User:Drmeix/sandbox

Тим који је учествовао на такмичењу Освајање заставе на DEF CON 2017.

Освајање заставе (CTF) у области рачунарске безбедности је активност у којој учесници траже скривене текстуалне стрингове, познате као “заставе”, у намерно рањивим програмима или вебсајтовима. Ове вежбе служе и за такмичење и за образовање. CTF-ови долазе у два основна облика: учесници или освајају заставе од других у догађајима напад/одбрана или решавају изазове које постављају организатори у CTF-овима типа “опасност”. Нека такмичења мешају ове формате^[1]. Додатно, заставе могу бити скривене унутар хардверских уређаја, а догађаји се могу одржавати на мрежи или уживо, приступачни различитим нивоима вештина. Концепт игре је изведен из традиционалног спорта на отвореном који носи исти назив.

Преглед

Освајање заставе (CTF) је такмичење из области кибербезбедности дизајнирано да тестира и побољша вештине компјутерске безбедности. Потекло је 1996. године на DEF CON, највећој конференцији о кибербезбедности у Сједињеним Америчким Државама, која се одржава годишње у Лас Вегасу, Невада.^[2] Конференција обухвата викенд испуњен такмичењима из области кибербезбедности, на чијем челу је њихов главни CTF догађај.

Два популарна формата CTF-а су Јеопарди и напад-одбрана.^[3] Оба формата тестирају знање учесника у области кибербезбедности, али се разликују по циљу. У формату Јеопарди, учествујући тимови морају да заврше што више изазова различитих вредности бодова из различитих категорија као што су криптографија, искоришћавање веба и реверзни инжењеринг^[4]. У формату напад-одбрана, такмичарски тимови морају да бране своје рањиве компјутерске системе док нападају системе својих противника.^[5]

Вежба обухвата различите задатке, као што су искоришћавање и крековање лозинки, али постоји мало доказа о томе како се ови задаци корелирају са стручношћу за кибербезбедност професионалаца. Скорашње студије указују да активности Освајања заставе пре свега адресирају техничко знање и изостављају важне социјалне аспекте као што су социјални инжењеринг и свест о кибербезбедности. Стога, истраживачи предлажу да је нагласак на нетехничким предметима такође неопходан за борбу против софистицираних кибер претњи.^[6]

Образовне апликације

Такмичења у Освајању заставе (CTF) су се показала као ефикасан метод за побољшање образовања из области кибербезбедности кроз игрификацију.^[7] Бројни CTF-ови су израђени да би пренели вештине кибербезбедности различитим аудиторијумима. На пример, "PicoCTF", који организује CyLab Карнеги Мелона, циља ученике средњих школа, док "pwn.college", који подржава Универзитет у Аризони, обраћа се широј публици.^{[8] [9]}Изван само образовних догађаја, CTF-ови су инструментални у уграђивању принципа кибербезбедности у академске оквире.^[10] Они су интегрисани у предмете на основним студијама као што је Увод у информациону безбедност на Националном универзитету у Сингапуру и такође су прихваћени од стране војних академија^[11]. Кибер вежба НСА, која укључује CTF изазов, је знаменити део програма кибербезбедности на америчким војним академијама и војним колеџима.

Такмичења

Бројни организатори CTF-а региструју своје догађаје на платформи CTFtime, која олакшава праћење позиција тимова током времена и преко различитих такмичења.^[12] Ови догађаји могу бити организовани од стране заједница, влада или корпорација. Од почетка CTFtime 2011. године, седам тимова је постигло #1 ранг у глобалним стањима. Ови тимови су “Plaid Parliament of Pwning,” “More Smoked Leet Chicken,” “Dragon Sector,” “dcua,” “Eat, Sleep, Pwn, Repeat,” “perfect blue,” и “organizers.” Значајно је да су “Plaid Parliament of Pwning” и “Dragon Sector” сваки осигурали врхунску глобалну позицију три пута, највише од било ког тима.^[13]

Народна такмичења

Годишње се одржава множина такмичења у Освајању заставе (CTF) у различитим форматима. Многи CTF-ови су повезани са конференцијама о кибербезбедности као што су DEF CON, HITCON и BSides. CTF DEF CON, познат по свом стилу напад-одбрана, препознат је као један од најдужих CTF такмичења и медији га описују као “Светску серију”, “Супербоул” и “Олимпијаду” хаковања. CTF Светске свести о кибербезбедности (CSAW) Школе инжењерства Tandon NYU је међу највећим такмичењима из области кибербезбедности усмереним на студенте.^[4] 2021. године привукао је преко 1200 тимова у квалификационом кругу.^[14]

Поред CTF-ова које организују конференције, бројни CTF клубови и тимови такође организују такмичења.^[15] Многи од ових клубова и тимова су повезани са универзитетима, као што је Plaid Parliament of Pwning који је повезан са CMU и који организује PlaidCTF,^[4] и Shellphish који је повезан са ASU.^[16]

Државно подржана такмичења

Такмичења у Освајању заставе (CTF) која спонзоришу владе, као што су DARPA Cyber Grand Challenge и ENISA European Cybersecurity Challenge, су знаменити догађаји. 2023. године, на такмичењу Hack-a-Sat CTF које је спонзорисала Америчка космичка снага, учесници су први пут имали прилику да искористе живи орбитални сателит.^[17]

Корпоративно подржани такмичења

Корпорације и друге ентитети повремено користе вежбе Освајања заставе (CTF) у сврхе обуке и оцене. Предности CTF-ова одражавају оне које се налазе у образовним окружењима. Изван интерних вежби, компаније као што су Google и Tencent такође нуде CTF такмичења која су отворена за јавност.

