Jump to content

Захватите флаг (кибербезопасность)

Чтобы узнать о других значениях, см. Захват флага (значения) .
Команда, участвующая в соревновании CTF на DEF CON 17.

«Захват флага» ( CTF ) в области компьютерной безопасности — это упражнение, в котором участники пытаются найти текстовые строки, называемые «флагами», которые тайно спрятаны в намеренно уязвимых программах или веб-сайтах. Их можно использовать как в соревновательных, так и в образовательных целях. В двух основных вариантах CTF участники либо крадут флаги у других участников (CTF в стиле атаки/защиты), либо у организаторов (испытания в стиле опасности). Смешанные соревнования сочетают в себе эти два стиля. [1] Соревнования могут включать в себя сокрытие флагов на аппаратных устройствах, они могут проводиться как онлайн, так и лично, а также могут быть продвинутого или начального уровня. Игра вдохновлена ​​традиционным одноименным видом спорта на открытом воздухе .

Обзор

[ редактировать ]

Capture the Flag (CTF) — это соревнование по кибербезопасности, которое используется для проверки и развития навыков компьютерной безопасности. Впервые он был разработан в 1996 году на DEF CON , крупнейшей конференции по кибербезопасности в США, которая ежегодно проводится в Лас-Вегасе , штат Невада. [2] На конференции проводятся выходные, посвященные соревнованиям по кибербезопасности, в том числе их флагманскому CTF.

Два популярных формата CTF — это опасность и защита от нападения. [3] Оба формата проверяют знания участников в области кибербезопасности, но различаются по целям. В формате Jeopardy команды-участницы должны выполнить как можно больше задач с разным количеством баллов из разных категорий, таких как криптография, веб-эксплуатация и реверс-инжиниринг. [4] В формате «атака-защита» соревнующиеся команды должны защищать свои уязвимые компьютерные системы, одновременно атакуя системы противника. [3]

Упражнения включают в себя широкий спектр задач, включая эксплуатацию и взлом паролей, но мало свидетельств того, как эти задачи преобразуются в знания по кибербезопасности, которыми обладают эксперты по безопасности. Недавние исследования показали, что задачи «Захвата флага» в основном охватывали технические знания, но не учитывали социальные темы, такие как социальная инженерия и осведомленность о кибербезопасности. [5]

Образовательные приложения

[ редактировать ]

Было доказано, что CTF являются эффективным способом улучшения образования в области кибербезопасности посредством геймификации . [6] Существует множество примеров CTF, предназначенных для обучения навыкам кибербезопасности самых разных аудиторий, в том числе PicoCTF, организованный CyLab Карнеги-Меллона и ориентированный на старшеклассников, и Университет штата Аризона , поддерживаемый pwn.college. [7] [8] [9] Помимо образовательных мероприятий и ресурсов CTF, CTF оказались весьма эффективным способом внедрения концепций кибербезопасности в классах. [10] [11] CTF были включены в программы бакалавриата по информатике, такие как «Введение в информационную безопасность» в Национальном университете Сингапура . [12] CTF также популярны в военных академиях. Их часто включают в учебную программу курсов по кибербезопасности: киберучения, организованные АНБ , завершаются соревнованием CTF между военными академиями и военными колледжами США. [13]

Соревнования

[ редактировать ]

Многие организаторы CTF регистрируют свои соревнования на платформе CTFtime. Это позволяет отслеживать положение команд с течением времени и в разных соревнованиях. [14] Эти соревнования могут быть общественными, правительственными или корпоративными. С момента запуска CTFtime в 2011 году семь команд заняли первое место в мировом рейтинге. [ оригинальное исследование? ] . К ним относятся «Клетчатый парламент шантажа», «Больше копченой курицы», «Сектор дракона», «dcua», «Ешь, спи, шантажируй, повторяй», «Идеальный синий» и «Организаторы». В целом «Клетчатый Парламент Пвнинга» и «Сектор Дракона» заняли первое место в мире по количеству побед - по три раза каждый. [15]

Сообщество соревнований

[ редактировать ]

