Capture the Flag (CTF) là một trong những dạng cuộc thi kỹ năng và kiến thức chuyênsâuvề bảo mật thông tin máy tính, được tổ chức triển khai theo mô hình trò đùa chiếntranhmạng, triệu tập vào kĩ năng tấn công và phòng vệ mạng máytính củangười tham gia.
Bạn đang xem: Ctf cho người mới bắt đầu
Bạn vẫn xem: Ctf cho những người mới bắt đầu
Mục lục
1 reviews về Capture the Flag – CTF3 Các hiệ tượng thi CTFphổbiến5 đùa CTF bước đầu từ đâu?
Giới thiệu về Capture the Flag – CTF
CTF là gì?
CTF (viết tắt của CaptureTheFlag) là một trong dạng cuộc thi kỹ năng và kiến thức về bảo mật thông tin thôngtin,thử thách những đội chơi tìm ra giải thuật cho một vấn đề bất kỳtrongan ninh mạng. Thường thì trong một cuộc thi CTF, những độichơi sẽganh đua nhau để tìm ra một Mật mã đặc trưng được cất bêntrongserver, hoặc phía sau một trang web. Mật mã này đó là Flag.Độinào hack vào hệ thống của đối thủ và đưa ra Flag nhanh hơn sẽgiànhchiến chiến thắng vòng thi. Đó là lí do cái tên Capture The Flagrađời!
Lịch sử hình thành
Cuộc thi CTF lần trước tiên được tổ chức triển khai tại hội thảo chiến lược bảo mậtnổitiếng DEFCON (Mỹ) lần thứ 5 (năm 1997). Đến nay, hàng năm córấtnhiều cuộc thi CTF được tổ chức triển khai trên toàn quả đât theo các quymôkhác nhau, do các trường đại học, học tập viện, viện nghiên cứuthựchiện… không ít cuộc thi CTF được tổ chức triển khai cùng với các hội thảovềSecurity với Hacking như: DEF nhỏ CTF Qualifier, DEF CONCTF,Codegate YUT Preliminary, UCSB iCTF, RuCTFe…
Cách chơi CTF
Trong hội thi dạng CTF, những đội tham gia sẽ tiến hành cấp một máychủ(hoặc một mạng sản phẩm chủ) đã cài đặt sẵn những chương trình cócác lỗhổng bảo mật. Nhiệm vụ của đội nghịch là search ra các lỗ hổng vàtấncông vào sản phẩm công nghệ chủ của các đội khác nhằm ghi điểm, đồng thời phảinhanhchóng vá những lỗ hổng trên sever của đội nhà, né bị cácđội kháctấn công.
Các cuộc thi CTF rất có thể tổ chức dưới vẻ ngoài online (thựchiệnqua internet) hoặc offline. Tuy nhiên, những cuộc thi có uytínthường tổ chức triển khai thành 2 vòng thi không giống nhau: Vòng1thi online để lựa chọn các đội mạnh mẽ nhất tham gia vàovòngchung kết được tổ chức triển khai offline.
CTF rất có thể chơi theo đội hoặc cá nhân, tùy ở trong vào quy địnhtừBan tổ chức. Thành phần tham gia thi CTF khôn cùng đa dạng: cáchacker,các chuyên viên bảo mật, các nhóm phân tích về an toàn thôngtin,sinh viên.… giải thưởng từ các cuộc thi CTF tuy hẹp vềvậtchất mà lại được review cao về trình độ và là một trong “thướcđo”quan trọng về “kỹ năng nghề nghiệp” trong nghành nghề dịch vụ ATTT.
Phong trào CTF trên Việt Nam
Một số nhóm chuyên gia bảo mật ở việt nam đã gia nhập cáccuộcthi CTF quốc tế trong thời hạn gần đây. Tuy nhiên, phong tràonàychỉ thực sự bắt đầu phát triển trong khoảng 2 năm vừa rồi vớidấuấn quan trọng đặc biệt là team Bamboo (CLGT) của Việt Nam thường xuyên lọtvàotop 10 đội CTF tốt nhất có thể của năm, với tương đối nhiều thành tích cao tạicácgiải CTF quốc tế. Đặc biệt, trong năm 2013 lần trước tiên có mộtnhómCTF của việt nam đã quá qua vòng loại DEF bé CTF Qualifierđểđược tham gia vào DEF con CTF (được xem như là “World Cup” củacáccuộc thi CTF).
