Salut, je tiens a préciser avant de commencer que je souhaite démarrer une conversation honnete, sans buts cachés.
Je me pose la question de l'utilité des challenges en général, pas uniquement sur hackbbs mais sur tout les autres sites existants fr/en/de et tout le monde les connait, pas besoin de les citer.
Est ce qu'ils sont (les challenges) éducatifs ? est ce qu'ils collent avec la réalité ?
Pour les épreuves de hacking/cracking cela reste encore réel, bien que l'on rencontre trop de xss, sql au lieu d'exploitation de programme "binaire" réellement (dans le cas du hacking), je veux bien croire que pour ces catégories on apprend quelque chose, ok, il n'y a pas grand chose à dire.
Ensuite vient les épreuves de programmation, il s'agit la plupart du temps d'un algo bien connu (tour de hanoi, parcours de graphes ou je ne sais quoi) à implémenter. Et donc la résolution du challenge se fait la plupart du temps en "pissant du code". Et ne dites pas qu'on n'est pas obligé de regarder les algos existants, si bien sur, on va pas réinventer la roue pour résoudre un challenge ... Bon à la limite certains challenges sont bien fait et mette en place un problème pas/peu connu à résoudre, d'accord ca dépend du challenge, ok.
Bon maintenant passons aux challenges qui fachent réellement :
Le plus frappant pour moi étant les épreuves de crypto, quel interet de trouver le clair du chiffré suivant : "abgt mlop ifop ... lkfo" par exemple sans mentionner l'algo utilisé ! Ca va a l'encontre ils me semble des principes de la crypto (le hacker connait l'algo utilisé)
Disons que les cryptages utilisés dans les challenges sont très anciens (césar, egypte, vigénère bla bla bla) et on trouve peu de cryptos "moderne" dans les challenges (variantes de rsa, variantes de DES ...), a quoi cela est du ?
Bref pour moi il n'y a aucun interets, non seulement car ces crypto ne sont plus utilisés désormais et de plus car la méthode de résolution, même s'il y a des techniques des algos de résolutions existants ca reste quand meme tiré par les cheveux (en clair c'est plus un puzzle qu'autre chose)
Donc pour moi la crypto/stega ceux sont des puzzles et en aucun cas on devrait appeler ca (pour 3/4 des challenges) des épreuves de crypto, non ?
Terminons par la plus absurde, les épreuves de logique, pour moi, encore une fois c'est ma vision. Il existe des suites, plus généralement des objets mathématiques remarquables, quel est l'interet de les connaitre ? je parle bien sur des challenges du style, quel est le prochain terme de cette suite : "ab d de e ...".
Je suis d'accord pour dire qu'il y a du travail pour résoudre ces épreuves, mais quel est le lien avec le hack/crack/crypto, developper sa logique ? developper ses connaissances ? non sincérement, je vais sur amazon, j'achete tout les livres de "puzzles" :
http://www.amazon.com/s/ref=nb_ss?url=search-alias%3Daps&field-keywords=math+puzzles&x=8&y=23
et je les apprend tous par coeur ? A la limite si les épreuves de logiques étaient fait de telle manière que le prochain nombre de la suite à trouver par exemple nous serve à quelque chose réllement dans une prochaine étape du challenge, ok, mais la ?
Bref vous aurez compris le fond de ma pensée :
si je veux résoudre un puzzle, j'achète un puzzle, je vais pas sur un site de "hack".
Ce que je veux dire, c'est que bien que les challenges de hackbbs et autres sont réussits (puisqu'ils me font réflechir, me passent le temps ect c'est le but d'un challenge), je reste quand meme largement sur ma faim. J'ai résolu une grande partie des épreuves de crypto d'un autre site de challenges, pourtant aujourd'hui je suis tombé sur la page wikipedia de DES et RSA et j'ai rien compris. Ce que j'ai fait avant dans les challs et ce que je lis pour le DES ou RSA pour moi c'est deux choses différents
Et encore je pourrais parler des épreuves de javascript, qui penserait à faire des protections javascript de ce style a part les auteurs des challenges ? En clair je lis "hack en situation réelle", mais ce n'est pas la réalité, encore une fois ce n'est pas une critique, d'ailleur tout les sites utilisent cette formule : "intrusion, protection réelle, hack, a vous de jouez ect", c'est juste que j'ai l'impression de tomber sur un site de puzzles plus que d'apprentissage au hack ?
