NGSEC's Security Games

Още преди няколко месеца си мислех да блогна за игрите на NGSEC и някак все забравях. Въпреки че темата може би не е от интерес за (примерно) тримата ми читатели, не мога да не напиша няколко реда за това - бях толкова възхитена. NGSEC е фирма, която предлага консултации и разработва решения в областта на компютърната сигурност, по-специално в областта на клиент-сървър системи.

Освен информация за фирмата и услугите, които извършва, на сайта могат да се намерят и две игри, посветени на хакването на уеб автентификации с име и парола (надявам се, че "българската" дума за authentication изглежда горе долу както съм я написала). Игрите имат по десет нива с нарастваща трудност, като всяко ниво представлява проста маска за въвеждане на потребителско име и парола - като тази долу. Целта е ясна - да се "логнеш" без да разполагаш с информацията.


Отделните нива демонстрират типични грешки, които програмисти и администратори допускат, както и слабостите и границите на някои от техниките за реализиране на уеб автентификация. Повечето от нивата, макар и не всички, съдържат и някакъв вид помощ - понякога допълнителна информация като например сорса на програмата, отговорна за автентификацията, линкове към полезни четива или просто завоалирани подсказки, които да те наведат на правилната мисъл. При успешна автентификация играчът получава email с линк към следващото ниво. Като се започне с отгатване на прости пароли и алгоритми за изчисляването им, мине се през SQL injections и buffer overflows и се стигне до reverse engineering и обръщане на хеш, игрите предлагат не само страхотно забавление, но и много интересни неща за научаване. Трябва да спомена обаче, че могат да действат доста пристрастяващо. Имам смътен спомен как към четири сутринта си казвам "Само и това ниво и вече си лягам..." Но удовлетворението, което изпитваш, когато пребориш нивото, може да се сравни с малко неща на този свят ;)