Bạn đã bao giờ nghe đến CTF [Capture
theFlag] chưa? Chắc hẳn còn rất nhiều bạn chưa biết CTF thì chần
chờgì mà không xem ngay bài viết để tìm hiểu về CTF – cuộc thi trí
tuệcho chuyên gia bảo mật. Hãy cùng nhau tìm hiểu về nguồn gốc của
CTFnhé.
CTF là gì?
I. CTF là gì?
1. Định nghĩa
CTF là viết tắt của cụm từ Capture the Flag.Đây
được xem là một cuộc thi về kiến thức dành cho những ngưởi yêuthích
và có đam mê với bảo mật thông tin an ninh mạng. Họ cùng nhautranh
tài
trong một trận đấu với nhiệm vụ tìm ra các lỗ hổng và tấncông
vào máy chủ của các đội khác để ghi điểm, đồng thời phải nhanhchóng
vá các lỗ hổng trên máy chủ của đội nhà, tránh bị các độikhác tấn
công.
Một cuộc thi tranh tài về kiến thức an ninh mạng
2. Nguồn gốc
Cái tên Capture The Flag xuất phát từ cách chơi của cuộc thi.Mỗi
đội chơi khi tham gia so tài tại CTF sẽ tranh đua nhau để tìmra một
Mật mã đặc biệt được giấu bên trong server, Flag. Đội nàohack vào
hệ thống của đối thủ và tìm ra Flag nhanh hơn sẽ giànhchiến thắng
vòng thi. Những người tham gia CTF gồm cá nhân, tậpthể, hacker, các
chuyên gia bảo mật, các nhóm nghiên cứu về an toànthông
tin, học
sinh sinh viên.
Cuộc thi CTF tại FPT University
Đơn vị tổ chức cuộc thi CTF thường là các tổ chức, các trườngđại
học, học viện, viện nghiên cứu. Ngoài ra, bên cạnh các hội thảovề
Security và Hacking cũng có những
giải đấu CTF. Một số cuộc thiCTF
thường được tổ chức như: DEF CON CTF Qualifier, DEF CONCTF,
Codegate YUT Preliminary, UCSB iCTF, RuCTFe, WhiteHat
GrandPrix…
II. Nguồn gốc
Cuộc thi CTF lần đầu tiên được tổ chức tại hội thảo bảo mật
nổitiếng DEFCON [Mỹ] lần thứ 5 năm 1997. Đối với các người chơi
CTFnổi bật thì DEFCON được coi là “vòng chung kết” của vòng thi
vàđược tổ chức từ năm 1996 tại hội nghị hacker lớn nhất
và
NYU-CSAW[Tuần lễ nhận thức an ninh mạng], cuộc thi an ninh mạng lớn
nhấtdành cho sinh viên.
Cuộc thi được tổ chức tại NYU-CSAW
III. Tổ chức CTF
1. Cách chơi CTF
Mỗi cuộc thi sẽ
có những quy định từ Ban tổ chức, người chơiđăng
ký chơi đồng đội hoặc cá nhân. Hình thức thi CTF có thể tổchức dưới
dạng online hoặc offline. Các cuộc thi CTF uy tín thườngtổ chức
thành 2 vòng thi khác nhau trong đó vòng 1 thi online đểlựa chọn
các đội thi mạnh nhất để cùng nhau so tài tại vòng chungkết được tổ
chức offline.
Có thể đăng ký tham gia đồng đội hoặc cá nhân
CTF gồm những bài thi khác nhau theo từng chủ đề khác nhau
liênquan đến an toàn thông tin như: Web, Forensic,
Crypto,Binary, Stegano… Mỗi đội chơi khi tham gia CTF sẽ
được cấpmột máy chủ [hoặc một mạng máy chủ] đã
cài đặt sẵn nhiều
chươngtrình có các lỗ hổng bảo mật. Nhiệm vụ của đội chơi là tìm ra
cáclỗ hổng và tấn công vào máy chủ của các đội khác để ghi điểm,
đồngthời phải nhanh chóng vá các lỗ hổng trên máy chủ của đội
nhà,tránh bị các đội khác tấn công.
2. Hình thức thi
3 hình thức thi chính của CTF
Cuộc thi CTF thường chia thành 3 hình thức chơi chính:
- Trả lời thử thách theo từng chủ
đề[Jeopardy-style]: Nhiều chủ đề như: Web, Forensic,
Crypto,Binary, Stegano… sẽ xuất hiện trong bài thi CTF xếp theo độ
khótăng dần cùng với điểm số cũng tăng theo. Mỗi đội chơi vận dụng
kỹnăng, kinh nghiệm để thực hiện tìm được chính xác các “flag”
đượcgiấu và sau đó sẽ nhận điểm tương ứng với bài thi. Đội nào có
sốđiểm cao nhất sẽ dành chiến thắng. Trong trường hợp các đội
bằngđiểm nhau, kết quả sẽ được tính dựa trên thời gian gửi “flag”.