Admettons que je finisse tout les challenges du monde, pourtant je ne suis pas plus avancée,si je dois me frotter à une protection réelle existant dans la réalité il y a 90% de chances pour que mon expérience obtenu en résolvant les challenges ne m'est servit à rien, est-ce votre cas ?
merci d'avance pour vos réponses
Petit débat sur les challenges
7 posts
• Page 1 of 1
Petit débat sur les challenges
by CORBEN » Mon Dec 28, 2009 1:59 pm
- CORBEN
- Projets
- Posts: 1
- Joined: Mon Dec 28, 2009 1:19 pm
by ROOTBSD » Mon Dec 28, 2009 2:20 pm
je vais parler de mon cas... J'avais dans les grandes lignes le meme sentiment que toi il y a quelques années. Depuis j'ai plus ou moins laisse tomber les challenges. Ce que je te conseil pour apprendre c'est d'etudier les exploits publiés tous les jours sur la mailing list full disclosure (ou milw0rm) par exemple.
Tu prends l'exploit tu essaies de le comprendre avec le code du binaire qu'il exploite (j'ai fais ce travail ici : [url]http://www.r00ted.com/doku.php?id=zero_day_freebsd[/url] ). Et petit a petit tu regardes d'autres codes pour voir si tu ne vois rien de "similaire" et donc petit a petit tu avances. Ca marche aussi bien pour des failles OS, binaire ou Web.
Pour revenir aux challenges certains sont un peu pourri mais ils permettent au debutant de pouvoir se faire la main pour commencer...
</MA VIE>
Si tu veux parler un peu de tout ca tu peux me voir sur IRC ou PM.
Tu prends l'exploit tu essaies de le comprendre avec le code du binaire qu'il exploite (j'ai fais ce travail ici : [url]http://www.r00ted.com/doku.php?id=zero_day_freebsd[/url] ). Et petit a petit tu regardes d'autres codes pour voir si tu ne vois rien de "similaire" et donc petit a petit tu avances. Ca marche aussi bien pour des failles OS, binaire ou Web.
Pour revenir aux challenges certains sont un peu pourri mais ils permettent au debutant de pouvoir se faire la main pour commencer...
</MA VIE>
Si tu veux parler un peu de tout ca tu peux me voir sur IRC ou PM.
-
ROOTBSD - Posts: 191
- Joined: Mon Dec 22, 2008 4:09 pm
by nqqb » Mon Dec 28, 2009 2:26 pm
Je comprend ta pensée, mais je pense que le but de ces challenges sont différents: Par exemple, les challenges de javascript servent surtout, en tout cas m'ont permis au début de savoir à quoi pouvait ressemblé une faille, le but tend vers le loisir plutot que l'éducatif, et j'ai l'impression que c'est aujourd'hui plus une "tradition" qu'une utilité. :)
Les challenges de cryptographie et steganographie, sert à étendre sa culture générale tout en s'amusant: c'est toujours mieux que de lire un gros bouquin.
Les challenges de logiques peuvent aussi être divertissant.
Ces challenges requiert les même qualité que les challenges de hack qu'ils soit réel ou fictif: la patience, la recherche etc....
Après "est qu'il faudrait des challenges encore plus réalistes ?" se serait bien mais sa doit demandé du travail, soyons bien contant que certains se cassent la tête à en faire :) .
:D
Les challenges de cryptographie et steganographie, sert à étendre sa culture générale tout en s'amusant: c'est toujours mieux que de lire un gros bouquin.
Les challenges de logiques peuvent aussi être divertissant.
Ces challenges requiert les même qualité que les challenges de hack qu'ils soit réel ou fictif: la patience, la recherche etc....
