4 ポイント 投稿者 GN⁺ 2023-08-28 | 1件のコメント | WhatsAppで共有
  • OverTheWireの Wargames は、セキュリティの概念をゲームのように解きながら、Unix/Linux、Webセキュリティ、暗号学、リバースエンジニアリングを練習できる学習の場
  • 最初は Bandit で基礎を身につけ、その後は Natas、Krypton、Leviathan の中から興味のある分野を選んで進められる
  • その後は Narnia、Behemoth、Utumno、Maze へ進み、バイナリエクスプロイト とリバースエンジニアリングの難度が高くなる
  • 各ワーゲームの詳細説明と接続情報は、左側メニューの 各ゲームページ で確認する必要がある
  • シェルベースのゲームはそれぞれ異なる SSHポート を使用するため、接続前に該当ゲームページの案内を確認することが重要

ゲームで学ぶセキュリティ学習

  • OverTheWireコミュニティは、セキュリティの概念を実際に練習できる ワーゲーム を運営している
  • 特定のワーゲームの詳しいルールと情報は、左側メニューからリンクされている該当ゲームページで確認できる
  • 問題、質問、提案があれば チャット に参加できる

推奨される進め方と接続方法

  • 開始地点は Bandit で、Unix/Linux の基礎を扱う入門用ゲーム
  • 基礎を身につけた後は、関心分野に応じて次のゲームのいずれかへ進める
    • Natas: Webセキュリティ
    • Krypton: 暗号学
    • Leviathan: リバースエンジニアリング
  • 次の段階では、バイナリエクスプロイトとリバースエンジニアリングを中心としたゲームへ進み、難度が上がる
    • Narnia: バイナリエクスプロイト入門とリバースエンジニアリング
    • Behemoth, Utumno, Maze: バイナリエクスプロイトとリバースエンジニアリング
  • シェルベースのゲームはそれぞれ異なる SSHポート を使用する
    • SSHでの接続方法は、各ゲームページの左上に案内されている

1件のコメント

 
GN⁺ 2023-08-28
Hacker Newsの意見
  • あわせて見るとよい資料:
    https://linuxsurvival.com/
    https://old.reddit.com/r/linuxupskillchallenge/
    https://github.com/learnbyexample/TUI-apps — 私が作った資料で、grep、sed、awk などの対話型練習を提供しています

  • OTWを語るなら、smash the stackは外せません
    こうしたコミュニティの一番よかった部分は併設されていた IRC チャンネルでしたが、今ではほとんど死んだ状態です
    Jduck や spender のような有名な人たちがいて、荒っぽい雰囲気に耐えられるなら最高の人たちから学べました
    今のその界隈はゾンビ状態に近く、ゲーム自体はおおむね最新化されていますが、活気は昔ほどではありません

    • 「荒っぽい雰囲気に耐えられるなら最高の人たちから学べた」とはどういう意味なのか気になります
      よくある乱暴な言葉遣いやエリート主義があったのだろうとは想像しますが、よく分かりません
    • 同じ分野で、似たような精神と雰囲気を持つ現代のコミュニティがあるのか気になります
    • ステガノグラフィの課題にたどり着くまでは楽しかったです
      今でも CTF ではステガノグラフィを避けています
  • 関連記事:
    Wargames can help you to learn and practice security concepts through games - https://news.ycombinator.com/item?id=29724594 - 2021年12月、コメント26件
    The Bandit Wargame - https://news.ycombinator.com/item?id=29708304 - 2021年12月、コメント1件
    OverTheWire: Wargames to learn and practice security concepts - https://news.ycombinator.com/item?id=16252873 - 2018年1月、コメント23件
    Wargames - https://news.ycombinator.com/item?id=9878302 - 2015年7月、コメント17件

  • 最近、サイバーセキュリティの大学院修了課程を終えたのですが、実習の序盤のかなりの部分は、単に OTW をたどっていくつかのレッスンを完了するものでした
    素晴らしい資料ですし、事前に知っていれば、その課程にあれほど多くのお金を払わずにOTW の練習だけをやっていたかもしれません

    • 純粋な好奇心ですが、OTW を全部完了したのか気になります
      その課程でどれくらい役に立ったと感じたのかも気になります
      Bandit の練習だけでもすでにかなり学べているのですが、これは入門者向けだと理解しているので、全部終えたらかなり面白そうです
    • それは結局、大学院レベルの修了課程の弱点を示しているように思います
      OTW とその資料は素晴らしいですが、それでもまだ入門レベルに近いです
  • 学習曲線がよい、比較的新しい教材:
    https://pwn.college/
    https://dreamhack.io
    https://guyinatuxedo.github.io
    https://www.picoctf.org/

  • こうしたグループが初期だったころ、私はある程度その周辺にいましたが、hackr.org、darkdevelopments.com、ssgroup.org のような場所を2000年代に運営していた子たちの多くが、今ではほかの人たちが学びやすい環境を作ろうと積極的に動いているのは本当に素晴らしいです
    Hackthissitewebsec.fr も、同じ系譜の人たちが作った優れた資料です

  • 少なくとも私の基準では、絶対的な古典も追加します:
    https://www.hackthissite.org/

    • 以前そこで開発者として働いていました
      HTS が、私がコンピュータサイエンスを始めるきっかけでした
  • PowerShell 向けの似たもの:
    https://underthewire.tech/wargames

  • 各レベルを完了したあと、ファイルシステム内の .txt ファイルに名前と一言を残せたのを覚えています
    たいていは “Kilroy was here” みたいな程度でしたが、10代にとっては、そこに自分を加えるだけでとても 1337 ハッカーになった気分になれて、かなりモチベーションになりました
    https://microcorruption.com も見る価値があります
    Linux 固有の知識は不要で、すぐにMSP430 アセンブリに入り、バイナリと組み込みシステムのエクスプロイト入門として小さくてよくできています

  • 偶然、2010年に作成したバイナリリバースエンジニアリング課題の失われたソースをたった今見つけました
    先に中身をのぞかず、コンパイルしてみることをおすすめします
    “modern” ブランチを使い、bomb.c パッチに関する README の指示に従えば大丈夫です
    https://github.com/RPISEC/csci-4971-bomb

    • 初めて取り組むときに本当に良い練習でした
      設計してくれてありがとう