Hìnhthức thi này được tổ chức phổ biến nhất hiện
nay,thực hiện trong 1 đến 2 ngày [24- 48 tiếng].
- Tấn công và
phòng thủ [attack & defence]:
Hìnhthức thi này được đánh giá là gần thực tế tình hình an toàn
mạngnhất những cũng là hình thức có độ khó cao. Người chơi rèn
luyện từcác kỹ năng tìm kiếm lỗ hổng bảo mật, khai thác các lỗ hổng
đó đếnkhả năng khắc phục các điểm yếu, lỗ hổng, bảo vệ hệ thống của
mìnhtrước các tấn công từ các đội khác. Cách thức tính điểm dựa
trênđiểm thi trên từng tiêu chí khác nhau như: điểm tấn công,
điểmphòng thủ, điểm thưởng,…
- Hình thức thi kết hợp là sự phối hợp của 2hình
thức trên, chẳng hạn như kết hợp giữa hình thức chỉ có tấncông
[attack only] với các dạng thử thách khác nhau.
3. Bắt đầu học từ đâu
Bắt đầu học từ đâu
Cuộc
thi CTF dành cho mọi người đều có thể tham gia nhưng đểtham
gia cuộc thi này với mong ước giành lấy giải thưởng hoặc họchỏi
thêm nhiều kiến thức thì người chơi cần có những bước chuẩn bịthật
sẵn sàng đối mặt với tất cả vòng thi đấu kịch tính và căngthẳng của
CTF. Người chơi CTF ít nhất phải nắm rõ kiến thức cơ bảnvề an toàn
thông tin mạng và một số công cụ hỗ trợ thíchhợp.
Bạn có thể học tập những kiến thức cơ bản từ những trang
websau:
- //github.com/ctfs/resources
– Giới thiệu về các kỹ
thuậtCTF phổ biến như mật mã, steganography, khai thác web. - //trailofbits.github.io/ctf/forensics/ – Mẹo và thủ
thuậtliên quan đến các thách thức, kịch bản điển hình của CTF - //ctftime.org/writeups – Tổng hợp những bài giải các
thửthách CTF trước đây. - //securitydaily.net/chu-de/capture-the-flag/ – Series
họctập CTF từ SecurityDailyTài nguyên - //hackthis.co.uk – Một site phù hợp cho người mới
bắtđầu. - //www.root-me.org/en/Challenges/Web-Server/ – Một list
cácthử thách bao quát rất nhiều vấn đề, gồm cả các bài LFI/ RFI,
cácloại SQLi, các tài liệu hướng dẫn - //ctftime.org – Trình theo dõi sự kiện CTF
CTF
Ngoài ra, bạn cũng nên sử dụng những công cụ sau đây
để giúp
bạnnâng cao trình độ:
- BurpSuite – Công cụ phổ biến nhất cần phảibiết
khi chơi CTF. Bộ công cụ Burp cung cấp khá đầy đủ các tínhnăng kiểm
tra xâm nhập web [pentest]. - Binwalk – Phân tích và giải nén
tậptin - Stegsolve – Vượt qua nhiều bộ lọc
khácnhau qua hình ảnh để tìm văn bản ẩn - GDB – Binary Debugger
BurpSuite
Để luyện tập kỹ năng thi đấu CTF thì bạn nên thực hành trênnhững
trang web sau:
- //ctflearn.com – Tổng hợp các thử thách CTF khácnhau
do người dùng đóng góp. Rất thích hợp cho người mới tìm hiểuvề
CTF. - //2018game.picoctf.com/ – Cuộc thi CTF
giới hạn thời
giandiễn ra hàng năm. Hiện tại đã có thể tham gia theo hình thức
luyệntập. - //webhacking.kr – Có khoảng 60 challenges về web từ khóđến
dễ. - //overthewire.org/wargames/natas/ – Nhiều dạng bàivề
Command injection và PHP Objection Injection
IV. Lợi ích khi tham gia CTF
Lợi ích khi tham gia CTF
Những lợi ích mà những cuộc thi CTF mang đến cho ngườichơi
là những kinh nghiệm cũng như kiến thức vô cùng quý báu:
- Học hỏi kiến thức về security và hacking.