Après "est qu'il faudrait des challenges encore plus réalistes ?" se serait bien mais sa doit demandé du travail, soyons bien contant que certains se cassent la tête à en faire :) .
:D
-
nqqb - Projets
- Posts: 222
- Joined: Fri Jun 13, 2008 1:15 pm
by hywiel » Mon Dec 28, 2009 2:27 pm
Bonjour, Corben.
Les challenges sont là depuis très longtemps, et on assiste à aucune nouveautés, même depuis les (presque) deux ans que je suis sur Hackbbs.
Certains, d'une soit-disant logique, sont très simples, pour ne pas dire enfantins (je ne vise pas la miss. Oiseaux, hein :lol: ) , et n'ont aucun rapport avec le hacking. Certes.
Mais le VRAI challenge, c'est le dédié (toujours en train d'être mis en place, je crois).
Hackbbs n'est pas que des challenges.
Tu peux faire la battlebot, le CTF, ou autres.
En général, les sites de challenge sont une sorte de "facade" morne, alors que la vraie vie de la communauté est sur IRC ou le forum, sur lesquels tu risque d'apprendre plus de choses que sur de simples challenges.
[quote:ed50d10f1c]Est ce qu'ils sont (les challenges) éducatifs ? est ce qu'ils collent avec la réalité ? [/quote:ed50d10f1c]
La plupart ne collent plus avec la réalité (on ne fait plus d'injection SQL ' OR 1=1 -- dans les sites web un minimum organisés), alors que d'autres (pour rester sur les SQL) sont des exemples types très bien fait (C.F. La blague du jour).
Ceux de logique ne sont là que pour te casser là tête et y prendre du plaisir, et ceux de crypto aussi
A mon humble avis, les challenges ne sont donc que des moyens de voir si tu as bien acquis ce que tu sais, et de le mettre en pratique sur d'autres choses qu'un vrai site, ou une page "maison" dont tu connais tout.
"Les fragments de viande que l'on nous a laissé étaient pré-machés et sans gout."
([i:ed50d10f1c]Le manifeste du hacker[/i:ed50d10f1c])
Les challenges sont là depuis très longtemps, et on assiste à aucune nouveautés, même depuis les (presque) deux ans que je suis sur Hackbbs.
Certains, d'une soit-disant logique, sont très simples, pour ne pas dire enfantins (je ne vise pas la miss. Oiseaux, hein :lol: ) , et n'ont aucun rapport avec le hacking. Certes.
Mais le VRAI challenge, c'est le dédié (toujours en train d'être mis en place, je crois).
Hackbbs n'est pas que des challenges.
Tu peux faire la battlebot, le CTF, ou autres.
En général, les sites de challenge sont une sorte de "facade" morne, alors que la vraie vie de la communauté est sur IRC ou le forum, sur lesquels tu risque d'apprendre plus de choses que sur de simples challenges.
[quote:ed50d10f1c]Est ce qu'ils sont (les challenges) éducatifs ? est ce qu'ils collent avec la réalité ? [/quote:ed50d10f1c]
La plupart ne collent plus avec la réalité (on ne fait plus d'injection SQL ' OR 1=1 -- dans les sites web un minimum organisés), alors que d'autres (pour rester sur les SQL) sont des exemples types très bien fait (C.F. La blague du jour).
Ceux de logique ne sont là que pour te casser là tête et y prendre du plaisir, et ceux de crypto aussi
A mon humble avis, les challenges ne sont donc que des moyens de voir si tu as bien acquis ce que tu sais, et de le mettre en pratique sur d'autres choses qu'un vrai site, ou une page "maison" dont tu connais tout.
"Les fragments de viande que l'on nous a laissé étaient pré-machés et sans gout."
([i:ed50d10f1c]Le manifeste du hacker[/i:ed50d10f1c])
-
hywiel - Projets
- Posts: 25
- Joined: Fri Jul 03, 2009 11:03 am
- Location: Dijon
by KEV-1 » Mon Dec 28, 2009 9:30 pm
Pour ma part j'ai eu, et j'ai encore, beaucoup de plaisir à faire ces challenges. Ceux de hackbbs sont pour moi les plus réalistes.
