Kuzey Kutbu bir iç savaşın eşiğinde. Noel Baba kayıp. Elf ve elf savaşı. Gruplar oluştu ve günü kurtarmak, bir fidye yazılımı saldırısını engellemek ve bu yılın tatil hediyelerinin bir kartopu dağının altına gömülmemesini sağlamak için birçok siber güvenlik sorununu çözmek size kalmış.
Hayır, siber olaylarla dolu bir çocuk hikayesi değil. Tatil Hack Mücadelesi SANS Enstitüsü’nden yeni bir kış eğlencesi sezonu için geri döndü. Her seviyeden oyuncuya açık olan ve gerçek dünyadaki siber güvenlik sorunlarının ele alındığı çevrimiçi rekabet, Noel Baba, elfler ve Noel kargaşası dünyasında geçiyor. Bu yılki yarışma açık ve 3 Ocak 2025’e kadar devam edecek.
Holiday Hack Challenge’ın kurucusu ve SANS Enstitüsü başkanı Ed Skoudis, “Fidye yazılımı analizi, Web uygulaması sızma testi, olay müdahalesi ve olay analizi gibi gerçekten iyi şeyler var” diyor.
Skoudis, şu anda 21. yılında olan Holiday Hack Challenge’ı SANS’ın siber güvenlik topluluğuna hediyesi olarak adlandırıyor. Amaç, dünyadaki herkesin eğlenirken aynı zamanda beceri öğrenebileceği ve ücretsiz olarak erişebileceği bir öğrenme ortamı sağlamanın yanı sıra, insanların birlikte çalıştığı ve birbirini tanıdığı bir topluluk oluşturmaktır. Oyuncuların oyunu tek oturuşta veya sırayla oynaması gerekmez. Yardıma ihtiyacı olan herkes oyundaki elflere sorabilir (Skoudis, elflerin çok rastgele ipucu veren kişiler olduğunu söylüyor) veya diğer oyuncularla sohbet etmek için Discord sunucusuna katılabilir.
Zorlukların çoğu gerçek dünyadaki siber güvenlik olaylarından kaynaklanıyor. Her zorluk, en zoru beş olmak üzere birden beşe kadar kartopu şeklinde zorluk derecesine göre sıralanır. Bu yılın yeniliği, her zorluğun iki şekilde çözülebilmesi: kolay mod ve zor mod. Oyuncular hangi modda olduklarını bilmiyorlar, ancak çözümleri kolay yöntemi seçerse gümüş bir kupa “alacaklar”. Zor yoldan çözmek altın kupayla sonuçlanır. Ve bir mücadeleyi atlamak onlara bronz bir katılım ödülü veriyor. Her mücadele için bronz, gümüş ve altın için belirli sayıda puan atanır ve bunlar daha sonra oyuncunun puanına eklenir. Liderlik tablosunda oyuncu puanları görüntülenir ve grup olarak kaydolan kişilerin kendi özel puan tabloları bulunur.
“Tüm yıl boyunca, herkesin bilmesi ve nasıl araştırılacağını bilmesi, sızma testlerinin nasıl yapılacağını bilmesi gereken yeni saldırı fikirleri arıyoruz ve bu fikirleri bir araya getiriyoruz ve bunları tatil hack’ine koyuyoruz. elimizden gelen en yüksek kalite,” diyor Skoudis.
Bu yılın zorlukları aşağıdaki kategorilere ayrılıyor:
Fidye Yazılımı Tersine Mühendislik
MQTT ve Video Akışı Manipülasyonu ile Web Uygulaması Hackleme
Mobil Uygulama Sızma Testi
Drone Yolu Analizi yoluyla OSINT
cURL ile Web Araştırması
Siber Savunma için PowerShell
Hepsinin En İyisi Ödülü
Kazananlar 16 Ocak 2025’te bir web yayınında duyurulacak. Büyük ödülün sahibi, isteğe bağlı ücretsiz bir SANS kursuna sahip olacak, ancak önceki kazananlardan bazıları kendilerine daha fazlasını bulmuşlardı: tam zamanlı bir iş.