- Từ những lý thuyết cơ bản đến thực hành và ứng dụng
thực
tếtrong công việc liên quan đến phần mềm máy tính. - Kiến thức được mở rộng trong nhiều lĩnh vực như an toàn
thôngtin, lập trình, thiết lập mạng,… - Nâng cao kỹ năng và học hỏi giao lưu kinh nghiệm với người
chơikhác. - Rèn luyện tư duy sáng tạo, giải quyết tình huống.
- Nền tảng tốt cho những bạn có định hướng làm việc và nghiên
cứutrong lĩnh vực bảo mật và an toàn thông tin.
V. CTF và xu thế phát triển tại
ViệtNam
Hiện nay, ngày càng nhiều các đơn vị tổ chức cuộc thi CTF –
đâyđược xem là sân chơi vô cùng hữu ích cho tất cả mọi người yêu
thíchvà đam mê về an ninh mạng. Những cuộc thi CTF luôn hấp dẫn
giớihacker và người làm bảo mật bởi nó phản ánh chân thật công
việchàng ngày đòi hỏi người chơi các kĩ năng cần thiết. Những lợi
íchmà CTF mang lại cho người chơi là vô cùng lớn như kiến thức
mớinhất và cần thiết về security và hacking, thực hành các kiến
thứclý
thuyết được học để hiểu rõ hơn bản chất của chúng,…
Real World CTF
Để giành được chiến thắng ở một cuộc thi CTF, người chơi
phảinhuần nhuyễn các kỹ năng phát hiện và khai thác lỗ hổng bảo
mật, màcòn phải thật sự chuyên nghiệp trong việc bảo vệ sự an toàn
và duytrì
tính liên tục của hệ thống mạng trước các đợt tấn công
khôngngừng từ bên ngoài.
WCTF2019
Đối với những bạn trẻ còn đang là sinh viên để có thể tham
giacác trò chơi CTF, sinh viên cần tự trang bị cho mình các kiến
thứcthực tế, đồng thời quá trình chơi CTF cũng chính là
cách củng
cố vàáp dụng các kiến thức được học. Hiện nay, các cuộc thi hacking
vàCTF dành cho sinh viên đang diễn ra khá phổ biến với quy mô lớn
vàtổ chức vô cùng quy củ. Đây là cơ hội cho các bạn sinh viên được
ôntập, rèn luyện từ những cuộc thi này có kiến thức và khả năng
làmviệc tốt. Một người chơi CTF tốt chính là người có đam mê,
kiêntrì, tự giác, có nền tảng kiến thức. Đây cũng dần trở thành
mộttrong những yếu tố khi các nhà tuyển dụng lựa chọn ứng viên.
Xu thế CTF
Vấn đề tấn công mạng đang diễn ra hết sức đa dạng và phức tạp
cảvề mục tiêu, đối tượng. Đối với những người dùng thông thường,
tộiphạm mạng sẽ là tin tặc hoặc chính những những người xung quanh
ta.Người dùng cần biết tự bảo vệ thông tin cá nhân của mình. Đối
vớingười
nổi tiếng, việc bị tin tặc tấn công là không thể tránh
khỏidù có thể có đội ngũ chuyên trách bảo vệ. Thông thường, việc
tấncông không khó bằng việc bảo vệ một đối tượng. Anh khuyến cáo
ngườidùng phải luôn cảnh giác, các thông tin mật, nhạy cảm không
đượcđưa lên các thiết bị điện tử, mạng xã hội. Nên trao đổi những
thôngtin này trực tiếp với đối tượng mà mình mong muốn.
Xu thế CTF
Với sự tăng lên về số lượng các thiết bị IoT [Internet ofThings]
nhưng vấn đề an toàn vẫn chưa được quan tâm kỹ lưỡng, nhiềucơ hội
việc làm mới liên quan đến an ninh mạng sẽ mang đến việc làmcho
người trẻ năng động. Cuộc thi CTF bổ sung những kiến thức, kỹnăng
cần có
của phần cứng và an toàn thông tin, từ đó xóa bỏ đượckhoảng
trống kiến thức giữa hai lĩnh vực, sẽ là chiến lược tốt đểtiến xa
và nhanh đối với an toàn phần cứng.
Trên đây là những giới thiệu chung về cuộc thi CTF dành cho
cácchuyên gia bảo mật và những lợi ích của việc tham gia CTF. Hy
vọngcác bạn có cái nhìn tổng quan nhất về CTF. Chúc các bạn thành
côngtham gia cuộc thi CTF nhé.