Ctf что это
CTF (Capture the flag) — соревнования по компьютерной безопасности, целью которых является получение наибольшего числа флагов — строк определенного вида.
Выделяют два основных формата проведения: task-based и attack-defense.
Task-based (Jeopardy)
- Задача – решить как можно больше заданий из различных категорий.
- Флаг – строка, полученная при решении задания.
- Баллы за каждый сданный флаг.
- Командный/индивидуальный зачёт.
Attack-Defense (Classic)
- Вам предоставляется образ с уязвимыми сервисами (сайтами, FTP и тп)
- Задачи:
- Развернуть сервер;
- Закрыть уязвимости сервисов;
- Атаковать уязвимости сервисов у других команд.
В данном курсе будет рассматриваться подготовка к соревнованиям именно в формате task-based, так как данный формат больше подходит для начинающих.
Чтобы не пропустить различные интересные соревнования, можно отслеживать их на CTFtime.
Всё о CTF в России
Формат Сapture the Flag используется в пейнтболе, среди ролевиков, в компьютерных играх и в информационной безопасности. Сapture the Flag или CTF в ИБ — это соревнования в форме командной игры, главная цель которой — захватить «флаг» у соперника в приближенных к реальности условиям. Команды решают прикладные задачи, чтобы получить уникальную комбинацию символов (флаг). Далее участники отправляют флаг в специальную платформу и получают подтверждение, что задача решена верно или стоит попытаться дать ответ ещё раз.
Фото: Москва, финал студенческих соревнований III Кубок CTF
Соревнования формата CTF проходят удалённо (в сети) и очно. В первом случае команды соревнуются через интернет, находясь в разных точках мира. Такие соревнования длятся больше суток в формате нон-стоп. На очных соревнованиях команды собираются в одном месте, каждая за отдельным столом. Такие соревнования длятся шесть — семь часов, а то и больше. За это время командам предлагается решить несколько десятков заданий из областей информатики и защиты информации. Часто практикуется совмещение форматов: например, отборочные этапы на некоторые СTF-соревнования проходят в сети, а финал — очно в городе организаторов контеста. Победа в отборочном туре онлайн даёт команде право участвовать на очном этапе соревнований.
В каком формате проходят CTF-соревнования?
CTF-турниры традиционно проводятся в двух форматах: в формате Task-Based (или Jeopardy) игрокам предоставляется набор заданий (тасков), к которым требуется найти и отправить ответ. Ответ даётся в виде флага, состоящего из набора символов или произвольной фразы. За верное выполнение каждого задания команда получает очки. Чем сложнее таск, тем больше очков даётся за правильный ответ. Задания в CTF-соревнованиях формата Task-Based, как правило, делятся на следующие категории: задачи на нахождение веб-уязвимостей (web), поиск и эксплуатацию уязвимостей в приложениях (PWN), исследование программ без исходного кода (reverse), расследование инцидентов (forensic), администрирование (admin), криптографию (crypto), стеганографию (stegano), поиск информации из открытых источников (OSINT) и категория joy, состоящая из развлекательных задач.
Второй формат проведения CTF-соревнований — Classic (или Attack-Defense). Команды получают идентичные серверы с набором уязвимых сервисов, на которые жюри периодически посылает приватную информацию — флаги. Задача каждой команды заключается в том, чтобы найти и устранить уязвимости на своем сервере и воспользоваться найденными уязвимостями для получения флагов у соперников. Классические соревнования проводятся реже, чем Task-Based, поскольку делать сервисы гораздо сложнее, чем писать таски.
Читайте подробнее:
- Советы от bykva: как играть в классический CTF
- Статья от C4T BuT S4D: Attack-Defense CTF. Что это такое и как в это играть
Фото: Самара, международные соревнования по защите информации VolgaCTF 2020
CTF в мире
О соревнованиях по компьютерной безопасности в формате игры Capture the flag мир узнал около тридцати лет назад. Впервые CTF-соревнования проводились на хакерской конференции DEF CON в Лас-Вегасе в 1993 году. DEF CON CTF по-прежнему считается одним из самых знаменитых соревнований по компьютерной безопасности в мире. Ежегодно на них съезжаются сильнейшие команды со всего мира. В 2019 году в Лас-Вегасе состоялся 27-ой DEF CON CTF.
