Mushroom kingdom

Hacken des Pilzkönigreichs: Ein Tauchgang in CI/CD-Pipelines mit Mario und Luigi

Ein abendlicher Einblick in das Hacken von CI/CD-Pipelines.

mouse - simple-line-icons

Das Pilzkönigreich hacken: mein Abend bei Bureau Veritas Cybersecurity

Hallo zusammen! Mein Name ist Ilnur, ich studiere im 3. Jahr Cybersecurity an der Hochschule für angewandte Wissenschaften in Amsterdam (UAAS/HvA), und in diesem Beitrag erzähle ich Ihnen von meiner Erfahrung, Bowser beim Hacken von Mario & Luigi zu helfen!

Vor ein paar Wochen wurde ich von Sara Busscher kontaktiert und gefragt, ob ich Interesse hätte, mehr über das Hacken von CI/CD-Pipelines zu lernen. Um ehrlich zu sein, war es das erste Mal, dass ich von CI/CD oder etwas Ähnlichem hörte, aber aufgrund meiner früheren Erfahrungen mit der niederländischen Docker-Nacht zögerte ich nicht, die angebotene Gelegenheit zu nutzen.

Die Veranstaltung fand im neuen Büro von Bureau Veritas Cybersecurity statt, ganz in der Nähe des Bahnhofs Bijlmer Arena, und obwohl ich zunächst Mühe hatte, den richtigen Aufzug zu finden (das Gebäude ist in zwei Teile geteilt), fand ich mich schließlich zwischen den freundlichen Leuten wieder, die ich vor einem Jahr kennengelernt hatte.

Eindeutig ein Mario-Thema

Schon bevor die Veranstaltung begann, war klar, dass sie etwas mit "Mario" zu tun hatte: Die Tische waren thematisch eingedeckt, und es gab sogar Spielzeug, das überall herumlag! (Ehrlich gesagt, frage ich mich immer noch, ob sie wirklich irgendwo im Büro Mario-Dekorationen aufbewahren oder ob das nur eine einmalige Sache war).

Unsere Gastgeber für den Abend waren Charleston und George, beide sehr erfahrene Sicherheitsexperten bei Bureau Veritas Cybersecurity. Sie erklärten schnell und deutlich, was CI/CD-Pipelines sind, und beschlossen, uns über Bowsers Masterplan, sie zu hacken, aufzuklären!

Wir schienen uns in Devtopia zu befinden, einer Mario-Themenlandschaft voller Tunnel. Diese Tunnel waren Analogien zu den Pipelines, die wir hacken wollten.

Foto Ilnur

Ilnur Khakimov

Student der Cybersicherheit im 3. Jahr

UAAS/HvA

Wir verbrachten den Abend in Devtopia, einer Mario-Themenlandschaft mit Tunneln. Diese Tunnel waren Analogien zu den Pipelines, die wir hacken wollten.

Dafür bekamen wir die grundlegenden Prinzipien, wie CI/CD funktionierte: Wenn Luigi (Juniorentwickler) an seinem Code gearbeitet hatte, stellte er eine Pull-Anfrage durch die "OnMerge"-Pipeline. Wenn wir Glück hatten (da wir professionelle Hacker sind, ist "Glück" unsere Hauptwaffe), konnten wir vielleicht einige vergessene Informationen daraus stehlen.

Nachdem ich dieses Ziel erreicht hatte, hatte ich neue Informationen darüber gelernt, wie Git funktioniert. Ich hatte zum Beispiel keine Ahnung, dass frühere Versionen des Codes lokal zugänglich waren (ich könnte mir leicht vorstellen, dass ich diesen Fehler sonst gemacht hätte). Zu unserem Glück (ich sagte Ihnen ja, dass Glück unsere Hauptwaffe ist) hatten George und Charleston einige nützliche Befehle in der richtigen Reihenfolge der Ausführung vorbereitet. Das bedeutete aber nicht, dass wir eine vollständige Anleitung zum Abschließen der Herausforderungen bekamen, denn das war immer noch nötig, wenn Sie sie ausführen mussten.

Leider blieb ich bei den nächsten beiden Schritten stecken (anscheinend war mein Git nicht richtig konfiguriert oder so), so dass ich mir ansehen musste, was der Rest tat. Glücklicherweise (sollte ich mich wiederholen?) waren die Herausforderungen so konzipiert, dass ich beim letzten Schritt aufholen konnte; Sie brauchten die Informationen aus Schritt 1, um mit der Herausforderung fortzufahren, was ich auch erfolgreich tat.

Enorme Menge an Pizzen

Zwischen den Herausforderungen gab es eine enorme Menge an Pizzen! In der Pause konnten wir uns ein wenig unterhalten, und ich lernte einige neue Leute kennen, von denen ich mich an einen erinnere, der ein T-Shirt trug, das für das Hacken der niederländischen Regierung ausgezeichnet wurde! Es war sehr interessant, seine Geschichte darüber zu hören, und ich konnte sogar meine Aussage über Glück bei der Art und Weise, wie er es gemacht hat, bestätigen (Glück zu haben, muss wohl eine Auszeichnung für Geschicklichkeit sein, denke ich).

Leider musste ich 30 Minuten früher aufbrechen, so dass ich die Herausforderungen nicht in vollem Umfang miterleben konnte, aber ich habe eine praktische Tüte für zu Hause bekommen! Trotzdem wurde ich, als ich zum Ausgang begleitet wurde, gefragt, ob ich etwas aus diesem Abend gelernt habe. "Irgendwo über alles, angefangen bei der Existenz dieser Dinge", war meine Antwort.

Abschließend möchte ich sagen, dass ich Studenten auf jeden Fall die Teilnahme an den Cybersecurity-Workshops des Bureau Veritas empfehlen würde, wenn sich die Gelegenheit dazu bietet! Ich möchte mich bei Charleston und George für alles bedanken, was sie an diesem Abend für uns getan haben, und einen besonderen Dank an Sara dafür, dass sie sich an meine Lieblingssorte Wein erinnert hat.