Захват флага (кибербезопасность)
Захват флага (англ. Capture the Flag, CTF) в компьютерной безопасности — это упражнение, в котором участники пытаются найти текстовые строки, называемые «флагами», скрытые в преднамеренно уязвимых программах или веб-сайтах. Такие задания используются как в соревновательных, так и в образовательных целях. Основные два типа CTF — это соревнования по атаке и защите (attack/defense), где участники получают флаги друг у друга, и по принципу «викторины» (jeopardy), где флаги находятся в заданиях, подготовленных организаторами. Смешанный формат сочетает оба подхода[1]. Флаги могут быть спрятаны и в аппаратных устройствах; соревнования проводятся как онлайн, так и очно, и могут быть разного уровня сложности. Игра вдохновлена одноимённой спортивной игрой на открытом воздухе. CTF используется для развития и совершенствования навыков кибербезопасности, благодаря чему формат популярен как в профессиональной, так и в академической среде[2].
Общее описание
Захват флага (CTF) — это соревнование в области кибербезопасности, предназначенное для проверки и развития навыков защиты информации. Впервые такой формат был реализован в 1996 году на конференции DEF CON, самой крупной конференции по кибербезопасности в США, проводимой ежегодно в Лас-Вегасе, штат Невада[3]. Конференция проводит уикенд соревнований по кибербезопасности, включая своё главное событие — CTF.
Два наиболее популярных формата CTF — «викторина» (jeopardy) и «атака-защита» (attack-defense)[2][4]. Оба формата проверяют знания участников в области кибербезопасности, но отличаются целями. В формате Jeopardy команды должны решить как можно больше заданий разной сложности и из различных категорий, таких как криптография, веб-эксплуатация, реверс-инжиниринг[5]. В «атаке-защите» команды защищают свои уязвимые серверы и одновременно пытаются атаковать инфраструктуру соперников[4].
Список задач в таких соревнованиях очень широк и включает эксплуатацию уязвимостей, взлом паролей и многое другое, однако мало исследований посвящено тому, как выполнение таких заданий способствует формированию знаний у профессионалов. Недавние исследования показывают, что задания CTF в основном ориентированы на технические знания и мало затрагивают социальную инженерию и вопросы повышения осведомлённости о кибербезопасности[6].
CTF и образование
Показано, что CTF — эффективный инструмент повышения качества образования в области кибербезопасности путём геймификации[7]. Существует множество примеров CTF, специально разработанных для обучения кибербезопасности разным аудиториям, в том числе PicoCTF, организованный Carnegie Mellon CyLab и ориентированный на школьников, и pwn.college под эгидой Аризонского государственного университета[8][9][10]. Помимо специализированных мероприятий и ресурсов, CTF признан чрезвычайно эффективным инструментом для внедрения кейсов кибербезопасности в учебный процесс[11][12]. CTF используют и в программах бакалавриата, например, на курсе «Введение в информационную безопасность» в Национальном университете Сингапура[13]. CTF являются популярными и в военных академиях: они часто включаются в учебные программы по кибербезопасности, а итоговым мероприятием NSA Cyber Exercise становится CTF между академиями и вузами США[14].
Соревнования
Многие организаторы CTF-рейтингуют свои соревнования на платформе CTFtime, что позволяет отслеживать результаты команд и их позиции за разные годы[15]. Среди известных команд — «Plaid Parliament of Pwning», «More Smoked Leet Chicken», «Dragon Sector», «dcua», «Eat, Sleep, Pwn, Repeat», «perfect blue», «organizers» и «Blue Water». Чаще всего первыми в мировом рейтинге становились «Plaid Parliament of Pwning» и «Dragon Sector» — по три раза каждая[16].
Ежегодно проводится десятки соревнований CTF в различных форматах. Многие из них связаны с крупными конференциями по кибербезопасности, такими как DEF CON, HITCON и BSides. CTF на DEF CON — это соревнование по атаке-защите и одно из старейших подобных мероприятий, называемое журналистами «Мировая серия»[17], «Супербоулом»[10][18] и даже «Олимпийскими играми» хакеров[19]. Открытое студенческое соревнование CSAW CTF, организуемое Тандонской школой инженерии Нью-Йоркского университета, является одним из крупнейших энтри-ивентов для студентов всего мира[5]. В 2021 году более 1200 команд приняли участие в отборочном этапе[20].
Помимо соревнований при конференциях, отдельные клубы и команды также организуют собственные турниры[21]. Многие клубы и команды связаны с университетами, например, «Plaid Parliament of Pwning» (Карнеги-Меллон), организующий PlaidCTF[5], и Shellphish из Аризонского государственного университета[22].
К поддерживаемым государством соревнованиям CTF относятся DARPA Cyber Grand Challenge и организуемый Агентством по кибербезопасности Европейского союза European Cybersecurity Challenge[23]. В 2023 году проходящее при поддержке Космических сил США мероприятие Hack-a-Sat впервые включало непосредственную работу с действующим спутником на орбите[24].
Крупные корпорации и организации иногда используют CTF для тренинга или оценки сотрудников. Преимущества CTF для бизнеса схожи с использованием формата в образовательной сфере. Помимо внутренних соревнований, некоторые компании, такие как Google[25] и Tencent, проводят открытые турниры по CTF.
В популярной культуре
- В сериале Mr. Robot в первой серии третьего сезона показан отборочный тур на CTF-конкурсе DEF CON; в кадре виден и логотип DEF CON.
- В Необъявленная война эпизод с CTF используется как инструмент найма сотрудников GCHQ[26].
- События китайского телесериала Go Go Squid! построены вокруг подготовки и участия персонажей в стилизованных CTF-соревнованиях[27].
Примечания
Ссылки
- ctftime.org — архив прошедших, действующих и будущих соревнований CTF