В Калифорнийском университете в Санта-Барбаре соревнования по компьютерной безопасности формата CTF стали проводиться позже, чем DEF CON CTF — с 2001 года. Сначала в них участвовали команды только одного вуза — University of California, Santa Barbara (UCSB). Через два года участие приняло уже четырнадцать команд со всей Америки. Спустя еще год, в 2004, в названии соревнования UCSB перед CTF появляется буква i — international. Так соревнования UCSB iCTF стали международными. Сегодня UCSB iCTF считается крупнейшим межконтинентальным контестом формата CTF.
В России тоже проводятся международные CTF-соревнования. В 2009 году российская команда Хакердом (Уральский государственный университет, Екатеринбург) провела первые международные CTF-соревнования в России RuCTFE. В них участвовало 43 команды со всего мира: России, Индии, Германии, Вьетнама, Австрии, США и других стран. Первый контест RuCTFE проходил в режиме онлайн на протяжении 10 часов. За RuCTFE 2009 последовали следующие игры, в которые ежегодно играло всё больше и больше команд. Расширялась также и география участников. С каждым годом в RuCTFE участвует всё больше и больше представителей стран Азии, Европы, Африки, а также Австралии, Южной и Северной Америки. В 2019 году в RuCTFE сражалось уже более 180 команд!
Высокий результат на соревнованиях RuCTFE даёт студенческим командам право на участие в очном турнире RuCTF, ежегодно проводящимся в Екатеринбурге с 2008 года.
Фото: Екатеринбург, всероссийские межвузовские соревнования по защите информации RuCTF 2019
Можно долго изучать географию СTF-соревнований по всему миру: швейцарский Insomni’hack, китайский 0CTF и польский Dragon CTF. С каждым годом количество международных CTF-соревнований только возрастает. Не имеет смысла перечислять здесь все, даже самые значимые: это уже сделали на CTFtime.org.
Команды CTF
CTF – соревнования по спортивному хакингу или командная игра, главной целью которой является захват «флага» у соперника.
Участники делятся на команды и соревнуются в выполнении разнообразных задач. Их цели зависят от формата соревнования. Традиционные проходят по принципу Attack-Defense: команды получают идентичные серверы с набором уязвимых сервисов, на которые жюри периодически посылает приватную информацию — флаги. Задача каждой команды заключается в том, чтобы найти уязвимости, устранить их на своем сервере и воспользоваться ими для получения флагов соперников. Корректная работа своего сервера и украденная информация с серверов соперников приносит участникам баллы, необходимые для победы.
Команда, представляющая факультет БИТ и Университет ИТМО на соревнованиях по компьютерной безопасности формата CTF, собралась в 2008 году и успела завоевать множество престижных номинаций в мире соревнований CTF, в настоящее время, являясь одной из ведущих в России и в мире. Участвуя в CTF, игроки приобретают актуальные навыки в сфере практической информационной безопасности. Участие и победа в CTF – это возможность не только прокачать свои навыки, но и получить признание в сообществе специалистов по кибербезопасности, и лучшие предложения от работодателей. Опытные игроки сообщества SPbCTF регулярно проводят тренировки, чтобы передать свои знания новичкам и подготовить их к соревнованиям.
С каждым годом на факультете растет как и количество команд растет, так и количество побед на всероссийских и международных соревнованиях.
Команды побеждают и занимают призовые места на таких соревнованиях, как: RuCTF, Nuit du Hack CTF, VolgaCTF, CSCAMP CTF, BaltCTF, DEF CON CTF, PHDays CTF, SpisokCTF, PlaidCTF, HITB CTF, CodeGate, NeoQuest, Ghost in the Shellcode, Nullcon HackIM, root.yandex, PoliCTF,, School CTF, hack.lu CTF, T2.fi, IFSF Quals, Mozilla CTF, Nord CTF, Yauza CTF, RealCTF, FaustCTF, QCTF и тд.
«Это не только соревнования, они лишь надводная часть айсберга, — говорит декан факультета БИТ Данил Анатольевич Заколдаев. — Существует огромное комьюнити, объединяющее все то, что касается практической части нападения и защиты и то, что касается отработки техник и специального инструментария. Это семинары, онлайн-чаты и так далее по всему миру. Мы взаимодействуем с другими вузами, обмениваемся информацией по внедрению специальных модулей в образовательный план, которые являются частью подготовки к подобным соревнованиям.»