Je suis d'accord pour dire qu'un bon quart sont faciles, un autre quart sont dépassés, et qu'un 3 eme quart n'est pas vraiment du hack pur et dur (logique, sténogrammes etc).
Mais l'important est de découvrir de nouvelles méthodes, de chercher, et d'évoluer. Tous les hackers ne sont pas nés avec le savoir, ils l'ont acquis au fur et a mesure. Qui d'entre nous s'est reveillé un matin avec toutes ses connaissances ?
Les chall nous permettent d'evoluer par le jeu, en évitant de se faire piqué tel le lamer moyen sur un serveur en production !!!
Des challenges comme Rodeo2, snif, lost, special1 font intervenir d'autres connaissances qu'un simple tuto qu'on pourrait trouver. Je vous les conseilles.
cordialement,
Je suis d'accord pour dire qu'un bon quart sont faciles, un autre quart sont dépassés, et qu'un 3 eme quart n'est pas vraiment du hack pur et dur (logique, sténogrammes etc).
Mais l'important est de découvrir de nouvelles méthodes, de chercher, et d'évoluer. Tous les hackers ne sont pas nés avec le savoir, ils l'ont acquis au fur et a mesure. Qui d'entre nous s'est reveillé un matin avec toutes ses connaissances ?
Les chall nous permettent d'evoluer par le jeu, en évitant de se faire piqué tel le lamer moyen sur un serveur en production !!!
Des challenges comme Rodeo2, snif, lost, special1 font intervenir d'autres connaissances qu'un simple tuto qu'on pourrait trouver. Je vous les conseilles.
cordialement,
-
KEV-1 - Posts: 462
- Joined: Tue Oct 20, 2009 9:24 pm
by Manu404 » Mon Dec 28, 2009 10:15 pm
Pour ma part, le meilleur de challenge de hacking, c'est un réseau complet en VM, je compte d'ailleur ecrire un article sur le sujet, par exemple :
Routage avec PacketTracer (simulation routeur cisco)
Switching avec GNS (simulation de switch cisco)
il faut les IOS pour les deux, mais il y a IOSHunter ^^
Un firewall en front sous Debian avec Iptables
Un DMZ avec :
1 serveur sous Debian avec Apache (web)
1 serveur sous Windows server 2008 avec BrightMail (smtp relay)
1 serveur CentOs avec Bind (dns)
1 serveur sous Debian avec Oracle ou MySQL (BDD publique pour le site)
Chaque serveur DMZ dans un VLAN
Un LAN avec :
1 serveur avec Proxy & Dansguardian qui fait dhcp pour le Wifi et est la Gateway du LAN/Wifi, sert aussi de serveur VPN
2 Serveur avec Windows Serveur 2008, chacun domain controller
1 serveur samba/OpenLDAP permettant aux clients linux de s'authentifier dans l'AD et d'avoir acces a leurs homefolder/boite mail
1 serveur Exchange 2007
1 serveur avec IIS pour l'outlook web access et qui fait aussi WSUS
1 serveur avec Symantec Backup Exec
1 serveur avec EndPoint AntiVir
1 serveur Postfix de secour au cas ou l'exchange tombe
2 postes clients, un Windows Xp Pro, un Fedora
Un WAN avec :
1 poste client Windows XP
Je fait tourner le tout sur:
Chez Moi :
[b:1893157218] - AMD Phenom X4 3Ghz, 16Gb RAM, 1 To 7200 trm[/b:1893157218]
Pour les Vm du LAN, hyperviseur VmWare ESX
[b:1893157218] - 1 netbook [/b:1893157218]
Sert de client WAN + Wifi
[b:1893157218] - 1 Proliant DL380 Quad Xeon 2.6Ghz, 8Gb RAM, 4 hdd 10k trm 18GB SCSI - Raid 5 hardware[/b:1893157218]
Sert pour les VM de la DMZ, hyperviseur VmWare ESX
[b:1893157218] - 1 Compaq StorageWork de 16 hdd 15k trm de 18Gb SCSI en fiber channel sur le DL380 et mon AMD,[/b:1893157218]
Sert a stocker les hdd de toute les VM de la DMZ + les 3/4 des VM du lan
[b:1893157218]- 1 vieux pc, P4 1.8Ghz, 512Mo RAM, 20Gb Hdd [/b:1893157218]
vSphere Pour controller mes VM
[b:1893157218]1 routeur cisco 2500 VOIP, un routeur cisco 2600, un switch cisco catalyst 2800 3650 48ports Gigabit + un wik avec 2 ports fiber channel[/b:1893157218]
Je ne les utilise pas pour le labo a proprement dit, uniquement pour relier mes pc/serveurs, le routage/switching du labo même est gerer par GNS/Cisco PacketTracer
A l'exterieur:
[b:1893157218]Core2Duo 2.6Ghz, 4Go RAM, 2x750 Go hdd Raid1 hardware[/b:1893157218]
au cas ou j'aurais besoin de plus de puissance, je le connecte en VPN dans mon LAN et le rajoute dans mon Datacenter VmWare ESX
Et que l'on vienne pas me dire que cela coute chère !!!