Ежегодно проводятся десятки CTF в самых разных форматах. Многие CTF связаны с конференциями по кибербезопасности, такими как DEF CON, HITCON и BSides . DEF CON CTF, CTF нападения и защиты, примечателен тем, что является одним из старейших существующих соревнований CTF и по-разному называется « Мировой серией ». [16] « Суперкубок », [9] [17] и « Олимпиада », [18] хакерских атак со стороны средств массовой информации. В Тандоне Нью-Йоркского университета проходил конкурс Cybersecurity Awareness Worldwide (CSAW). CTF — это один из крупнейших конкурсов с открытым входом для студентов, изучающих кибербезопасность, со всего мира. [4] В 2021 году в ходе квалификационного раунда он принял более 1200 команд. [19]

Помимо CTF, организуемых конференциями, многие клубы и команды CTF организуют соревнования CTF. [20] Многие клубы и команды CTF связаны с университетами, например, Plaid Parliament of Pwning, связанный с CMU, в котором размещается PlaidCTF, [4] и ASU связанный с Shellphish . [21]

Конкурсы, поддерживаемые государством

[ редактировать ]

Соревнования CTF, поддерживаемые правительством, включают DARPA Cyber ​​Grand Challenge и ENISA European Cybersecurity Challenge . [22] В 2023 году конкурс Hack-a-Sat CTF, спонсируемый Космическими силами США , впервые включал в себя работающий орбитальный спутник, который участники могли использовать. [23]

Корпоративные конкурсы

[ редактировать ]

Корпорации и другие организации иногда используют CTF в качестве обучения или оценки. [ нужна ссылка ] Преимущества CTF аналогичны преимуществам использования CTF в образовательной среде. [ нужна ссылка ] Помимо внутренних мероприятий CTF, некоторые корпорации, такие как Google, [24] и Tencent проводят общедоступные соревнования CTF.

[ редактировать ]

См. также

[ редактировать ]