В ближайших планах факультета БИТ — усиливать развитие компетенций, необходимых для состязаний в области компьютерной безопасности у студентов ИТМО путем перехода от факультативной подготовки к обязательной (по некоторым специализациям).
На факультете БИТ проходят бесплатные еженедельные семинары для начинающих по компьютерной безопасности. Программа обучения нацелена на подготовку и участие в соревнованиях по спортивному хакингу — CTF (от Capture The Flag, «Захват флага»). Матёрые игроки в CTF с опытом по 10 лет (из LC ? BC, SiBears, PeterPen, Yozik) рассказывают про CTF-соревнования, делятся опытом, показывают хакерские приёмы для решения задач и помогают прокачиваться в практической безопасности. Навыки, полученные на семинарах и в CTF, позволяют участникам решать реальные современные задачи ИБ, применять те же подходы, что применяют профессионалы в области компьютернои? безопасности. Кроме того, во время соревнований участники приобретают навык быстрого анализа ситуации и не менее быстрого принятия решений.
Ссылки
- О факультете
- Учебная деятельность
- Научная деятельность
- Новости
- Контакты
Зачем участвовать в CTF и как извлечь из этого максимальную пользу
Сегодня хакеры взламывают системы за 4–7 дней, а год назад им требовались для этого месяцы. Специалисты по ИБ и пентестеры тоже активно совершенствуют свои навыки — многие делают это на соревнованиях Capture The Flag (CTF). Там же они привлекают внимание работодателей и получают денежные награды. Расскажем всё самое интересное о CTF: зачем принимать в них участие и как извлекать из этого максимальную выгоду. Автор – Константин Крючков, многократный участник CTF (команда Keva), организатор учебных CTF в Swordfish Security.
Суть CTF
Capture The Flag (CTF) — буквально, «захват флага» – соревнование, участники которого пытаются захватить флаг соперников и защитить свой. В области ИБ флагами в таких играх выступает секретная информация — организаторы «зашивают» ее в специально разработанные системы. Заполучить эти данные можно только через взлом. Условия игр максимально приближены к реальным, а время ограничено. Принимают в них участие команды, заинтересованные в теме кибербезопасности, или отдельные специалисты, в том числе, хакеры разного уровня, разработчики, безопасники, студенты.
Первые в мире CTF-соревнования были проведены 30 лет назад в Лас-Вегасе на ежегодной хакерской конференции DEF CON. В России этот вид игр начал активно развиваться с 2009 года, когда команда HackerDom организовала в стране первые международные соревнования RuCTFE. В них приняли участие 43 команды со всего земного шара.
Где найти подходящий CTF
Найти подходящий вам CTF можно с помощью популярного ресурса CTFtime – здесь представлены описания 830 соревнований по всему миру, и их число постоянно растет. Также здесь можно посмотреть примеры решения заданий [write-up’ы] и статистику по командам. Больше всего на ресурсе западных и азиатских площадок. На CTFtime у каждого CTF есть вес — чем оно более топовое, тем вес ближе к 100. Сейчас самые весомые российские соревнования в рейтинге — это RuCTF, CTFzone и VolgaCTF. Самым большим соревнованием от российских организаторов по количеству участников была серия CyBRICS, сейчас она не проводится.
Очевидно, что у самых престижных соревнований и призовой фонд всегда самый высокий, может превышать 10 тыс долларов. Но и попасть на такие состязания нелегко. Бывает, что на участие в крупных CTF (типа парижской «Ночи хака», Nuit du Hack) изначально заявляется 700-800 команд, а отборочный тур проходит лишь 15. Поэтому в качестве первого состязания лучше выбирать что-то в своей стране и поближе к дому, чтобы расходы были не такими большими, а дальше совершенствоваться, постепенно оттачивать навыки, продвигаться.
Ну и всегда помнить о том, зачем вы идете на CTF. Основными целями могут быть следующие: попробовать свои силы, улучшить скиллы, повысить престиж, заработать денег – и тогда мы говорим про CTF как киберспорт; прокачать навыки в определенном направлении, попрактиковаться в решении реальных задач, стать заметными в тусовке, привлечь внимание работодателя – CTF как обучение и рост; отточить конкретные навыки в соответствии с конкретными задачами – CTF как инструмент для профессионального развития.
