Un capture the flag (CTF) concorso è un tipo speciale di concorrenza cybersecurity progettato per sfidare i suoi partecipanti per risolvere i problemi di sicurezza informatica e/o catturare e difendere i sistemi informatici. In genere, queste competizioni sono basate sul team e attirano una vasta gamma di partecipanti, tra cui studenti, appassionati e professionisti. Una competizione CTF può richiedere alcune ore, un giorno intero o anche più giorni.
Le competizioni CTF sono cresciute dalle loro umili radici per raggiungere lo status di livello sportivo, con migliaia di partite individuali e campionati che si svolgono ogni anno in tutto il mondo-tra cui l’annuale DEF CON competition, uno degli eventi CTF più prestigiosi al mondo.
Come funziona una competizione CTF
Ci sono diverse varianti sul formato capture the flag. Gli stili più popolari sono jeopardy, attacco-difesa e un mix dei due.
In un formato CTF jeopardy, i team devono completare il maggior numero possibile di sfide di sicurezza informatica da una determinata selezione, testando le loro abilità e conoscenze su una vasta gamma di categorie di sicurezza informatica in modi nuovi e creativi. Le attività tipiche sono legate al networking, alla programmazione, alle applicazioni, ai dispositivi mobili, alla forensics, al reverse engineering e alla crittografia. Per ogni sfida che una squadra completa, viene premiato un numero specifico di punti.
In una competizione CTF attacco-difesa, i team devono catturare e difendere sistemi informatici vulnerabili, in genere ospitati su macchine virtuali in una rete isolata. Per guadagnare punti, una squadra può mantenere la proprietà del maggior numero possibile di sistemi negando l’accesso alle altre squadre in competizione.
Infine, un CTF misto è probabilmente il più impegnativo per i partecipanti. Combinando stili di pericolo e attacco-difesa, i team di successo devono dividere strategicamente i loro sforzi e giocare con i punti di forza di ciascuno dei loro membri completando le sfide di sicurezza e contemporaneamente hackerando i sistemi vulnerabili di destinazione, mantenendo l’accesso a queste macchine e difendendole contro i loro concorrenti.
Il vincitore è di solito la squadra o individuo con il maggior numero di punti alla fine del gioco. Come molti eventi sportivi, i premi sono comunemente assegnati per il primo, secondo e terzo posto. Nell’interesse dell’integrità del concorso e del rispetto per la piattaforma di gioco, le regole di base del CTF sono condivise con i partecipanti prima dell’evento. La violazione di queste regole può comportare restrizioni o addirittura l’eliminazione dalla competizione.
Dietro le quinte di un evento CTF
Si avvicina alle 9 del mattino di novembre. 24 nella grande sala da ballo del Ballsbridge Hotel a Dublino. Mentre la concorrenza tanto atteso non inizia ufficialmente per un’altra ora, diverse squadre di concorrenti desiderosi abbracciato la fredda mattina d’inverno irlandese ed è arrivato con largo anticipo presso la sede, computer portatili di fiducia e switch di rete ben indossati in mano, pronti a giocare.
La decadente sala da ballo, con i suoi lampadari e ricchi arredi spesso riservati a matrimoni e altre occasioni formali, ospita il concorso IRISSCON 2016 capture the flag. Il concorso è un punto fermo della conferenza annuale sulla sicurezza informatica, che è uno dei più grandi eventi del suo genere in Irlanda. Il CTF attira concorrenti da tutta la nazione. Alcuni partecipanti sono volti regolari sul circuito, mentre altri stanno giocando per la prima volta.
Un ambiente live
William Bailey, architetto della sicurezza operativa presso IBM in Irlanda, è uno degli organizzatori di questo evento CTF.
” Miriamo a dimostrare e insegnare ai partecipanti tecniche pratiche di attacco e difesa in un ambiente vivo, dove la scoperta e lo sfruttamento delle vulnerabilità, così come la protezione dei sistemi e il completamento delle sfide individuali, sono premiati”, ha spiegato.
Bailey e il suo collega Jason Flood sono veterani organizzatori del CTF, avendo gestito la principale competizione IRISSCON negli ultimi anni. Oggi, Flood e Bailey sono supportati da un grande team di volontari dedicati dalla divisione cybersecurity di IBM Ireland Lab. Tutti hanno lavorato duramente nell’hotel di Dublino da 5 a. m. allestendo la sede per la competizione, trascinandosi dietro grandi apparecchiature server, eseguendo cavi di rete per computer attraverso la stanza e distribuendo la loro piattaforma CTF personalizzata dalla console principale.
