Sunday, October 20, 2013

Oleh-oleh CTF HITB 2013


Berikut ini sedikit oleh-oleh dari keikutsertaan tim Rentjong kemarin di CTF HITB2013 di Kuala Lumpur kemarin yang berlangsung selama 2 hari (16,17 Oktober). Dan sebelum panjang lebar, sepertinya kami adalah tim satu-satunya yang baru pertama kali ikut CTF yang di selenggarakan HITB ini atau jenis ctf sejenis berskala internasional, sedangkan tim lain kemungkinan besar sudah lebih dari 1 kali mengikuti permainan yang di selenggarakan pada event konferensi Hack In the box baik yang di laksanakan di Malaysia, Belanda atau Dubai atau mengikuti event lainnya.

Pada Lomba kali ini Tim Rentjong(Alhamdulillah) berhasil berada di tempat ke-3 setelah kami secara taktis meluncurkan nuklir ke tim dari Belanda yang saat itu berada di posisi ke-3 dengan selisih 200 poin dengan kami yang saat itu di posisi ke-4, dan setelah kami meluncurkan nuklir maka nilai mereka (HP) berkurang secara drastis 500 poin dan mereka terlempar ke posisi 6 di 2 menit terakhir permainan.

Selama 2 hari tersebut terdapat 4 challenge yang berupa daemon, 3 challenge dan 3 bonus challenge. Pada hari pertama challenge yang diaktifkan adalah 3 daemon dan 1 challenge, dan sisanya diaktifkan di hari kedua bahkan beberapa mendekati habisnya waktu ctf. Challenge-challenge tersebut diantaranya adalah exploitation, reversing, forensic, dan cryptography.

Adapun jalannya pertandingan di hari pertama, tim rentjong memulainya dengan baik, khususnya melakukan defence dan memastikan seluruh daemon berjalan dengan baik untuk mendapatkan HP dan cash, sampai akhir hari pertama tim rentjong berada di posisi ke-2. Hari pertama kami dihabiskan dengan berupaya menyelesaikan 3 daemon yang ada dengan membagi tiap daemon ke tiap member tim rentjong, tetapi saat dihotel kami fokuskan ke daemon 1 sampai berhasil membuat exploitnya, walau exploit yang berhasil di buat tidak memungkinkan untuk mendapatkan flag, dan sepertinya memang tidak bisa karena diputuskan di ganti oleh panitia di hari ke-2 :|.

Dihari kedua, saat mulai banyak challenge (tambahan daemon, challenge, bonus challenge) dikeluarkan maka pembagian tugas menjadi mulai sedikit tidak sesuai harapan, mungkin juga dikarenakan ini baru pertama bagi tim rentjong, sehingga kami sedikit keteteran dengan pembagian tugas untuk attack dan defence.

Tetapi saat bonus-challenge 3 di keluarkan, dalam waktu yang tidak cukup lama tim rentjong berhasil menyelesaikannya dan mendapatkan 1 senjata nuklir, penggunaan nuklir tidak akan menambah HP atau cash, tetapi akan mengurangi poin sebanyak 500 ke tim (negara) yang menjadi target, serta tim/negara tersebut membutuhkan waktu dan cash untuk memperbaikinya.

Saat 1 jam tersisa posisi kami adalah di posisi 4 dan hampir seluruh point yang kami miliki didapatkan dari nilai defence, walau beberapa challenge partially kami dapatkan tetapi belum menghasilkan flag yang benar. Saat itulah kami memutuskan untuk mempergunakan nuklir ke tim dari belanda yang saat itu berada di posisi 3 yang memiliki selisih 200 poin diakhir-akhir waktu, tepatnya 3 menit menjelang berakhirnya waktu CTF, dan itulah yang membuat posisi kami naik ke urutan 3.

Ini adalah pengalaman berharga buat tim Rentjong di kali pertama mengikuti offline CTF dengan format attack-defence serta skenario. Dan selebihnya ini adalah permainan yang menyenangkan, selamat buat crew CTF HITB yang membuat permainan hacking menjadi sangat menarik, dan nantikan tim Rentjong di event selanjutnya :)

Adapun beberapa hal yang membuat kami kurang maksimal khususnya dalam "attack" diantaranya adalah:

1. Kami masih belum paham benar konsep dari permainan secara pasti, seperti contohnya saat kami mengira setelah mendapatkan kode nuklir dengan menyelesaikan bonus challenge, maka tim selanjutnya tidak akan mendapatkan lagi nuklir tersebut, atau dengan senjata firepower tidak mengurangi HP dan cash.
2. Kami tidak mengetahui pasti (sampai kami mencobanya) apabila nuklir diluncurkan ke negara yang juga memiliki nuklir akan menjadi tidak aktif dan tidak dapat mempergunakan nuklir yang dimilikinya (terkait permanen atau sementara hal ini belum bisa kami buktikan)
3. Hari pertama sampai pagi esok harinya (karena dilanjutkan di hotel) kami masih fokus mengerjakan daemon1 (gov-center) dan pada akhirnya berhasil membuatkan exploitnya, walau kami mengetahui bahwa mustahil untuk menyuntikkan payload yang bermanfaat karena jumlah byte (space) tersedia yang amat sangat terbatas (12 bytes setelah dikurangi alamat RET-libc), dan ternyata saat dimulai hari kedua daemon ini secara meyakinkan di ganti oleh panitia :|
4. Terdapat beberapa challenge/bonus-challenge yang di ganti file/binary-nya setelah di sebarkan beberapa saat sebelumnya :|
5. Tidak ada tim dari Indonesia lainnya yang juga berkompetisi, sementara vietnam yang menjadi juara 1 dan 2 adalah pemain lama dan juga pasti bekerjasama baik langsung dan tidak langsung :), bahkan antar tim lain beda negara bisa terjadi aliansi, dan hal ini sepenuhnya belum kami pahami diawal CTF.

Terakhir, selamat buat Tim Rentjong (Rizki Wicaksono, Arif Dewantoro) dan semoga kita bisa ikut kembali di event sejenis ;)


6 comments:

  1. Fotonya kurang jelas Mar. Selamat!

    ReplyDelete
  2. Keren euy !! Congrats deh pak ammar :D

    ReplyDelete
  3. @Muhammad A. Fatahna: tks
    @za: Itu juga dikirimin Sheran, doi videokan dari jauh
    @ibo: Tengkyu, mudah2an bisa makin baik.

    ReplyDelete
  4. @bryan: nah kalo itu credit ke agan rizki dan dewae, karena mereka berdua yang pilih target dan waktu ngeluncurin nuke, sementara gw sudah ga di meja lagi karena dah jalan2 dan liat2 layar scoring :)

    ReplyDelete
  5. Wah kompetisi yg seru nih mas..
    Kalau ada videonya pasti keren, nontonnya bisa kaya nonton lomba robot, kompetisi rubik dll.

    ReplyDelete