Ссылки

[ редактировать ]
  1. ^ "CTFtime.org / Что такое захват флага?" . ctftime.org . Проверено 15 августа 2023 г.
  2. ^ Коуэн, К.; Арнольд, С.; Битти, С.; Райт, К.; Вьега, Дж. (апрель 2003 г.). «Defcon Capture the Flag: защита уязвимого кода от интенсивных атак» . Материалы конференции и выставки DARPA по информационной живучести . Том. 1. С. 120–129 т.1. дои : 10.1109/DISCEX.2003.1194878 . ISBN  0-7695-1897-4 . S2CID   18161204 .
  3. ^ Jump up to: а б Говорит Etuuxzgknx (10 июня 2020 г.). «Введение в« захват флагов »в кибербезопасности - MeuSec» . Проверено 2 ноября 2022 г.
  4. ^ Jump up to: а б с Чанг, Кевин; Коэн, Джулиан (2014). «Препятствия в обучении в модели захвата флага» . {{cite journal}}: Для цитирования журнала требуется |journal= ( помощь )
  5. ^ Швабенский, Вальдемар; Челеда, Павел; Вокпал, Ян; Бришакова, Сильвия (март 2021 г.). «Знания и навыки в области кибербезопасности, полученные при решении задач флага» . Компьютеры и безопасность . 102 : 102154. arXiv : 2101.01421 . дои : 10.1016/j.cose.2020.102154 .
  6. ^ Бэйлон, Тайлер; Баггили, Ибрагим (Абэ) (24 февраля 2023 г.). «Киберконкурсы: обзор соревнований, инструментов и систем для поддержки образования в области кибербезопасности» . Образование и информационные технологии . 28 (9): 11759–11791. дои : 10.1007/s10639-022-11451-4 . ISSN   1573-7608 . ПМЦ   9950699 . ПМИД   36855694 .
  7. ^ «Додзё кибербезопасности АГУ» . Новости АГУ . 15 февраля 2021 г. Проверено 18 июля 2023 г.
  8. ^ «picoCTF стремится закрыть дефицит специалистов в области кибербезопасности» . www.cylab.cmu.edu . Проверено 18 июля 2023 г.
  9. ^ Jump up to: а б «Разыскиваются: хакеры. Награда: лучший может получить место в CMU» . Питтсбург Пост-Газетт . Проверено 18 июля 2023 г.
  10. ^ Макдэниел, Лукас; Талви, Эрик; Хэй, Брайан (январь 2016 г.). «Захват флага как введение в кибербезопасность» . 2016 49-я Гавайская международная конференция по системным наукам (HICSS) . стр. 5479–5486. дои : 10.1109/HICSS.2016.677 . ISBN  978-0-7695-5670-3 . S2CID   35062822 .
  11. ^ Люне, Кес; Петрилли, Сальваторе Дж. (27 сентября 2017 г.). «Использование Capture-the-Flag для повышения эффективности образования в области кибербезопасности» . Материалы 18-й ежегодной конференции по образованию в области информационных технологий . СИГИТЕ '17. Нью-Йорк, штат Нью-Йорк, США: Ассоциация вычислительной техники. стр. 47–52. дои : 10.1145/3125659.3125686 . ISBN  978-1-4503-5100-3 . S2CID   46465063 .
  12. ^ Выкопал, Ян; Швабенский, Вальдемар; Чанг, И-Чиен (26 февраля 2020 г.). «Преимущества и подводные камни использования игр «Захват флага» на университетских курсах». Материалы 51-го технического симпозиума ACM по компьютерному образованию . стр. 752–758. arXiv : 2004.11556 . дои : 10.1145/3328778.3366893 . ISBN  9781450367936 . S2CID   211519195 .
  13. ^ «Агентство национальной безопасности/Служба центральной безопасности > Кибербезопасность > Киберучения АНБ» . www.nsa.gov . Проверено 18 июля 2023 г.
  14. ^ «ЦТФтайм» . CTFвремя . Проверено 18 августа 2023 г.
  15. ^ «Рейтинг CTFtime» . Рейтинг CTFtime . Проверено 18 августа 2023 г.
  16. ^ Продюсер Сабрина Корбер, CNBC (8 ноября 2013 г.). «Киберкоманды сражаются в Мировой серии хакерских атак» . CNBC . Проверено 18 июля 2023 г. {{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
  17. ^ Нун, Райан (15 августа 2022 г.). «Хакерская команда CMU в шестой раз выиграла Суперкубок хакерства - Новости - Университет Карнеги-Меллон» . www.cmu.edu . Проверено 18 июля 2023 г.
  18. ^ Сиддики, Зеба (18 августа 2022 г.). «Хакерский турнир собирает лучших игроков мира в Лас-Вегасе» . Рейтер . Проверено 18 июля 2023 г.
  19. ^ «CSAW Захват флага» . ЧСАВ . Проверено 2 ноября 2022 г.
  20. ^ Бэйлон, Тайлер; Баггили, Ибрагим (Абэ) (24 февраля 2023 г.). «Киберконкурсы: обзор соревнований, инструментов и систем для поддержки образования в области кибербезопасности» . Образование и информационные технологии . 28 (9): 11759–11791. дои : 10.1007/s10639-022-11451-4 . ISSN   1360-2357 . ПМЦ   9950699 . ПМИД   36855694 .
  21. ^ «Эти аспиранты хотят войти в историю, сокрушив хакеров всего мира» . Яху Финанс . 04.08.2016 . Проверено 2 сентября 2023 г.
  22. ^ «Европейский вызов кибербезопасности» . ЕЦСС . Проверено 13 июня 2024 г.
  23. ^ Хардкасл, Джессика Лайонс. «Спутник космического взлома Moonlighter находится на орбите» . www.theregister.com . Проверено 18 июля 2023 г.
  24. ^ https://capturetheflag.withgoogle.com/
  25. ^ Вудворд, Алан (7 июля 2022 г.). « Некоторые сотрудники работают за бронированным стеклом»: эксперт по кибербезопасности о «Необъявленной войне» . Хранитель . ISSN   0261-3077 . Проверено 18 июля 2023 г.
  26. ^ Цинь ай де, ре ай де (драма, романтика, спорт), Цзы Ян, Сянь Ли, Минде Ли, Shanghai GCOO Entertainment, 09 июля 2019 г. , получено 15 августа 2023 г. {{citation}}: CS1 maint: другие ( ссылка )
[ редактировать ]
  • ctftime.org — архив исторических, текущих и будущих соревнований CTF.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Capture_the_flag_(cybersecurity)&oldid=1229865546"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 2ebbddd8c6f2ad20d2dcf087938b1134__1718757840
URL1:https://arc.ask3.ru/arc/aa/2e/34/2ebbddd8c6f2ad20d2dcf087938b1134.html
Заголовок, (Title) документа по адресу, URL1:
Capture the flag (cybersecurity) - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)