Nonostante l’inizio precoce, l’eccitazione e l’energia nella stanza sono palpabili. Il ronzio riprende in armonia con il flusso costante di diversi giocatori che arrivano alla sede, allineandosi con gli sforzi di preparazione finale da parte del team organizzatore. Un totale di 17 squadre, ciascuna composta da quattro giocatori, preregistrati per l’evento. Sia i giocatori nuovi che quelli esperti saranno esposti a nuovi strumenti, tecnologie e metodi di attacco e difesa.
“Abbiamo progettato la piattaforma in modo che tutti i giocatori possano utilizzare efficacemente strumenti di attacco reali, e anche i giocatori esperti possono trovare nuove tecniche per sfruttare questi sistemi, il tutto all’interno di un ambiente sandbox”, ha detto Bailey. “Stiamo includendo sia le tecniche di attacco che quelle di difesa in un ambiente sicuro e gamificato, segnando i giocatori sulla loro capacità di completare le sfide, scoprire e sfruttare le falle di sicurezza, oltre a colmare le lacune di sicurezza che trovano sui sistemi vulnerabili.”
Un silenzio inquietante
alle 10 del mattino., con concorrenti pronti e aspettando alle loro tavole rotonde di squadra assegnate, le luci sono drasticamente oscurate per mettere la scena drammatica. Dopo un breve briefing e una carrellata delle regole della casa da Flood, la competizione IRISSCON CTF inizia ufficialmente.
Un silenzio inquietante scende sulla grande sala da ballo dell’hotel mentre il CTF prende il via, interrotto solo dalle chiacchiere occasionali del team e dal ronzio costante e ritmico della colonna sonora di musica elettronica dell’evento. Guardandosi intorno, una trance ha preso possesso dei giocatori, che sono profondamente immersi nel gioco. L’atmosfera, mentre inizialmente gioviale in natura, acquisisce rapidamente un carattere molto più serio.
Un tabellone gigante è proiettato sul muro, un punto di fissaggio centrale che descrive il successo di ogni conquista e vittoria durante il giorno e mostra le prime 10 squadre in base ai loro punti accumulati. Gli occhi dei giocatori di tanto in tanto guardano nervosamente verso l’alto, valutando come i loro sforzi stanno andando contro gli altri in classifica.
Play-by-Play
A parte le sfide standalone, i team ricevono punti sfruttando e mantenendo il controllo dei sistemi informatici vulnerabili da un pot di 25 macchine virtuali, che eseguono una miscela di sistemi operativi Windows e Linux, sulla rete CTF isolata. Per ogni sistema che un team acquisisce e possiede con successo, impedendo l’accesso da altri team, riceverà un punto al minuto di proprietà. Ogni sistema informatico vulnerabile è mappato visivamente a un paese specifico sul globo rotante 3-D del quadro di valutazione CTF. Un paese viene illuminato sul display quando una squadra rivendica la macchina corrispondente.
Una squadra, in un colpo di genio tecnico e spietata strategia di difesa, ha tagliato l’accesso alle proprie macchine disattivando Secure Shell (SSH). Ciò ha reso difficile per la loro concorrenza per catturare e contestare la proprietà di questi sistemi informatici, anche se sono riusciti a scoprire gli exploit che avrebbero altrimenti fornito una backdoor per accedere.
Durante l’ora di pranzo, la piattaforma CTF viene temporaneamente spenta per ospitare una meritata pausa alimentare per tutti. Tuttavia, molte squadre rimangono piantate nelle loro stazioni, discutendo cautamente le loro strategie in semplici sussurri. Come i giocatori di calcio in uno spogliatoio durante l’intervallo, questi concorrenti CTF sono profondamente assorti nel loro sport, esaminando la posizione delle loro squadre e pianificando di adattarsi di conseguenza.
Uno sponsor dell’azienda fornisce gentilmente un tavolo di snack e bevande analcoliche nell’angolo della sala da ballo, un richiamo energetico tanto necessario per mantenere la concentrazione e la concentrazione dei giocatori a livelli ottimali per tutto il giorno. Più tardi, durante una pausa caffè, un certo numero di curiosi partecipanti alla conferenza non coinvolti nel CTF entrare nella sala concorrenza. Un signore modesto tra la folla chiede tranquillamente di essere informato delle squadre vincenti in modo da ” sapere chi assumere.”
Tirando la spina
Infine, dopo quasi sei ore di intensa, highs-stakes concorrenza, la spina viene tirato sulla piattaforma. C’è una massiccia, espirazione collettiva, come se tutti all’interno della sala da ballo stato trattenendo il respiro per tutto il giorno. Il CTF è finita e il tabellone racconta la storia spettacolare di un vincitore standout.
La squadra del primo posto, che ha superato il primo posto dopo un feroce tratto finale del gioco, è oltre l’estasi, per non parlare solo di un po ‘ mentalmente esausta. Questi quattro giocatori guadagnano un grazioso applauso dai loro coetanei e buoni regalo considerevoli come ricompensa per la loro prestazione vincente.
