reversa
    • Behemoth, Utumno, Maze: exploits binários e engenharia reversa
  • Jogos baseados em shell usam portas SSH diferentes
    • O método de conexão por SSH é informado no canto superior esquerdo da página de cada jogo

1 comentários

 
GN⁺ 2023-08-28
Opiniões no Hacker News
  • Materiais que valem acompanhar:
    https://linuxsurvival.com/
    https://old.reddit.com/r/linuxupskillchallenge/
    https://github.com/learnbyexample/TUI-apps — material que eu criei, oferecendo exercícios interativos de grep, sed, awk etc.

  • Não dá para falar de OTW sem mencionar smash the stack
    A melhor parte dessas comunidades eram os canais de IRC que as acompanhavam, mas hoje a maioria está morta
    Havia gente famosa como Jduck e spender, e, se você aguentasse o ambiente áspero, dava para aprender com os melhores
    Hoje essa cena está mais para um estado zumbi; os jogos, em geral, foram atualizados, mas a energia não é mais a mesma

    • Fiquei curioso sobre o que significa “se você aguentasse o ambiente áspero, dava para aprender com os melhores”
      Imagino que houvesse a fala ríspida comum ou certo elitismo, mas não tenho certeza
    • Fico curioso se existe hoje uma comunidade na mesma área com espírito e atmosfera semelhantes
    • Foi divertido até chegar aos desafios de esteganografia
      Até hoje evito esteganografia em CTFs
  • Posts relacionados:
    Wargames can help you to learn and practice security concepts through games - https://news.ycombinator.com/item?id=29724594 - dezembro de 2021, 26 comentários
    The Bandit Wargame - https://news.ycombinator.com/item?id=29708304 - dezembro de 2021, 1 comentário
    OverTheWire: Wargames to learn and practice security concepts - https://news.ycombinator.com/item?id=16252873 - janeiro de 2018, 23 comentários
    Wargames - https://news.ycombinator.com/item?id=9878302 - julho de 2015, 17 comentários

  • Recentemente concluí um programa de certificado de pós-graduação em cibersegurança, e boa parte do início das práticas era basicamente seguir o OTW e concluir algumas lições
    É um material excelente; se eu o conhecesse antes, talvez não tivesse pago tanto pelo curso e tivesse feito apenas os exercícios do OTW

    • Por pura curiosidade, queria saber se você concluiu todo o OTW
      Também queria saber o quanto você sentiu que ele ajudou no curso
      Já estou aprendendo bastante só com os exercícios do Bandit, e sei que eles são para iniciantes; então deve ser bem interessante terminar tudo
    • Acho que isso, no fim, mostra a fraqueza de um programa de certificado em nível de pós-graduação
      O OTW e seus materiais são ótimos, mas ainda ficam perto do nível introdutório
  • Materiais educacionais relativamente novos com uma boa curva de aprendizado:
    https://pwn.college/
    https://dreamhack.io
    https://guyinatuxedo.github.io
    https://www.picoctf.org/

  • Eu estive, de certa forma, por perto quando esses grupos estavam no começo, e é muito legal ver que a maioria da garotada que mantinha sites como hackr.org, darkdevelopments.com e ssgroup.org nos anos 2000 agora está ativa tentando criar ambientes bons para outras pessoas aprenderem
    Hackthissite e websec.fr também são ótimos materiais criados por pessoas dessa mesma linhagem

  • Também acrescento um clássico absoluto, pelo menos para mim:
    https://www.hackthissite.org/

    • Trabalhei lá como desenvolvedor antigamente
      HTS foi o que me fez começar em ciência da computação
  • Algo semelhante para PowerShell:
    https://underthewire.tech/wargames

  • Lembro que, depois de concluir cada nível, dava para deixar seu nome e uma frase em um arquivo .txt dentro do sistema de arquivos
    Em geral era algo no nível de “Kilroy was here”, mas, para um adolescente, só o fato de se adicionar ali já fazia você se sentir um hacker 1337, o que era bem motivador
    https://microcorruption.com também vale conferir
    Não exige conhecimento específico de Linux e já entra direto em assembly MSP430; é uma introdução pequena e boa a exploração de binários e sistemas embarcados

  • Por acaso, acabei de encontrar o código-fonte perdido de um desafio de engenharia reversa de binários que escrevi em 2010
    Recomendo compilar antes de olhar o código
    Use o branch “modern” e siga as instruções do README para o patch de bomb.c
    https://github.com/RPISEC/csci-4971-bomb

    • Foi um exercício muito bom quando comecei
      Obrigado por tê-lo projetado