J'ai eu le proliant pour 50€ sur Ebay, le 2500, j'en ai acheter 3 pour 5€ en tout, j'en ai donné deux a des amis, le 2600 pour 15€, le catalyst pour 35€, le storagework pour 25€
Un total de 120€ +/- pour la plus grosse partie du labo
L'AMD, je l'ai monter moi même, j'ai acheter les pièces chez pixmania pour 500€ en tout (avec alim, boitier, clavier, etc), et je fait tourner Crysis ou FarCry2 en Full par exemple.
Le netbook, c'est un Acer Aspire One 300€ +/-
Le vieux pc je ne l'ai même pas payé, on me l'a donné
Et le serveur externe, 60€ par moi chez OVH, je compte d'ailleur résilier vu que je ne l'utilise que rarement
Donc, ce labo est financièrement accessible a tous !
Je vais écrire un article, ou plsutot continuer (j'avais deja commencer il ya quelques mois) la dessus le mois prochain.
Routage avec PacketTracer (simulation routeur cisco)
Switching avec GNS (simulation de switch cisco)
il faut les IOS pour les deux, mais il y a IOSHunter ^^
Un firewall en front sous Debian avec Iptables
Un DMZ avec :
1 serveur sous Debian avec Apache (web)
1 serveur sous Windows server 2008 avec BrightMail (smtp relay)
1 serveur CentOs avec Bind (dns)
1 serveur sous Debian avec Oracle ou MySQL (BDD publique pour le site)
Chaque serveur DMZ dans un VLAN
Un LAN avec :
1 serveur avec Proxy & Dansguardian qui fait dhcp pour le Wifi et est la Gateway du LAN/Wifi, sert aussi de serveur VPN
2 Serveur avec Windows Serveur 2008, chacun domain controller
1 serveur samba/OpenLDAP permettant aux clients linux de s'authentifier dans l'AD et d'avoir acces a leurs homefolder/boite mail
1 serveur Exchange 2007
1 serveur avec IIS pour l'outlook web access et qui fait aussi WSUS
1 serveur avec Symantec Backup Exec
1 serveur avec EndPoint AntiVir
1 serveur Postfix de secour au cas ou l'exchange tombe
2 postes clients, un Windows Xp Pro, un Fedora
Un WAN avec :
1 poste client Windows XP
Je fait tourner le tout sur:
Chez Moi :
[b:1893157218] - AMD Phenom X4 3Ghz, 16Gb RAM, 1 To 7200 trm[/b:1893157218]
Pour les Vm du LAN, hyperviseur VmWare ESX
[b:1893157218] - 1 netbook [/b:1893157218]
Sert de client WAN + Wifi
[b:1893157218] - 1 Proliant DL380 Quad Xeon 2.6Ghz, 8Gb RAM, 4 hdd 10k trm 18GB SCSI - Raid 5 hardware[/b:1893157218]
Sert pour les VM de la DMZ, hyperviseur VmWare ESX
[b:1893157218] - 1 Compaq StorageWork de 16 hdd 15k trm de 18Gb SCSI en fiber channel sur le DL380 et mon AMD,[/b:1893157218]
Sert a stocker les hdd de toute les VM de la DMZ + les 3/4 des VM du lan
[b:1893157218]- 1 vieux pc, P4 1.8Ghz, 512Mo RAM, 20Gb Hdd [/b:1893157218]
vSphere Pour controller mes VM
[b:1893157218]1 routeur cisco 2500 VOIP, un routeur cisco 2600, un switch cisco catalyst 2800 3650 48ports Gigabit + un wik avec 2 ports fiber channel[/b:1893157218]
