Capture the Flag
Изначально игра двух команд. У каждой команды есть флаг. Задача игроков — захватить чужой флаг и защитить свой. В известной игре "Зарница" есть такой элемент. В компьютерных играх CTF — один из известных режимов. Я первый раз познакомился с ним в игре Unreal The Tournament, но речь не об этом.
В этой статье идёт речь о CTF соревнованиях в области компьютерной безопасности. Концепция осталась прежней. Вам или вашей команде необходимо находить, добывать, доставать, расшифровывать спрятанные флаги. Флаги могут выглядеть по разному, в зависимости от фантазии организаторов соревнований. Это может быть фраза или набор символов определённого вида. Например, такой флаг:
flag[cool_hacker_was_here]
Или такой:
h824d3e511157da14369b5f6d7da1c9e0
Цель игры - совершенствование навыков в области информационной безопасности. За каждый добытый флаг начисляются очки. И чем сложнее было задание, тем больше очков получает команда. Появление CTF в ИБ спровоцировало появление тысяч команд со всего мира.
Соревнования CTF
В настоящее время сложилось три варианта проведения соревнований:
1. Attack-defense или Classic.
Команда получает сервер или сеть. Очки начисляются за стабильную работу сервисов и за украденные флаги соперников. Сервер или сеть обычно содержит ряд уязвимостей, которые нужно исправить, желательно как можно скорее.
Attack-defense более приближено к реальной жизни и работе. Игра длится обычно пару дней.
2. Task-based или Jopardy.
Участвует любое количество команд. Организатор предлагает набор заданий различной сложности, в каждом задании спрятан флаг. Задания разделяют по категориям:
- admin - задачи на системное администрирование.
- web - уязвимости сайтов.
- crypto - криптография, шифрование.
- stegano - стеганография (способ передачи или хранения информации с учётом сохранения в тайне самого факта такой передачи).
- joy - развлекательные задач.
- ctb - crack the box, аудит удалённых машин.
- reverse - реверс-инжиниринг.
- ppc - professional programming and coding, программирование.
- misc - разное.
- ... никто не запрещает вводить свои категории.
Соревнования могут проводиться как очно, так и удалённо. Игра может длиться от нескольких часов до нескольких дней. Участвовать могут и одиночки. После окончания соревнования устраивают разбор задач, участники и организаторы конференций делятся своими решениями.
3. King of the Hill — царь горы. Редкий тип соревнования.
Командам даётся некая многоуровневая корпоративная среда. Задача: проникнуть в систему и повышать свой уровень доступа. Проблема в том, что система "дырявая", нужно латать дыры, иначе другие команды возьмут контроль и "скинут" тебя с горы.
Ссылки
Нетерпеливым ждать соревнований не обязательно, в сети много ресурсов, на которых вы можете оценить силы своего кибер-мозга на практике.
https://www.root-me.org
Hacking and Information Security learning platform. Платформа для взлома и изучения информационной безопасности.
326 испытаний, 3074 способов решения задач, 73 виртуальных тренажёра, 212000 юзеров и компаний.
https://ctftime.org/
Список CTF соревнований, рейтинг команд.
В мире
Первый DEF CON CTF состоялся в июне 1993 года в Лас-Вегасе. Первоначально конференция задумывалась как единовременное событие, праздник для друга, однако, по просьбам людей это событие повторили через год. В 2006 году на DEF CON собралось приблизительно 6500 посетителей. С каждым годом популярность таких конференций растёт. До сих пор DEF CON CTF считаются самыми знаменитыми соревнованиями по компьютерной безопасности в мире. Ежегодно там принимают участие сильнейшие команды мира.
В 2001 году в Санта-Барбаре вуз University of California, Santa Barbara тоже провёл соревнования CTF. Через два года в соревновании принимало участие уже четырнадцать команд из Америки. С 2004 года соревнования стали международными. Сегодня UCSB iCTF считаются крупнейшими межконтинентальными соревнованиями формата CTF.
В России
В 2009 году команда "Хакердом" Уральского государственного университета Екатеринбурга провела первые международные CTF соревнования - RuCTFE. В них участвовало 43 студенческие команды со всего мира: из России, Индии, Германии, Вьетнама, Австрии, США, Франции, Италии, Хорватии, Норвегии и Аргентины. RuCTFE проводилось в режиме онлайн на протяжении 10 часов. В 2014 году в RuCTFE сражалось уже 322 команды со всего мира! Победа в соревнованиях RuCTFE даёт право участия команды в очном финале старейшего международного соревнования DEF CON CTF.
RuCTF. Соревнования RuCTF проводятся командой Хакердом (vk.com/hackerdom) из Уральского федерального университета.
http://ructf.org/
https://vk.com/ructf
PHDays. Positive Hack Days. Международном форуме по практической безопасности.
https://www.phdays.com/
Погуглите - ещё есть :) Skolkovo CyberDay Conference, M*CTF, SPbCTF.
https://ctfnews.ru/competitions/
А у нас?
Недавно на моей работе провели соревнования CTF среди безопасников, админов и разработчиков в формате Task-based. Это было круто! Позже опубликую несколько решений поиска флагов!