Per molti concorrenti, i premi big-ticket sono un benvenuto, ma vantaggio materiale. Probabilmente, il vero premio in è la competenza inestimabile, sviluppo professionale, know how e contatti del settore che i concorrenti CTF stanno per ottenere, indipendentemente dal fatto che la loro squadra arriva al primo o all ” ultimo posto. Per i vincitori, la gloria e il riconoscimento dei pari ricevuti è un ulteriore bonus.
Vantaggi del mondo reale
Vuoi iniziare una carriera nella sicurezza informatica o aumentare il tuo profilo di settore? Una competizione CTF è un ottimo punto di partenza. Questi eventi sono spesso seguiti da vicino e frequentati da reclutatori e dirigenti che sperano di individuare talenti in erba e headhunt professionisti esistenti.
In cerca di lavoro o no, un CTF è uno dei modi migliori per sfidare la vostra esperienza all’interno di un ambiente sicuro, indulgente e collaborativo, se sei uno studente, appassionato o guru della sicurezza. Oltre ai chiari vantaggi di sviluppo tecnico, i CTF offrono anche ai partecipanti una grande opportunità di lavorare sulle loro soft skill, come la comunicazione, il lavoro di squadra, la gestione del tempo, la risoluzione dei problemi e l’adattabilità.
Nonostante l’ambiente competitivo, l’occasione ha anche un forte elemento sociale. Dà ai giocatori la possibilità di incontrarsi nella vita reale per fare rete, condividere conoscenze e legami su obiettivi, esperienze e interessi comuni. Ma se sei il tipo di persona a cui piace andare per l’oro, molti CTF, attraverso sponsorizzazioni e finanziamenti, offrono generosi premi.
Infine, i CTF sono vantaggiosi per i ricercatori e gli accademici della sicurezza che possono utilizzare i dati di attacco e il traffico di rete generato durante le competizioni come casi di studio per aiutare a modellare, prevedere e prevenire incidenti di sicurezza nel mondo reale.
Come partecipare
Le competizioni CTF si svolgono in una varietà di forme, dimensioni e formati in tutto il mondo ogni anno. La popolarità di questi eventi è in aumento come interesse per la sicurezza informatica e l’hacking etico entra rapidamente nel mainstream.
In genere, gli eventi CTF operano su base BYOD (bring-your-own-device), il che significa che i giocatori che desiderano giocare dovranno portare il proprio laptop per partecipare. Tuttavia, è possibile eseguire un CTF con la configurazione appropriata e il permesso di utilizzare l’infrastruttura esistente, come una scuola superiore, un college, un ufficio o persino un laboratorio informatico pubblico.
Se sei interessato a partecipare a una competizione CTF, effettua una rapida ricerca online o chatta con un professionista della sicurezza IT locale o un professore di informatica per trovare un evento vicino a te. Ci sono molte informazioni e piattaforme online per aiutare i potenziali partecipanti a prepararsi, allenarsi e persino trovare una squadra per un prossimo evento CTF. La Guida sul campo CTF è una risorsa brillante per iniziare.
I principianti non dovrebbero prepararsi troppo o preoccuparsi troppo. I giochi CTF sono eventi inclusivi con atmosfere aperte e accoglienti. Se non si dispone di una squadra con cui giocare, vi verrà assegnato uno prima della competizione o il giorno del.
Come organizzare un evento CTF
Per coloro che organizzano un CTF, assicurarsi di comunicare chiaramente regole e confini adatti alla competizione prima dell’evento. Ad esempio, ai partecipanti è solitamente vietato attaccare la rete della sede ospitante, eseguire attacchi denial-of-service o violare i dispositivi degli altri concorrenti.
I Chief Information Security Officer (CISO) dovrebbero prendere in considerazione l’opportunità di incoraggiare in modo proattivo il personale a partecipare alle competizioni CTF come parte del loro sviluppo professionale. Ciò consentirebbe loro di affinare le loro abilità di red team, di legare come una squadra e di mantenere il loro vantaggio nel settore.
Meglio ancora, considera di investire nella tua competizione in stile CTF all’interno della tua organizzazione. Invita la tua base di dipendenti, studenti locali e appassionati di sicurezza a prendere parte. Tali iniziative costituiscono una base efficace per una più ampia strategia di educazione e sensibilizzazione alla cibersicurezza. Le competizioni CTF possono aiutare il tuo team di sicurezza a rimanere sul suo A-game, promuovere la tua azienda e fornire canali affidabili e misurabili per attirare nuovi talenti.
Leggi il rapporto X-Force: Il ruolo degli esercizi CTF nella pianificazione della risposta agli incidenti di sicurezza