CTF com a eFlag

[alynnefs]

Descrição

A eFlag entrou em contato para ver a possibilidade de realizar um Capture The Flag (CTF) na Python Brasil

Ticket no freshdesk

Corpo do e-mail:

Olá pessoal, sou Fernando Guisso da eFlag, comunidade/empresa que organiza treinamentos e eventos sobre segurança da informação e gostariamos de propor uma atividade para o evento chamado CTF.

CTF ou Capture the flag é uma competição de segurança da informação onde o competidor tem desafios relacionados as habilidades da área de segurança, como criptografia, engenharia reversa, exploração de binários, desenvolvimento seguro, entre outras.

A ideia de trazer este evento para dentro da Python Brasil vem pelo momento atual do mercado, que pela urgência das empresas em aderirem a Lei Geral de Proteção de Dados, está cada vez mais em buscas de profissionais de segurança e também desenvolvedores especializados em segurança.

Assim gostaríamos de colaborar, criando um CTF com desafios que utilizem código e bibliotecas Python, para incentivar novos profisonais a pensarem sobre desenvolvimento seguro.

Um pouco sobre a eFlag

Somos uma comunidade/empresa formada por entusiastas de segurança da informação que viram a oportunidade de transformar o trabalho voluntário de evangelizar a segurança em um produto para apoiar os membros e outras comunidades financeiramente.

Antes da eFlag se formar, os membros já desenvolviam voluntariamente CTFs para ensinar segurançada informação para novas pessoas em eventos como Campus Party, CryptoRave, RoadSec, BSides, Virada Tech e universidades USP São Carlos, UFSCar, FATEC, Unisinos entre outras.

Atualmente nosso foco é oferecer o que fazíamos voluntariamente como um produto para empresas patrocinarem o evento e com o dinheiro conseguimos direcionar aos membros que precisam de ajuda e também para montar um fundo de apoio para outras comunidades.

Já organizamos três CTFs neste modelo que foram:

ITAIPU/Latinoware 2020, que envolveu prêmios de R$X para os participantes. Total de 300 participantes, 10 desafios e 48 horas totais.

ClearSale/CampusParty 2021, total de prêmios R$X. Total de 200 participantes e desafios utilizando s stack de dedenvolvimento da ClearSale.

Dumont Fest, evento de comunidade que patrocinamos com o caixa levantado nos eventos anteriores e mantemos o ambiente da plataforma CTF em nossos custos.

Obs: em anexo algumas fotos da plataforma em nestes eventos e uma apresentação comercial que geralmente usamos para clientes.

Nossa proposta para Python Brasil

Organizar e promover um CTF entre 6 a 10 desafios, todos relacionados a códigos e bibliotecas python. No estilo Jeopardy, onde liberamos todos os desafios e os competidores escolhem por qual começar, ganha quem resolver mais desafios em menos tempo dentro das 24 ou 48 horas. A eFlag, além de confeccionar os desafios e gerenciar evento também disponibilizaria a plataforma de inscrição, submissão de respotas e scoreboard. Também forneceriamos R$1000,00 no total de prêmios para os participantes.

Estou a disposição caso algum ponto não tenha ficado claro, espero que nossa parceria de certo e desde já, agradeço a atenção.

Obs: tirei os valores por não saber se tinha problema divulgar

[jsbueno]

Tem um link deles explicando o que é e como organizam?

[alynnefs]

@jsbueno, atualizei a descrição com o e-mail que enviaram (:

[alynnefs]

resposta deles de ontem:

"Boa tarde Alynne,

obrigado pelo retorno primeiramente, sobre contrapartida vou deixar listado alguns pontos:

• O principal seria apoio na divulgação da atividade para atingir mais competidores.
• Nossa logo como apoio do evento.
• Apoio na personalização da nossa plataforma para ficar com a identidade visual do evento de vocês. Temos um designer que faz isso pra gente, mas sempre precisamos de uma ajuda, seja apenas para direcionar sobre cores e padrões da marca ou caso queiram participar de uma forma maior, podemos apenas especificar as artes que precisamos. No email anterior vocês podem ver no anexo mais o menos o que usamos para personalizar a nossa plataforma.

Geralmente trabalhamos com um prêmio minimo de R$1.000,00 divido entre os 3 primeiros os os 5 primeiros colocados. Podemos entrar com esse valor, porém se for possivel e tiverem interesse, podem aumentar o valor da premiação conforme acharem melhor ou incluindo patrocinadores.

