Tuesday, November 11, 2008

Palcomtech Hacking Seminar and Game (CTF)

Minggu kemarin (9), kami dari echo yang diwakili saya pribadi, k-159, dan az001 mendapat kesempatan untuk mengisi acara seminar dan hacking game di STMIK Palcomtech, Palembang. Terdapat 3 sesi seminar yang di diskusikan pada acara tersebut, dengan bermaterikan web hacking, bedah buku tulisan saya serta materi bypassing limited access at network.

Ini adalah event lainnya dimana echo diundang untuk bekerjasama dengan sebuah universitas, dimana kami akhirnya tetap dapat melanjutkan "misi berbagi dan belajar bersama" kami. Biaya yang relatif terjangkau dan tujuan mulia dari penyelenggara-lah yang akhirnya membuat seminar yang di hadiri oleh lebih kurang 150 orang ini berjalan dengan sangat lancar.

CTF write up

Kebetulan, kami bertiga juga sekaligus mendapatkan kehormatan mewakili echo untuk menjadi Capture The Flag Organizer untuk event CTF di palcomtech tahun ini. Kami telah menetapkan sebuah skenario game yang awalnya akan mengijinkan para peserta terlibat dalam serang menyerang mesin/komputer mereka dan berebut (capture the flag) untuk menguasai misi yang diberikan.

Karena satu dan lain hal maka skenario tersbeut tidak dapat terlaksana, dan peserta hanya mendapat nilai dengan melewati tiap misi yang di tentukan. Game kali ini terdiri dari 4 level, di mulai dari level 0 dan diakhiri dengan level 3, sedikit banyak kami terinspirasi dari berbagai CTF hacking game yang telah dikenal pada event internasional seperti BCS, defcon, dan HITB.

level 0 adalah dasar reverse engineering, dimana setiap peserta mendapatkan sebuah file binary (windows version, unix version) dan apabila berhasil menebak kata kunci maka akan mendapatkan petunjuk untuk lanjut ke level berikutnya (1) (tentu saja anda harus mencari cara untuk mem-bypassnya atau minimal tanpa perlu memasukkan angka kunci), dan level ini memang sangatlah relatif mudah, tetapi ternyata cukup memakan waktu bagi peserta untuk memecahkannya (lebih kurang 30 menit);

level 1 akan menguji kemampuan jaringan anda, dan betul saja, level ini juga tidak relatif sulit. Peserta hanya di uji kemampuannya dalam menganalisa paket jaringan untuk mendapatkan petunjuk ke level ke 2.

Di level ke-2 peserta akan menemukan tantangan web hacking, pada level ini peserta harus dapat masuk ke database dari situs yang di jadikan target, sebuah celah "blind sql injection" telah disiapkan disini, dan memang butuh kesabaran, ketelitian dan kejelian di level ini, dan level ini relatif sulit untuk di taklukkan (bahkan ketika diminta menyebutkan variabel yang diduga vulnerable). Terbukti sampai habis waktu yang di berikan, tidak satupun peserta yang berhasil melewati level ini atau menemukan celahnya. Level 3 atau terakhir seharusnya adalah celah local exploit, disini di tuntut kejelian yang lebih dari peserta.

Secara keseluruhan, ini merupakan permainan yang menarik, setiap peserta merasa tertantang. Kebebasan yang kami berikan dalam mempergunakan tools dsb, tak jarang membuat tools semacam "brutus", arp attack, bahkan "un-harmed DOS" mampir ke 4 buah server yang disiapkan.

Yang cukup menarik adalah kemunculan beberapa orang anak smu dan salah satunya berhasil merebut juara ke-2. Hampir seluruh peserta berhasil menyelesaikan level 0 dan level 1, meskipun tidak ada yang berhasil menyabet hadiah utama (laptop) tetapi jalannya lomba yang diikuti kurang lebih oleh 20 orang peserta ini cukup seru.

Terakhir, ini memang merupakan sebuah event yang melelahkan :), terutama bagi kami (echo) yang baru kali ini secara penuh dipercaya menjadi CTF overlord :D, tetapi dibalik itu event ini sangatlah membahagiakan, berbagi dan belajar bersama apalagi sambil bermain sangatlah menghibur, Terima kasih buat seluruh panita yang membuat acara ini terlaksana dengan sempurna. :)

See ya all @ the next event :)

13 comments:

  1. siapa yah penyelenggaranya *pura-pura ga tau.
    ini bakal jadi event tahunan loh...

    ReplyDelete
  2. Ohh...ternyata Ini Toh Skernarionya....

    ReplyDelete
  3. @Ranny: siapa yah :P, wah bagus dunk yah...

    @ibunk: Ohh.. iya, cuma begitu sahaja :)

    ReplyDelete
  4. ada yang lupa ne... mar
    baju echonya kok ngak ditinggalin satu..
    hee.e.e.. :)

    ReplyDelete
  5. l471f : kalo di tinggal, gw pulangnya pake apaan dunk ? :P, itu satu satunya kaos yang gw bawa (1nya lagi dah kotor)... hehehe

    ReplyDelete
  6. Kok sekarang clog-nya ammar feed/RSS nya kok nggak full artikel ya??
    kan enak kalo full artikl, bisa dibaca ofline pake newsfox...
    dibuat full dong ya???

    ReplyDelete
  7. xzod: yupe, feednya dibuat "short" dengan dua alasan,
    1.umumnya feed hanya untuk menginfokan, dan sayang bagi mereka yang tidak tertarik baca artikel tetapi harus di bebankan b/w dari gambar dsb.
    2. kalo feed yang dibaca, situs saya gak di kunjungin dunk, trus percuma di desain bagus bagus... jiakakakkaa

    ReplyDelete
  8. wah..

    palembang..

    klo ke kota ku lagi..

    bilang2 yah mas..

    biar kita ciuman*

    mwah..

    hahah!

    ReplyDelete
  9. iyah mar..sangat melelahkan.terutama habis tanda tangan ratusan kaos hahaha ...

    ReplyDelete
  10. K-159: wow.. yang seleb :P :lol:, siapin fisik buat di yogya :P

    ReplyDelete
  11. walah...
    ternyata oleh-olehnya beneran postingan di blog mas...
    hik...hiks...

    ReplyDelete
  12. sial udah lama bnr neh ,padahal gw pengen ikutan mas

    ReplyDelete