Capture the flag (kibertəhlükəsizlik)

DEF CON 17-də CTF yarışmasında yarışan komanda

CTF (Capture The Flag və ya Bayrağı ələ keçir) kibertəhlükəsizliyində "bayraqların" (burada bayraq adətən bir kod və bir cümlə olur) məqsədyönlü şəkildə həssas proqramlarda və ya veb-saytlarda gizli şəkildə gizlədildiyi bir məşqdir. Bu, rəqabət və ya təhsil məqsədləri üçün ola bilər. Rəqiblər bayraqları ya digər rəqiblərdən (hücum/müdafiə, Attack-Defense, tipli CTF-lər) və ya təşkilatçılardan (təhlükə, Jeopardy, tipli çağırışlar) oğurlayırlar. Bir neçə variasiya mövcuddur. Müsabiqələrə bayraqları aparat cihazlarında gizlətmək daxil ola bilər, onlar həm onlayn, həm də şəxsən ola bilər və təkmil və ya giriş səviyyəsində ola bilər. Oyun eyni adlı ənənəvi açıq idman növünə əsaslanır.

Capture the Flag (CTF) təhlükəsizlik bacarıqlarının sınağı kimi istifadə edilən kibertəhlükəsizlik yarışıdır. İlk dəfə 1993-cü ildə ABŞ-da hər il Nevada ştatının Las-Veqas şəhərində keçirilən ən böyük kibertəhlükəsizlik konfransı olan DEFCON -da hazırlanmışdır.[1] Konfransda CTF də daxil olmaqla həftəsonu kibertəhlükəsizlik yarışları keçirilir. CTF-nin oynaya biləcəyi iki yol var: təhlükə və hücum-müdafiə.[2] Hər iki format iştirakçının kibertəhlükəsizlik üzrə biliyini yoxlayır, lakin obyektiv baxımından fərqlənir. Təhlükə formatında, iştirakçı komandalar müəyyən bir kateqoriyadan fərqli xal dəyərlərinə malik bir çox problemi tamamlamalıdırlar.[3] Kateqoriyaların bəzi nümunələri proqramlaşdırma, şəbəkələşmə və tərs mühəndislikdir. Hücum-müdafiə formatında rəqib komandalar rəqiblərə hücum edərkən öz həssas kompüter sistemlərini müdafiə etməlidirlər. Bu, rəqiblərin "bayraq"-ını və ya məlumat faylını özlərininki ilə əvəz etməyə cəhd etməklə həyata keçirilir.[2] CTF DEFCON-da yaradılandan bəri, CSAW CTF və Plaid CTF daxil olmaqla, digər CTF yarışları keçirilib.[3]

CTF əsasən kibertəhlükəsizlik təhsili üçün istifadə olunur, çünki tədqiqatlar göstərir ki, tələbələr ənənəvi sinif şəraitindən fərqli olaraq CTF məşqləri vasitəsilə nümayiş etdirilən interaktiv metodlara daha yaxşı cavab verirlər. Adelfi Universitetində tədqiqatçılar tərəfindən aparılan bir araşdırma, CTF təlimlərindən istifadənin kibertəhlükəsizlik anlayışlarını xoş bir şəkildə aşılamaq üçün çox təsirli bir üsul olduğunu müəyyən etdi. Onlar həmçinin sinif otağına daxil edilə bilər və Cənubi Kaliforniya Universitetində Təhlükəsizliyə Giriş kimi bakalavr kompüter elmləri dərslərinə daxil edilmişdir.

CTF hərbi akademiyalarda da məşhurdur. Onlar tez-tez kibertəhlükəsizlik kursları üçün kurrikulumun bir hissəsi kimi daxil edilir. Məsələn, Vest Point-də Ordu Kiber İnstitutunun (ACI) jurnalı olan Cyber ​​Defence Review tərəfindən yayımlanan hesabatda kibertəhlükəsizlik klublarının üzvü olan Hərbi Hava Qüvvələri Akademiyası və Hərbi Dəniz Akademiyası tələbələri tərəfindən həyata keçirilən CTF təlimləri vurğulanır. Bundan əlavə, bir çox kibertəhlükəsizlik anlayışları ROTC kursantlarına, aktiv vəzifəli şəxslərə və bakalavrlara təklif olunan immersiv yay proqramı olan Kibertəhlükəsizlik üzrə Mühəndislik üzrə Təkmil Kursda CTF təlimləri vasitəsilə öyrədilir.

Çatışmazlıqlar

[redaktə | mənbəni redaktə et]

CTF-nin effektivliyinə mane olan digər amil, aparat və proqram təminatı xərclərini, habelə inzibati əmək haqqını əhatə edən xərcdir. Bəzi yarışlar oyunçular üçün istifadəçi terminalları tələb edir, buna görə də hər bir oyunçu üçün maşınlar alınmalıdır. Tələbələrin şəxsi kompüterlərində oynadıqları PicoCTF kimi açıq mənbə yarışmalarında bu cür xərclərə qənaət edilir, lakin hələ də server xərcləri var. CTF tədbirləri həmçinin kibertəhlükəsizlik üzrə mütəxəssislərin işə götürülməsini tələb edir ki, bu da qeyri-mütəxəssis müəllimləri və ya daha az təcrübəli mühəndisləri işə götürməkdən daha bahalı ola bilər.

Şirkət tərəfindən maliyyələşdirilən müsabiqələr

[redaktə | mənbəni redaktə et]

CTF əsasən kibertəhlükəsizlik təhsili üçün istifadə edilsə də, bəzi tədqiqatlar göstərir ki, şirkətlər CTF-dən yüksək performans göstərənlər üçün işə qəbul və qiymətləndirmə forması kimi istifadə edirlər. Potensial işçilər üçün mənbə və yoxlama üçün istifadə edilə bilər.

  1. Cowan, C.; Arnold, S.; Beattie, S.; Wright, C.; Viega, J. "Defcon Flag Capture: həssas kodu intensiv hücumdan müdafiə edir". Proceedings DARPA Information Survivability Conference and Exposition. 1. April 2003: 120–129 vol.1. doi:10.1109/DISCEX.2003.1194878. 2022-11-02 tarixində arxivləşdirilib. İstifadə tarixi: 2023-01-07.
  2. 1 2 Says, Etuuxzgknx. "'Capture The Flags'-ə CyberSecurity giriş - MeuSec" (ingilis). 2020-06-10. 2022-08-13 tarixində arxivləşdirilib. İstifadə tarixi: 2022-11-02.
  3. 1 2 Chung, Kevin; Cohen, Julian. "Bayraq Modelinin Tutulmasında Maneələrin Öyrənilməsi" (ingilis). 2014. 2022-10-26 tarixində arxivləşdirilib. İstifadə tarixi: 2023-01-07.

Xarici keçidlər

[redaktə | mənbəni redaktə et]