4 पॉइंट द्वारा GN⁺ 2023-08-28 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • OverTheWire के Wargames सुरक्षा concepts को गेम की तरह हल करते हुए Unix/Linux, web security, cryptography और reverse engineering का अभ्यास करने की सीखने की जगह हैं
  • शुरुआत में Bandit से fundamentals सीखने के बाद, अपनी रुचि के अनुसार Natas, Krypton, Leviathan में से कोई क्षेत्र चुनकर आगे बढ़ सकते हैं
  • इसके बाद Narnia, Behemoth, Utumno, Maze पर जाते हुए binary exploits और reverse engineering की कठिनाई बढ़ती है
  • हर wargame का विस्तृत विवरण और access जानकारी बाईं ओर के menu में मौजूद अलग-अलग game pages पर देखनी होगी
  • Shell-based games अलग-अलग SSH ports का उपयोग करते हैं, इसलिए connect करने से पहले संबंधित game page की guidance देखना जरूरी है

गेम के जरिए security learning

  • OverTheWire community सुरक्षा concepts का सीधे अभ्यास करने के लिए wargames चलाती है
  • किसी खास wargame के detailed rules और जानकारी बाईं ओर के menu से जुड़े संबंधित game page पर देखी जा सकती है
  • समस्याएं, सवाल या सुझाव हों तो chat में शामिल हो सकते हैं

सुझाया गया क्रम और access तरीका

  • शुरुआत Bandit से होती है, जो Unix/Linux basics को cover करने वाला introductory game है
  • fundamentals सीखने के बाद, रुचि के क्षेत्र के अनुसार नीचे दिए गए games में से किसी एक पर आगे बढ़ सकते हैं
    • Natas: web security
    • Krypton: cryptography
    • Leviathan: reverse engineering
  • अगले चरण में binary exploits और reverse engineering पर केंद्रित games के साथ difficulty बढ़ती है
    • Narnia: binary exploits का introduction और reverse engineering
    • Behemoth, Utumno, Maze: binary exploits और reverse engineering
  • Shell-based games अलग-अलग SSH ports का उपयोग करते हैं
    • SSH access का तरीका हर game page के ऊपर बाईं ओर बताया गया है

1 टिप्पणियां

 
GN⁺ 2023-08-28
Hacker News की राय
  • साथ में देखने लायक संसाधन:
    https://linuxsurvival.com/
    https://old.reddit.com/r/linuxupskillchallenge/
    https://github.com/learnbyexample/TUI-apps — यह मेरे बनाए संसाधन हैं, जिनमें grep, sed, awk आदि की interactive practice मिलती है

  • OTW की बात करते हुए smash the stack को छोड़ा नहीं जा सकता
    ऐसी communities की सबसे अच्छी चीज़ उनके साथ मौजूद IRC channels थे, लेकिन अब उनमें से ज़्यादातर dead हैं
    Jduck, spender जैसे जाने-माने लोग थे, और अगर आप rough माहौल झेल सकते थे, तो best लोगों से सीख सकते थे
    अब वह scene कुछ zombie state जैसा है, और games आम तौर पर updated हैं, लेकिन पहले जैसी रौनक नहीं रही

    • “अगर आप rough माहौल झेल सकते थे, तो best लोगों से सीख सकते थे” से क्या मतलब है, यह जानने की जिज्ञासा है
      अंदाज़ा है कि आम rough language या elitism रहा होगा, लेकिन पक्का नहीं जानता
    • सोच रहा हूँ कि इसी field में ऐसी ही spirit और vibe वाली कोई modern community है या नहीं
    • steganography tasks तक पहुँचने से पहले तक मज़ा आया था
      आज भी CTF में steganography से बचता हूँ
  • संबंधित पोस्ट:
    Wargames can help you to learn and practice security concepts through games - https://news.ycombinator.com/item?id=29724594 - दिसंबर 2021, 26 comments
    The Bandit Wargame - https://news.ycombinator.com/item?id=29708304 - दिसंबर 2021, 1 comment
    OverTheWire: Wargames to learn and practice security concepts - https://news.ycombinator.com/item?id=16252873 - जनवरी 2018, 23 comments
    Wargames - https://news.ycombinator.com/item?id=9878302 - जुलाई 2015, 17 comments

  • हाल ही में मैंने cybersecurity graduate certificate program पूरा किया, और practicals के शुरुआती हिस्से का काफ़ी भाग बस OTW follow करके कुछ lessons पूरा करने जैसा था
    यह शानदार resource है, और अगर पहले पता होता तो शायद course पर इतना पैसा खर्च न करता और सिर्फ़ OTW practice ही करता

    • बस curiosity से पूछ रहा हूँ, क्या आपने पूरा OTW complete किया था?
      यह भी जानना चाहूँगा कि course में यह कितना मददगार लगा
      मैं सिर्फ़ Bandit exercises से ही काफ़ी कुछ सीख रहा हूँ, जबकि समझता हूँ कि यह beginners के लिए है, इसलिए सब पूरा करना काफ़ी interesting होगा
    • मुझे लगता है कि यह आखिरकार graduate-level certificate programs की कमजोरी दिखाता है
      OTW और उसके resources बेहतरीन हैं, लेकिन फिर भी वे entry level के क़रीब हैं
  • अच्छी learning curve वाले कुछ अपेक्षाकृत नए educational resources:
    https://pwn.college/
    https://dreamhack.io
    https://guyinatuxedo.github.io
    https://www.picoctf.org/

  • जब ऐसे groups शुरुआती दौर में थे, मैं उनके आसपास कुछ हद तक था; 2000s में hackr.org, darkdevelopments.com, ssgroup.org जैसी जगहें चलाने वाले ज़्यादातर बच्चे अब दूसरों के सीखने के लिए अच्छा माहौल बनाने में सक्रिय हैं, यह सच में कमाल है
    Hackthissite और websec.fr भी उसी lineage के लोगों द्वारा बनाए गए शानदार resources हैं

  • कम-से-कम मेरे हिसाब से, एक absolute classic भी जोड़ता हूँ:
    https://www.hackthissite.org/

    • पहले वहाँ developer के रूप में काम किया था
      HTS ही वह वजह था जिससे मैंने computer science शुरू की
  • PowerShell के लिए ऐसा ही कुछ:
    https://underthewire.tech/wargames

  • याद है कि हर level complete करने के बाद filesystem में मौजूद .txt file में अपना नाम और एक छोटा comment छोड़ सकते थे
    अक्सर वह “Kilroy was here” जैसे level का होता था, लेकिन एक teenager के लिए उसमें अपना नाम जोड़ना ही खुद को बहुत बड़ा 1337 hacker महसूस कराने के लिए काफी था, इसलिए इससे motivation भी खूब मिलता था
    https://microcorruption.com भी देखने लायक है
    Linux-specific knowledge की ज़रूरत नहीं है और सीधे MSP430 assembly में जाता है; binary और embedded systems exploitation की शुरुआत के लिए छोटा और अच्छा है

  • संयोग से, 2010 में बनाए गए binary reverse engineering assignment का खोया हुआ source अभी-अभी मिला
    पहले अंदर झाँकने के बजाय compile करके देखने की सलाह दूँगा
    “modern” branch इस्तेमाल करें, और bomb.c patch के लिए README instructions follow करें
    https://github.com/RPISEC/csci-4971-bomb

    • शुरुआत करते समय यह सच में बहुत अच्छी exercise थी
      इसे design करने के लिए धन्यवाद