Hỏi đáp

Cuộc thi CTF – sân chơi của các hacker và chuyên gia an ninh mạng | Học viện An ninh nhân dân

Photo of Thuan Nguyen Thuan Nguyen1 ngày ago
1 4 minutes read

1. CTF (Cature the Flag) là gì?

Capture the Flag (CTF) là một dạng đặc biệt của cuộc thi Bảo Mật Thông Tin. Có 3 kiểu chơi CTFs: Jeopardy (tìm flag trong cách thử thách được BTC đưa ra), Attack-Defence(Tấn công và phòng thủ) và tổng hợp của 2 dạng trên.

2. Giới thiệu qua về CTF

Trong một cuộc thi CTF, các đội tham gia CTF sẽ được cấp một máy chủ (hoặc một mạng máy chủ) đã cài đặt sẵn nhiều chương trình chứa các lỗ hổng bảo mật. Nhiệm vụ của đội chơi là tìm ra các lỗ hổng đó, tấn công các máy chủ của các đội khác để ghi điểm, đồng thời phải nhanh chóng vá các lỗ hổng trên máy chủ của đội nhà, để tránh bị tấn công bởi các đội khác.

Thành phần tham gia các cuộc thi CTF rất đa dạng từ cá nhân đến tập thể, có thể là các hacker, các chuyên gia bảo mật, các nhóm nghiên cứu về an toàn thông tin, học sinh sinh viên …Các giải thưởng từ các cuộc thi CTF có thể tuy không lớn về mặt vật chất nhưng là một “thước đo” quan trọng, được đánh giá cao. Tại Việt Nam cũng đã có các đội CTF tham gia các cuộc thi quốc tế từ nhiều năm trở lại đây, tuy nhiên phong trào này chỉ thực sự bắt đầu phát triển trong khoảng 2 năm trở lại với những dấu ấn quan trọng như: Nhóm Cửa Long Giáng Thế của Việt Nam liên tục lọt vào top 10 nhóm CTF tốt nhất của năm, với nhiều thành tích cao tại các giải CTF quốc tế và đặc biệt trong năm 2013 lần đầu tiên có một nhóm CTF của Việt Nam đã vượt qua vòng loại DEF CON CTF Qualifier để được tham gia vào DEF CON CTF (được xem như là World Cup của các cuộc thi CTF).

Ngoài ra trong thống kê của Ctftime, thì Việt Nam cũng nằm trong top 10 các nước có nhiều đội tham gia CTF nhất với các nhóm CTF đã để lại một số tên tuổi nhất định trong cộng đồng thế giới như: Cửu Long Giáng Thế (CLGT, Bamb00-vn) , PiggyBird, Botbie, rm -rf [enter] , HacKaTron…

3. CTF mang lại gì cho người tham gia ?

CTF hấp dẫn và thu hút giới hacker, người làm bảo mật bởi lẽ các cuộc thi này phản ánh rất chân thật công việc hàng ngày và đòi hỏi người chơi phải có các kỹ năng của một hacker, người làm về bảo mật thực thụ. Muốn chiến thắng ở một cuộc thi CTF, người chơi không chỉ phải nhuần nhuyễn các kỹ năng phát hiện và khai thác lỗ hổng bảo mật, mà còn phải thật sự lành nghề trong việc bảo vệ sự an toàn và duy trì tính liên tục của hệ thống mạng trước các đợt tấn công dồn dập từ bên ngoài.

Có thể nói qua một số lợi ích, tác dụng khi tham gia các cuộc thi CTF đối với những người tham gia như:

  • Được học hỏi các kiến thức cần thiết, cập nhật về security và hacking.
  • Đưa những kiến thức chúng ta được học lý thuyết (ở trường, sách vở, báo chí, hội thảo…) ra với thực tế để hiểu đúng bản chất của vấn đề như: (hiểu cách thức reverse engineering một phần mềm, tại sao các phần mềm có thể bị crack; tại sao có thể xâm nhập vào một máy tính; các kỹ thuật khai thác ứng dụng web; Mật mã – mã hóa được áp dụng như thế nào trong thực tế; forensic – điều tra phần tích truy dấu vết được thực hiện như thế nào…)
  • Các bài CTF đòi hỏi người chơi cần có rất nhiều kiến thức sâu về không chỉ security mà còn kỹ năng lập trình, mạng,…nên đây là cơ hội giúp chúng ta củng cố, nâng cao các kỹ năng đang có và bổ sung các kỹ năng mới.
  • Các cuộc thi CTF thường cập nhật các thông tin về lỗ hổng bảo mật, các kỹ thuật mới trong hacking và security. Tham gia làm các bài thi là cách giúp chúng ta nắm được các vấn đề đó một cách cụ thể, đúng bản chất…
  • Qua mỗi lần thi CTF người chơi có thể biết được các kiến thức mình đang còn thiếu, cần bổ sung học hỏi thêm…
  • Giao lưu, chia sẻ qua các bài write-up (các bài giải) với mọi người đồng thời tham khảo các write-up của các người chơi khác để học hỏi…
  • Rèn luyện tính sáng tạo, tăng cường khả năng tư duy, giải quyết vấn đề

Và có thể nói việc tham gia các cuộc thi CTF là “một trong những” khởi đầu tốt khi muốn làm việc và nghiên cứu trong lĩnh vực bảo mật và an toàn thông tin.

5. Một số trang để luyện thi CTF

luyện SQL injection: http://zixem.altervista.org/SQLi/

tổng hợp kỹ năng: https://www.hackthissite.org

nếu bạn muốn thực hành trên các trang trong nước: http://iwast.securitas.com.vn/iwast/

trên đây là một số trang tôi từng làm, ngoài ra thì bản thân tôi thấy cũng có khá nhiều trang các bạn có thể tham khảo thêm

http://tacchienmang.blogspot.com

http://www.hackertest.net

http://hax.tor.hu

http://repo.shell-storm.org/CTF

http://canyouhack.it/

Photo of Thuan Nguyen Thuan Nguyen1 ngày ago
1 4 minutes read
Photo of Thuan Nguyen

Thuan Nguyen

Back to top button