У популарној култури

• У Мр. Роботу, квалификациони круг за DEF CON CTF такмичење је приказан у првој епизоди треће сезоне “eps3.0_power-saver-mode.h”.
• У серији Недекларисани рат, CTF је приказан у почетној сцени серије као вежба за рекрутовање коју користи GCHQ.^[18]
• Go Go Squid!, кинеска телевизијска серија, базирана је на тренингу и такмичењу у високо стилизованим CTF такмичењима.^[19]

Такође погледајте

• Ратна игра (Wargame (hacking))
• Припремљеност за кибер ратовање (Cyberwarfare preparedness)
• Hackathons
• Такмичарско програмирање (Competitive programming)
• Кибер безбедност у популарној култури
• Приватност (Privacy)

Референце

1. "CTFtime.org / What is Capture The Flag?". ctftime.org. Retrieved 2024-04-25.
2. USA, ed. (2003). Proceedings / DARPA Information Survivability Conference and Exposition: Washington, DC, April 22 - 24, 2003. Los Alamitos, Calif.: IEEE Computer Society. ISBN 978-0-7695-1897-8.
3. Says, Etuuxzgknx (2020-06-10). "Introduction To 'Capture The Flags' in CyberSecurity - MeuSec". Retrieved 2024-04-25.
4. Chung, Kevin; Cohen, Julian (2014). "Learning Obstacles in the Capture The Flag Model". {{cite journal}}: Cite journal requires |journal= (help)
5. Says, Etuuxzgknx (2020-06-10). "Introduction To 'Capture The Flags' in CyberSecurity - MeuSec". Retrieved 2024-04-25.
6. Švábenský, Valdemar; Čeleda, Pavel; Vykopal, Jan; Brišáková, Silvia (2021-03-01). "Cybersecurity knowledge and skills taught in capture the flag challenges". Computers & Security. 102: 102154. doi:10.1016/j.cose.2020.102154. ISSN 0167-4048.
7. Balon, Tyler; Baggili, Ibrahim (Abe) (2023-09-01). "Cybercompetitions: A survey of competitions, tools, and systems to support cybersecurity education". Education and Information Technologies. 28 (9): 11759–11791. doi:10.1007/s10639-022-11451-4. ISSN 1573-7608. PMC 9950699. PMID 36855694.
8. "ASU's cybersecurity dojo | ASU News". news.asu.edu. Retrieved 2024-04-25.
9. "picoCTF aims to close the cybersecurity talent gap". 2024-4-25. {{cite web}}: Check date values in: |date= (help)
10. Lucas, McDaniel. Capture the Flag as Cyber Security Introduction. ISBN 978-0-7695-5670-3.
11. "National Security Agency/Central Security Service > Cybersecurity > NSA Cyber Exercise". www.nsa.gov. Retrieved 2024-04-25.
12. "CTFtime.org / All about CTF (Capture The Flag)". ctftime.org. Retrieved 2024-04-25.
13. "CTFtime.org / CTF teams". ctftime.org. Retrieved 2024-04-25.
14. "CSAW Capture the Flag". CSAW. Retrieved 2024-04-25.
15. Balon, Tyler; Baggili, Ibrahim (2023-09). "Cybercompetitions: A survey of competitions, tools, and systems to support cybersecurity education". Education and Information Technologies. 28 (9): 11759–11791. doi:10.1007/s10639-022-11451-4. ISSN 1360-2357. PMC 9950699. PMID 36855694. {{cite journal}}: Check date values in: |date= (help)
16. "These grad students want to make history by crushing the world's hackers". Yahoo Finance. 2016-08-04. Retrieved 2024-04-25.
17. Lyons, Jessica. "Moonlighter space-hacking satellite is in orbit". www.theregister.com. Retrieved 2024-04-25.
18. Seufert, W.; Jentsch, S. (1992-08). "In vivo function of the proteasome in the ubiquitin pathway". The EMBO Journal. 11 (8): 3077–3080. doi:10.1002/j.1460-2075.1992.tb05379.x. ISSN 0261-4189. {{cite journal}}: Check date values in: |date= (help)
19. Qin ai de, re ai de (Drama, Romance, Sport), Zi Yang, Xian Li, Mingde Li, Shanghai GCOO Entertainment, 2019-07-09, retrieved 2024-05-14