Je ne les utilise pas pour le labo a proprement dit, uniquement pour relier mes pc/serveurs, le routage/switching du labo même est gerer par GNS/Cisco PacketTracer
A l'exterieur:
[b:1893157218]Core2Duo 2.6Ghz, 4Go RAM, 2x750 Go hdd Raid1 hardware[/b:1893157218]
au cas ou j'aurais besoin de plus de puissance, je le connecte en VPN dans mon LAN et le rajoute dans mon Datacenter VmWare ESX
Et que l'on vienne pas me dire que cela coute chère !!!
J'ai eu le proliant pour 50€ sur Ebay, le 2500, j'en ai acheter 3 pour 5€ en tout, j'en ai donné deux a des amis, le 2600 pour 15€, le catalyst pour 35€, le storagework pour 25€
Un total de 120€ +/- pour la plus grosse partie du labo
L'AMD, je l'ai monter moi même, j'ai acheter les pièces chez pixmania pour 500€ en tout (avec alim, boitier, clavier, etc), et je fait tourner Crysis ou FarCry2 en Full par exemple.
Le netbook, c'est un Acer Aspire One 300€ +/-
Le vieux pc je ne l'ai même pas payé, on me l'a donné
Et le serveur externe, 60€ par moi chez OVH, je compte d'ailleur résilier vu que je ne l'utilise que rarement
Donc, ce labo est financièrement accessible a tous !
Je vais écrire un article, ou plsutot continuer (j'avais deja commencer il ya quelques mois) la dessus le mois prochain.
-
Manu404 - Posts: 2219
- Joined: Tue Feb 26, 2008 3:44 pm
- Location: ::1:
by WAKFU » Sun Jan 03, 2010 4:02 pm
Pour réagir à ton post, non les challenges ne t'aprennent pas tout mais ils sont là pour te faire réféchir, chercher par toi même, pas croire que les choses tombent du ciel.
Ensuite une fois les challenges terminés, tu as une meilleure vision de la chose, tu vas chercher à en savoir plus, comprendre mieux comment celà se passe.
Tu te poses ensuite TES défis / challenges toi même et c'est là que tu en apprendras un paquet de choses.
Pour revenir aux trux rudimentaires, les challenges logiques/crypto à 2 balles, ils sont pas là pour rien il faut bien commencer de zéro.
C'est comme si en math on te demandait d'étudier la fonction gamma, alors que tu sais même pas ce qu'est une intégrale, ou même plus simple combien font 1+1. ( 10 :þ )
Ensuite une fois les challenges terminés, tu as une meilleure vision de la chose, tu vas chercher à en savoir plus, comprendre mieux comment celà se passe.
Tu te poses ensuite TES défis / challenges toi même et c'est là que tu en apprendras un paquet de choses.
Pour revenir aux trux rudimentaires, les challenges logiques/crypto à 2 balles, ils sont pas là pour rien il faut bien commencer de zéro.
C'est comme si en math on te demandait d'étudier la fonction gamma, alors que tu sais même pas ce qu'est une intégrale, ou même plus simple combien font 1+1. ( 10 :þ )
-
WAKFU - Projets
- Posts: 55
- Joined: Mon Mar 16, 2009 9:31 pm
- Location: <(0_~)>
7 posts
• Page 1 of 1
Who is online
Users browsing this forum: No registered users and 4 guests