Janusz Jasinski, Holiday Hack Challenge’a ilk olarak 2018’de katıldı ve toplulukta karşılaştığı insanlarla ağ kurduktan sonra 2023’te Counter Hack tarafından kıdemli teknik mühendis olarak işe alındı. Artık bir oyun tasarımcısı olarak bu mücadelenin içinde yer alıyor. Jasinski, oyunu tasarlamanın en büyük zorluğunun çok kolay ama çok da zor olmayan bir şeyin en tatlı noktasını bulmak olduğunu söyledi. Bu yılın mobil uygulama penetrasyon testi yarışmasını tasarladı.
“Bu yılki mücadelem şuydu: [a difficulty level of] Beşte iki ya da üç,” diyor Jasinski. “Bunu yapmak kolaydır [create] çok kolay bir mücadele, çok zor bir mücadeleyi yapmak kolaydır. Ortadakileri yapmak çok zor ve orada doğru miktarda karmaşıklığı elde etmek biraz zorlayıcıydı. Ancak bu yılın ilerleyen dönemlerinde altın ve gümüş, yani kolay ve zor rotalarımız vardı. Yani bunu pişirmek artık ekstra bir zorluk seviyesiydi.”
Ancak işin eğlenceli yanının, gerçek dünyada insanların oynamasını ve mücadelede gerçekten başarılı olmasını sağlamak, ardından çözümlerini Discord veya sosyal medyada paylaşmak olduğunu söylüyor.
Holiday Hack Challenge’a katılmak ve topluluğa katılmak aynı zamanda Kyle Parrish’in perde arkasında bir rol üstlenmesine de yol açtı. Parrish, Holiday Hack Challenge’ı ilk kez 2018’de oynadı ve siber güvenlik kariyerinin başlarında mansiyon ödülünü kazandı.
“Oynadım ve kesinlikle sevdim; zorlukların pratik uygulaması ve saçma sapan video oyunu hissi” diyor. “Çok eğlenceliydi. İşimde tam anlamıyla kullanmaya başlayabildiğim ve genç bir güvenlik mühendisi olarak ilerlememe yardımcı olabilecek birçok araç öğrendim.”
Parrish, rekabetten ve topluluk duygusundan o kadar keyif aldığını, bu nedenle her yıl oynadığını ve 2023’te Discord’da kapıcı olarak gönüllü olarak görev yaptığını, zorluklarda başkalarına yardım ettiğini söylüyor. Ocak 2024’te Counter Hack ekibine kıdemli teknik mühendis olarak katıldı ve artık zorlukların tasarlanmasıyla da ilgileniyor.
Parrish, “En sevdiğim kısım, temel olarak tüm oyunun bir Excel tablosu üzerinden yürütülmesi, bu da aklımı başımdan aldı” diyor. “Ve diğer takım arkadaşlarımızdan bazılarının bu oyun motorunu oluştururken ortaya koyduğu beceriyi görmek… oyuncuların bu zorluklarla etkileşime girebileceği bu sanal dünyada bu ortamları yaratmak. Çok eğlenceli.”
İnsanların bu zorluğu nasıl çözdüklerini görmek de heyecan verici, diye ekliyor.
Parrish, “Birisi bunda bir istismar buldu ve bu zorluğa karşı kök salmayı başardı ki bu muhteşemdi” diyor. “İstediğim bir yola sahip olduğumu görmek gerçekten harikaydı ama sen alternatif bir yol bulabildin ve ayrıcalıklarını artırabildin. Bu da, katılan herkes için daha iyi bir yazı ve daha iyi bir öğrenme deneyimi sağlıyor. “
Her ne kadar kartopu savaşları ve elf casusluğuyla gizlenmiş olsa da, gerçek dünyadaki eğitim ve akran topluluğu oluşturmak, zorluğun asıl amacıdır.
Skoudis, “Oyuncuların gerçek işlerinde kullanabilecekleri siber güvenlik becerilerini geliştirmelerini umuyorum” diyor. “Sonuç bu. Ve aynı zamanda, umarım ilacın azalmasına yardımcı olacak kaşık dolusu tatil şekerimiz vardır, anlıyor musun?”