CTF как киберспорт
Участие в CTF стремительно набирает обороты с ростом популярности сервисов по кибербезопасности и с увеличением потребоности в специалистах, обладающих навыками защиты. Не секрет, что многие молодые ребята идут в эти соревнования с тем, чтобы заработать деньги и имя. Те, кто регулярно становятся победителями, известны в отрасли. И не только забирают себе призовые фонды состязаний, но и получают привлекательные предложения о работе от крупных работодателей. И так, начав «рубиться» в CTF со студенчества, годами остаются в этой сфере.
Изначальная мотивация участников отличается. Например, «гроссмейстер» CTF – Омар Beched Ганиев, «этичный хакер», специалист по безопасности приложений и тестированию на проникновение, спикер различных конференций (Highload++, PHDays, ZeroNights, OWASP и т. д.), член одной из сильнейших российской CTF-команд «More Smoked Leet Chicken», основатель компании «DeteAct», отвечая на наш вопрос, сказал: «Главной мотивацией было «надрать зад» остальным участникам и показать, что я самый крутой хакер». Другим интересно заработать деньги, получить признание тусовки.
Ребят, участвующих в состязаниях CTF из «спортивного интереса», обычно все знают. Их никнеймы часто светятся в процессе на мониторах и нередко выходят на первые строчки в финале. Они обладают не только знаниями в области кибербезопасности, но и «натренированностью» именно в таком формате. Ведь для «захвата флагов» требуются определенные навыки, знание тонкостей самих соревнований. Иногда впервые попавший сюда хороший специалист может ничего не завоевать только потому, что не в курсе всего этого. Профессиональные игроки точно знают, как организовать небольшую DDos-атаку в игре, положить сервис, отвлечь внимание ботов, которые контролируют процесс. Например, бывает, что образы, которые дают на CTF, сложно развернуть. И тогда преимущество получит команда, в которой есть специалист с мощными навыами по системному администрированию.
Есть два классических формата CTF: Jeopardy и Attack-Defense. Jeopardy – это набор задач на разные темы, которые команда решает вместе. Благодаря такому формату можно выявить лучшую команду в той области, для которой организаторы делали задания. На Attack-Defense участники сталкиваются с противниками напрямую, атакуя не автономную систему, а сервер реальных соперников, которые следят за атаками и реагируют на них. Чтобы победить, здесь, помимо обладания нужными скиллами, нужно провести большую подготовку: приготовить анализаторы трафика и авто-запускалки эксплоитов, оттренировать чёткое командное взаимодействие в «пылу битвы», придумать заготовки, чтобы обхитрить соперников. Attack-Defense прокачивает умение противостоять людям, а не просто машинам. Также есть третий формат – Cyber Polygon. Его особенность – в том, что команды стартуют в «живой» инфраструктуре, сети большой компании, где есть сотни узлов. В каждую секунду времени ситуация меняется. Участники, взломав машину, могут «пропатчить ее» и перекрыть к ней доступ другим командам. Это максимально близкий к боевым условиям формат.
Команды получают очки, участники становятся известными в мире CTF и, постепенно, в мире кибербезопасности. В России пока что люди из данной сферы исчисляются сотнями, максимум – тысячами, что говорит о существенном недостатке таких специалистов.
CTF как обучение
Из-за острой нехватки специалистов в области ИБ нужного уровня многие компании готовят их из Dev-Ops-инженеров и специалистов по разработке, организовывая или заказывая необходимые корпоративные тренинги. Одним из эффективных обучающих форматов как раз является CTF. Обычно такие турниры внутри компании проводятся в формате Jeopardy. Это легче для организаторов и полезнее для участников, если речь идет именно о повышении квалификации.
В таком CTF могут участвовать хоть 10, хоть 100 человек – число не имеет значения. Крайне важно для поддержания мотивации соблюсти баланс между азартом турнира и практической полезностью: чередовать сложные и простые задания, а также добавлять задачи «для разгрузки». Для всесторонней «прокачки» навыков, конечно, будет полезным попробовать оба формата.
В целях обучения для не-новичков в кибербезопасности можно сделать фокус (в том числе и в CTF) на определенных темах. Такое случается редко, но это возможно.