Ngoài ra, theo những thống kê của tổchứckftvietnam.com, việt nam nằm trong top 10 cácnướccó những đội thâm nhập thi CTF duy nhất (Mỹ, Nga, Ấn Độ, Hàn Quốc,Pháp,Iran, Việt Nam, Nhật, Canada, Trung Quốc), với các nhóm CTF đãcómột số kết quả nhất định, được xã hội ATTT quả đât biếtđếnnhư: Bamboo-vn (CLGT), PiggyBird, Botbie, rm -rf ,HacKaTron…
Các hình thức thi CTF phổ biến
Hiện nay, các cuộc thi CTF thường phân thành 3 hình thứcchơichính
1. Trả lời thử thách theo từng chủ thể (Jeopardy-style)
Hình thức này là tập thích hợp một loạt những các bài thi khác nhau,đượcphân ra thành những chủ đề như: Web, Forensic, Crypto,Binary,Stegano… trong những chủ đề sẽ có khá nhiều bài thi không giống nhau đượcsắptheo độ khó tăng cao cùng cùng với điểm số cũng tăng dần. Mục tiêucủacác đội thi là thực hiện kỹ năng, kinh nghiệm tay nghề để tiến hành tìmkiếmcác “flag” được giấu. Với từng “flag” tìm được chính xác, độichơisẽ được điểm khớp ứng của bài bác thi.
Trong quá trình thi, tác dụng các đội sẽ tiếp tục được cậpnhậttrên các bảng điểm (sau khi nhờ cất hộ flag mới được tính điểm) vàkếtthúc vòng thi nhóm nào tất cả số điểm cao nhất sẽ dành chiếnthắng.Trong trường hợp các đội bởi điểm nhau, kết quả sẽ được tínhdựatrên thời hạn gửi “flag”. Đây là hình thức thi được tổ chứcphổbiến tuyệt nhất hiện nay, thực hiện trong 1 đến 2 ngày (24-48tiếng).
Xem thêm: Đối Thủ Cạnh Tranh Của Vinpearl, Marketing Trong Nh Ks Nhóm 11
2. Tiến công và phòng vệ (attack & defence)
Hình thức thi này theo đúng luật thi CTF cổ điển thuở đầu vàkhóhơn so với các hình thức khác bởi yêu cầu cao hơn. Ngoài những kỹnăngtìm tìm lỗ hổng bảo mật và khai quật các lỗ hổng kia thì ngườichơicần có khả năng khắc phục những điểm yếu, lỗ hổng, đảm bảo an toàn hệthốngcủa mình trước các tiến công từ những đội khác. Điểm khác biệtnữa làcách thức tính điểm cho những đội thi. Điểm thi trong hình thứcnàyđược tiến hành theo những tiêu chí khác nhau như: Điểm tấn công,điểmphòng thủ, điểm thưởng,…
Sau khi xong xuôi cuộc thi, nhóm nào bao gồm số điểm cao nhất sẽdànhchiến thắng. Đây là hiệ tượng thi gần với thực tiễn tình hình antoànmạng nhất. Các hacker thực hiện tiến công vào khối hệ thống còn cácquảntrị mạng nhân viên bảo mật có trọng trách chống lại tiến công từbênngoài, trong những lúc vẫn phải bảo vệ duy trì buổi giao lưu của hệthống….Cuộc thi danh tiếng nhất về dạng này là DEFCONCTF.
3. Bề ngoài thi kết hợp
Là sự phối kết hợp của 2 vẻ ngoài trên, chẳng hạn như kết hợpgiữahình thức chỉ có tấn công (attack only) với những dạng thử tháchkhácnhau.
CTF đem đến gì cho những người tham gia?
CTF thu hút và say mê giới hacker, chuyên viên bảo mật bởicáccuộc thi này phản ánh thực tiễn quá trình hàng ngày và đòihỏingười đùa phải gồm các năng lực tấn công và bảo mật thông tin thực thụ.Muốnchiến thắng ở 1 cuộc thi CTF, tín đồ chơi không chỉ có phảibiếtnhuần nhuyễn các kỹ năng phát hiện nay và khai quật lỗ hổng bảomật, màcòn đề nghị thật sự bài bản trong việc bảo đảm an toàn sự an toànvà duytrì tính liên tục của hệ thống mạng trước các đợt tấn côngkhôngngừng từ mặt ngoài.