Fico disponivel caso tenham mais duvidas ou queiram marcar uma call."

Eu particularmente acho uma boa tanto pra nós quanto pra eles. @anadulce, você é mais próxima de CTF, o que acha?

[cecivieira]

Seria massa solicitar uma reunião para entender como funciona e quais as plataformas serão utilizadas. (resumo da conversa durante a reunião de ontem)

[alynnefs]

Pedi algumas opções de horário e informo @anadulce e @cecivieira quando responderem. Só falei em "call", esqueci de citar "apresentação", como sugerido na ata da última reunião

[alynnefs]

"Olá Alynne!

Não sendo segunda feira, qualquer outro dia no periodo da tarde ou da noite, estou disponivel."

@anadulce e @cecivieira qual o melhor dia pra vocês? Não posso quinta de noite, mas se for o único momento que podem, tá tudo bem

[cecivieira]

@alynnefs @anadulce fica bom pra mim na terça a noite.

[anadulce]

@alynnefs e @cecivieira qualquer dia para mim tá ótimo!

[alynnefs]

Eu vi as respostas e esqueci de marcar :( terça 19h? @anadulce @cecivieira

[cecivieira]

Confirmado Fica bom pra mim

[alynnefs]

A eFlag já participou outros eventos, incluindo roadsec (como CTF-BR) e campus party. Costuma levar atividades de CTF para iniciantes nos eventos em que participa, ou fazer contratos com empresas para realizar CTFs para um público específico;

Duração normal de 24 ou 48 horas, mas é flexível e pode ser realizada em menos tempo; Possuem plataforma própria para submissão dos resultados e score e um ambiente onde os desafios estão hospedados (GCP); Não detém mecanismos de comunicação, pois a plataforma de submissão e o ambiente dos desafios não possuem estes recursos. Usualmente utilizam um discord próprio, mas estão abertos a utilizarem o do evento sem nenhum problema. As competições são em times, por isso comunicação é necessária; As pessoas participantes submetem o resultado e contabilizam a pontuação para seu time; Tem pessoas da e-flag disponíveis no dia para assegurar que os ambientes dos desafios estejam em funcionamento (ex. brute force executado por participantes pode derrubar um sistema); Gostariam de realizar uma competição temática, com desafios que utilizassem a linguagem Python; A competição seria voltada para pessoas mais iniciantes. Não é a intenção que profissionais compareçam, e sim divulgar a modalidade;

Responsabilidades da Organização da Python Brasil: Promover um ambiente no discord onde o pessoal da e-flag possa interagir e incentivar a participação (chamadas dos bots, por exemplo); Criar canal do CTF para que as pessoas participantes possam conversar, e serem orientados; Divulgar a competição nas redes sociais e durante o evento; Definir a data, horário e duração da competição. Não necessariamente precisa ser no fim de semana. Colocar o score no discord (ver com o time de automações se é possível e se há mais alguma coisa que possamos fazer); Verificar se é possível a integração com a plataforma deles no Discord para inscrição dos times (não é mandatório); Divulgar entre o time de organização a iniciativa e procurar pessoas dispostas a ajudarem a criar os desafios temáticos em Python (ex: uma aplicação em flask com vulnerabilidade de SQL injection); Encaixar flags no meio das palestras para incentivar tanto a participação das pessoas de segurança no evento, quanto das pessoas do evento na competição; Discutir a possibilidade de colaborar financeiramente na premiação; Algum manual explicando como funciona um CTF? Melhores práticas? Metologias mais comuns? (sei que Ganesh e POMBO tem cursos, então alguém deve ter material sim); Divulgação em Palestras Relâmpagos -> problema: onera o time da e-flag, porque sempre vai ter que ter alguém para apresentar, mas é bem legal; Realizar as inscrições pelo eventbrite junto com os tutoriais (precisa só de login e senha, a pessoa se cadastra na plataforma); Alternativa; abrir inscrições durante o evento, avisando para se inscrever no link; Colocar integrantes da e-flag no discord, para que possamos continuar alinhando a realização da competição; Identidade visual: Fernando vai passar lista do material necessário:

• banner;
• badge e-flag + PyBR;
• cores da PyBR para atualizar o css; Os próprios participantes tem o costume de divulgarem suas metodologias de resolução dos problemas; Criar uma role de CTF no discord; Ambiente em espanhol: não tem suporte atualmente, talvez seja possível colocar lado a lado português e espanhol. Precisam de tradutores para os textos, e já tiveram uma experiência com públicos latinos no Latinoware;