Существует такое понятие, как «банк заданий», где есть задачи разного уровня сложности и разных тематик. И можно выбирать их, исходя из уровня подготовки аудитории, направленности и целей обучения. Каждому из них эксперты присваивают свой уровень сложности (например, для уязвимости основой для оценки станет не только ее сложность как таковая, но и длина пути до эксплуатации). У нас в Академии Swordfish Security есть задачи-матрешки, когда вскрывается сразу несколько уязвимостей последовательно. Это сложный уровень.
Подобного рода обучающие CTF обычно проводятся в течение 2 дней (выходных, например), но иногда бывает и в будни. Набор задач обычно согласовывается с заказчиком и учитывает его задачи.
CTF как бизнес
Нередко те, кто увлечен CTF, проходит их множество раз в разных форматах, а потом просто не может расстаться с этим форматом. И превращает его в любимое дело, в бизнес. Организовать его непросто, здесь есть множество нюансов. И вложений тоже нужно немало.
Прежде всего, для организации CTF потребуется команда, которая напишет задания. Обычно это те, кто уже занимал топовые места в массовых турнирах, и услуги этих ребят стоят недешево. Также потребуется инфраструктура. Если речь идет о Jeopardy – нужна платформа для выдачи заданий и загрузки решений, плюс – некий анализатор результатов, чтобы ускорить процесс подсчета очков, если участников больше тысячи. Либо живые люди, проверяющие решение. Соответственно, тоже дорогие эксперты. Если речь идет об Attack-Defense, то необходимо «поднять» инфраструктуру на базе организатора или заказчика, обеспечить бесперебойность. Фактически, это сопоставимые затраты с фондом оплаты труда (ФОТ) полноценной компании за 1 день.
Любому CTF важно прежде всего наработать репутацию. Не должно быть никаких проблем с заданиями, организацией, накладок, поломок, неработающих серверов. Затем важно получить признание в отрасли, проведя ряд соревнований. И только потом, года через два-три после старта, можно наращивать объемы. Влад Росков, капитан команды LC↯BC / More Smoked Leet Chicken, многократный победитель и организатор CTF (с сообществом SPbCTF), рассказал нам, что когда у его команды накопилось несколько лет опыта по организации успешных соревнований и митапов, их начали приглашать проводить внутренние CTF’ы для сотрудников. Эта деятельность сочетает в себе и образование, и практику, и hiring-event, который помогает компании выделить самых склонных к изучению кибербезопасности коллег, а также – это нестандартный, но очень увлекательный тимбилдинг: сотрудники попадают в дружеское соревнование, где можно драйвово и полезно провести время с командой коллег над сложными и непривычными задачами, укрепив взаимодействие друг с другом, и перенести полученный опыт в работу.
Рекомендации по CTF разного уровня сложности от Swordfish Security: Для супер новичков: picoCTF – двухдневная игра, где у игрока есть персонаж, и его нужно передвигать от точки к точке, от задания к заданию; CSAW – интересный американский CTF, asisCTF – иранский CTF. Для экспертов («хардкор»): Hack.lu. Из Attack-Defense – RuCTFE. Там есть возможность поучаствовать участнику любого уровня. Один из самых интересных CTF – HacktheBox.
Попробовать свои силы также можно на платформе Root Me. Это ресурс, где вы можете потестировать свои навыки индивидуально без участия в соревнованиях (для тех, кто избегает публичности). Еще можно пройти Курс молодого бойца – довольно полезный ресурс для начинающего CTF’ера.
Заключение
CTF – это вызов, это игра и формат, который затягивает, и при участии в подобных мероприятиях, как и при занятии спортом, через некоторое время человеческий мозг запускает выработку серотонина, что стимулирует развитие навыков и, как следствие, компетенции участников. Они прокачиваются не только в области поиска и эксплуатации уязвимостей, но и в навыках работы в команде, организации процессов, управлении ресурсами, тайм-менеджменте, приобретают полезные связи, расширяют кругозор, смотрят на проблему «сверху», отчего она становится обыкновенной задачей. Многие регулярные участники CTF смогли применить полученные навыки в жизни, начав собственное дело. По нашему опыту, это один из лучших форматов для комфортного вовлечения разработчиков в культуру DevSecOps.