4 Punkte von GN⁺ 2023-08-28 | 1 Kommentare | Auf WhatsApp teilen
  • Die Wargames von OverTheWire sind ein Lernbereich, in dem man Sicherheitskonzepte spielerisch löst und Unix/Linux, Web-Sicherheit, Kryptografie und Reverse Engineering übt
  • Am Anfang lernt man mit Bandit die Grundlagen und kann danach je nach Interesse mit Natas, Krypton oder Leviathan weitermachen
  • Anschließend geht es mit Narnia, Behemoth, Utumno und Maze weiter, wobei der Schwierigkeitsgrad bei Binary Exploitation und Reverse Engineering steigt
  • Detaillierte Beschreibungen und Zugangsdaten zu den einzelnen Wargames findet man auf den jeweiligen Spielseiten im linken Menü
  • Shell-basierte Spiele verwenden unterschiedliche SSH-Ports, daher ist es wichtig, vor der Verbindung die Hinweise auf der jeweiligen Spielseite zu prüfen

Sicherheit spielerisch lernen

  • Die OverTheWire-Community betreibt Wargames, in denen man Sicherheitskonzepte praktisch üben kann
  • Detaillierte Regeln und Informationen zu einem bestimmten Wargame findet man auf der jeweiligen Spielseite, die im linken Menü verlinkt ist
  • Bei Problemen, Fragen oder Vorschlägen kann man sich am Chat beteiligen

Empfohlene Reihenfolge und Zugriff

  • Der Einstiegspunkt ist Bandit, ein Spiel für Einsteiger, das Unix/Linux-Grundlagen behandelt
  • Nach dem Erlernen der Grundlagen kann man je nach Interessengebiet mit einem der folgenden Spiele weitermachen
    • Natas: Web-Sicherheit
    • Krypton: Kryptografie
    • Leviathan: Reverse Engineering
  • In der nächsten Stufe steigt der Schwierigkeitsgrad mit Spielen, die sich auf Binary Exploitation und Reverse Engineering konzentrieren
    • Narnia: Einstieg in Binary Exploitation und Reverse Engineering
    • Behemoth, Utumno, Maze: Binary Exploitation und Reverse Engineering
  • Shell-basierte Spiele verwenden jeweils unterschiedliche SSH-Ports
    • Die Anleitung zur SSH-Verbindung steht oben links auf der jeweiligen Spielseite

1 Kommentare

 
GN⁺ 2023-08-28
Hacker-News-Kommentare
  • Materialien, die sich ebenfalls lohnen:
    https://linuxsurvival.com/
    https://old.reddit.com/r/linuxupskillchallenge/
    https://github.com/learnbyexample/TUI-apps — von mir erstelltes Material mit interaktiven Übungen zu grep, sed, awk usw.

  • Wenn man über OTW spricht, darf man smash the stack nicht auslassen
    Das Beste an solchen Communitys waren die zugehörigen IRC-Channels, die heute größtenteils tot sind
    Es gab bekannte Leute wie Jduck und spender, und wenn man die raue Atmosphäre aushalten konnte, konnte man von den Besten lernen
    Die Szene ist heute eher in einem Zombie-Zustand; die Games sind im Großen und Ganzen aktuell gehalten, aber die Lebendigkeit ist nicht mehr wie früher

    • Ich frage mich, was mit „wenn man die raue Atmosphäre aushalten konnte, konnte man von den Besten lernen“ gemeint ist
      Ich vermute, es gab den üblichen rauen Tonfall oder Elitismus, aber sicher bin ich mir nicht
    • Ich frage mich, ob es in demselben Bereich moderne Communitys mit einem ähnlichen Geist und Vibe gibt
    • Es hat Spaß gemacht, bis ich zu den Steganografie-Aufgaben kam
      Steganografie meide ich bei CTFs immer noch
  • Verwandte Beiträge:
    Wargames can help you to learn and practice security concepts through games - https://news.ycombinator.com/item?id=29724594 - Dezember 2021, 26 Kommentare
    The Bandit Wargame - https://news.ycombinator.com/item?id=29708304 - Dezember 2021, 1 Kommentar
    OverTheWire: Wargames to learn and practice security concepts - https://news.ycombinator.com/item?id=16252873 - Januar 2018, 23 Kommentare
    Wargames - https://news.ycombinator.com/item?id=9878302 - Juli 2015, 17 Kommentare

  • Ich habe kürzlich ein Graduate-Certificate-Programm in Cybersicherheit abgeschlossen, und ein erheblicher Teil der frühen Praxisübungen bestand schlicht darin, OTW durchzugehen und einige Lektionen abzuschließen
    Es ist ausgezeichnetes Material; hätte ich früher davon gewusst, hätte ich vielleicht nicht so viel Geld für das Programm bezahlt und einfach nur die OTW-Übungen gemacht

    • Aus reiner Neugier: Hast du OTW komplett abgeschlossen?
      Mich würde auch interessieren, wie hilfreich du es für den Kurs fandest
      Schon mit den Bandit-Übungen lerne ich viel, und soweit ich weiß, sind die für Einsteiger gedacht; alles abzuschließen dürfte also ziemlich interessant sein
    • Das zeigt letztlich wohl die Schwäche eines Graduate-Level-Zertifikatsprogramms
      OTW und seine Materialien sind großartig, bewegen sich aber immer noch eher auf Einstiegsniveau
  • Relativ neue Lernmaterialien mit guter Lernkurve:
    https://pwn.college/
    https://dreamhack.io
    https://guyinatuxedo.github.io
    https://www.picoctf.org/

  • Ich war gewissermaßen in der Nähe, als solche Gruppen noch in den Anfängen waren, und es ist wirklich großartig, dass die meisten Kids, die in den 2000ern Seiten wie hackr.org, darkdevelopments.com und ssgroup.org betrieben haben, heute aktiv daran arbeiten, gute Lernumgebungen für andere zu schaffen
    Hackthissite und websec.fr sind ebenfalls hervorragende Materialien, die von Leuten aus derselben Linie erstellt wurden

  • Zumindest nach meinem Maßstab füge ich noch einen absoluten Klassiker hinzu:
    https://www.hackthissite.org/

    • Ich habe früher dort als Entwickler gearbeitet
      HTS war der Auslöser dafür, dass ich mit Informatik angefangen habe
  • Etwas Ähnliches für PowerShell:
    https://underthewire.tech/wargames

  • Ich erinnere mich, dass man nach Abschluss jedes Levels in einer .txt-Datei im Dateisystem seinen Namen und einen Spruch hinterlassen konnte
    Meist war das auf dem Niveau von „Kilroy was here“, aber als Teenager fühlte man sich schon dadurch, dass man sich dort eintrug, wie ein echter 1337-Hacker, und das war ziemlich motivierend
    https://microcorruption.com ist ebenfalls einen Blick wert
    Es erfordert kein Linux-spezifisches Wissen, sondern geht direkt in MSP430-Assembler; als Einstieg in Exploits von Binaries und eingebetteten Systemen ist es klein und ordentlich

  • Zufällig habe ich gerade den verloren geglaubten Quellcode einer Binary-Reverse-Engineering-Aufgabe gefunden, die ich 2010 geschrieben hatte
    Ich empfehle, sie zu kompilieren, ohne vorher hineinzuschauen
    Verwende den Branch „modern“ und befolge die README-Anweisungen zum Patch bomb.c
    https://github.com/RPISEC/csci-4971-bomb

    • Als ich angefangen habe, war das eine wirklich gute Übung
      Danke, dass du sie entworfen hast