Khi tham gia các cuộc thi CTF, những người tham gia thuđượcnhững kinh nghiệm hữu ích như:
Được học hỏi những kiến thức đề xuất thiết, cập nhật về securityvàhacking.Thực hành những kỹ năng và kiến thức thu được từ lý thuyết để hiểurõhơn về các công việc: cách thức reverse engineering một phầnmềm,cách thức crack phần mềm, xâm nhập vào trong 1 máy tính; các kỹthuậtkhai thác áp dụng web; vận dụng mật mã trong thực tế; điều traphântích truy dấu tích digital forensic….Các bài thì CTF đòi hỏingườichơi đề nghị có kỹ năng sâu về không chỉ về ATTT ngoại giả về kỹnănglập trình, tùy chỉnh mạng,… Đây sẽ là cơ hội giúp những chuyêngiacủng cố, cải thiện kỹ năng đang sẵn có và bổ sung cập nhật các kỹ năngmới.Cáccuộc thi CTF thường update thông tin new về lỗ hổng bảomật, cáckỹ thuật new trong hacking với security. Triển khai các bàithi làcách giúp người tham gia thay được các vấn đề đó một biện pháp cụthể,đúng bạn dạng chất….Qua các lần thi CTF, người chơi có thể đánh giáđượccác kiến thức và kỹ năng mình đang còn thiếu, cần bổ sung cập nhật thêm, được giaolưu,chia sẻ tởm nghiệm, đồng thời tìm hiểu thêm các write-up (cácbàigiải) của tín đồ chơi khác nhằm học hỏi.Rèn luyện tính sáng tạo,khảnăng tư duy giải quyết và xử lý vấn đề linh hoạt.Việc tham gia những cuộcthiCTF là 1 trong trong những khởi đầu tốt cho những người làm việcvànghiên cứu vớt trong nghành nghề bảo mật và bình yên thông tin.
Để tham gia vào những cộc thi CTF, bạn phải trang bị gần như kiếnthứccơ bản về bảo mật thông tin thông tin/ bảo mật thông tin máy tính. Dưới đây là mộtsốlời khuyên tốt nhất có thể để chơi CTF cho tất cả những người mớibắtđầu:
Học tập
kftvietnam.com/ctfs/resources – giới thiệu về các kỹ thuậtCTFphổ thay đổi như mật mã, steganography, khaithácweb.https://trailofbits.github.io/ctf/forensics/ – Mẹo cùng thủthuậtliên quan đến các thách thức / kịch bản điển hìnhcủaCTFhttps://ctftime.org/writeups – Tổng hợp phần lớn Bàigiải(write-up) các thử thách CTF trướcđây.kftvietnam.com/chu-de/capture-the-flag/ – Series học hành CTFtừSecurityDaily
Tài nguyên
kftvietnam.com – Trình theo dõi và quan sát sựkiệnCTFhttps://github.com/ctfs – Danh sách các công cố và tài liệuđọcthêm.
Công nỗ lực phổ biến
BurpSuite – Công cụ thông dụng nhất cần biết khi nghịch CTF.Bộcông ráng Burp cung ứng khá vừa đủ các nhân kiệt kiểm tra xâmnhậpweb (pentest).Binwalk – Phân tích với giải nén tập tinStegsolve–Vượt trải qua không ít bộ lọc khác biệt qua hình ảnh để kiếm tìm văn bản ẩnGDB–Binary Debugger
Thực hành
Có không ít cuộc thi CTF quy mô mập trên thế giới và trongkhuvực với giải thưởng lên tới hàng vạn USD, tuy nhiên chúng đềucótính tuyên chiến và cạnh tranh cao và bị số lượng giới hạn về mặt thời gian. Dưới đâylànhững website giúp cho bạn thực hành luyện tậpCTFtrước khi thâm nhập vào đều sân chơi khủng hơn. Đặcbiệt, chúng ta sẽkhông bị số lượng giới hạn thời gian:
kftvietnam.com – Tổng hợp những thử thách CTF khác biệt dongườidùng đóng góp góp. Khôn xiết thích hợp cho người mới tra cứu hiểuvềCTF.https://overthewire.org/wargames/ – Một loạt những thử tháchkhódần đẳng cấp pwn-style.https://2018game.picoctf.com/ – Cuộc thiCTFgiới hạn thời gian ra mắt hàng năm. Bây giờ đã hoàn toàn có thể thamgiatheo hình thức luyện tập.
Kết luận
Chơi CTF là một thói quen xuất sắc giúp chúng ta tích lũy gớm nghiệmthựctiễn cùng những kỹ năng và kiến thức trong bảo mật thông tin. Kề bên đó,bạncó thể tham gia vào gần như chương trình Bug Bounty nhằm vừa thỏamãnđam mê nghiên cứu an ninh mạng, vừa có thể nhận thêm nhữngkhoảnthù lao do những công ty trả thưởng cho việc tìm kiếm kiếm lỗ hổngtrên hệthống của họ.
