Захват флага (кибербезопасность) ({g]fgm slgig (tnQyjQy[khgvukvm,))

Перейти к навигации Перейти к поиску

Захват флага (англ. Capture the Flag или англ. CTF) в компьютерной безопасности — это упражнение, в котором «флаги» тайно прячутся в преднамеренно уязвимых программах или веб-сайтах. CTF может быть соревнованием или иметь образовательные цели. Участники крадут флаги либо у других участников (CTF в стиле атаки/защиты), либо у организаторов (испытания в стиле Jeopardy). Существует несколько вариантов. Соревнования могут включать в себя скрытие флагов в аппаратных устройствах, они могут быть как онлайн, так и офлайн, а также могут быть продвинутыми или начального уровня. Игра основана на одноименном традиционном спорте на открытом воздухе.

Capture the Flag (CTF) — это соревнование по кибербезопасности, которое используется для проверки навыков безопасности. Впервые он был разработан в 1993 году на DEFCON, крупнейшей конференции по кибербезопасности в США, ежегодно проводимой в Лас-Вегасе, штат Невада.[1] В рамках конференции проходят выходные соревнования по кибербезопасности, в том числе CTF. Есть два способа играть в CTF: Jeopardy и Атака-Защита. Оба формата проверяют знания участников в области кибербезопасности, но различаются по целям. В формате Jeopardy участвующие команды должны выполнить как можно больше испытаний с разным количеством очков из заданной категории.[2] Некоторыми примерами категорий являются программирование, создание сетей и реверс-инжиниринг.[3] В формате «атака-защита» соревнующиеся команды должны защищать свои уязвимые компьютерные системы, атакуя противников.[2] Это делается путем попытки заменить «флаг» противника или файл данных своим собственным. С момента создания CTF в DEFCON проводились и другие соревнования CTF, включая CSAW CTF и Plaid CTF.[3]

Приложения

[править | править код]

CTF в основном используется для обучения кибербезопасности, поскольку исследования показывают, что учащиеся, как правило, лучше реагируют на интерактивные методы, демонстрируемые с помощью упражнений CTF, в отличие от традиционных учебных занятий. Исследование, проведенное исследователями из Университета Адельфи, показало, что использование упражнений CTF было очень эффективным способом привить концепции кибербезопасности в приятной форме.[4] Их также можно использовать в учебных классах, и они были включены в курсы информатики для студентов, такие как «Введение в безопасность» в Университете Южной Калифорнии.[5]

CTF также популярен в военных академиях. Их часто включают в учебную программу курсов по кибербезопасности. Например, в отчете Cyber Defense Review, журнале Армейского киберинститута (ACI) в Вест-Пойнте, освещаются учения CTF, проводимые студентами Военно-воздушной академии и Военно-морской академии, которые являются членами клубов кибербезопасности.[6] Кроме того, многие концепции кибербезопасности преподаются с помощью упражнений CTF в рамках Продвинутого курса инженерии по кибербезопасности, иммерсивной летней программы, предлагаемой курсантам ROTC, действующим членам и студентам.[7]

Недостатки

[править | править код]

Еще одним фактором, сдерживающим эффективность CTF, являются затраты, включающие затраты на оборудование и программное обеспечение, а также заработную плату администраторов.[8] Для некоторых соревнований требуются пользовательские терминалы для игроков, поэтому машины необходимо покупать для каждого игрока. В соревнованиях с открытым исходным кодом, таких как PicoCTF, где учащиеся играют на своих персональных компьютерах, такие затраты сокращаются, но все еще есть затраты на сервер. Мероприятия CTF также требуют найма экспертов по кибербезопасности, что может быть дороже, чем наем неспециализированных преподавателей или менее опытных инженеров.[8]

Соревнования

[править | править код]

Соревнования, спонсируемые компанией

[править | править код]

Хотя CTF в основном используется для обучения кибербезопасности, некоторые исследования показывают, что компании используют CTF как форму найма и оценки высокоэффективных сотрудников. Его можно использовать для поиска и проверки потенциальных сотрудников.[9][10]

Недавние соревнования

[править | править код]

Ежегодный семинар по компьютерным наукам (CSAW) CTF — это одно из крупнейших открытых соревнований для студентов со всего мира, изучающих кибербезопасность.[3] В 2021 году он принял более 1200 команд во время квалификационного раунда.[9] Другим популярным соревнованием является DEFCON CTF, одно из первых существующих соревнований CTF, которое нацелено на тех, кто уже знаком с кибербезопасностью, предлагая более сложные задачи.[9]

Примечания

[править | править код]
  1. Cowan, Ц.; Арнольд, С.; Битти, С.; Райт, Ц.; Вьега, Ж. (2003-04). "Defcon Capture the Flag: защита уязвимого кода от интенсивных атак". Proceedings DARPA Information Survivability Conference and Exposition. 1: 120–129 vol.1. doi:10.1109/DISCEX.2003.1194878. Архивировано 2 ноября 2022. Дата обращения: 21 января 2023.
  2. 1 2 Says, Etuuxzgknx Введение в «Захват флагов» в кибербезопасности - MeuSec (амер. англ.) (10 июня 2020). Дата обращения: 2 ноября 2022. Архивировано 13 августа 2022 года.
  3. 1 2 3 Chung, Kevin; Cohen, Julian (2014). "Изучение препятствий в модели «Захват флага»" (англ.). Архивировано 26 октября 2022. Дата обращения: 21 января 2023. {{cite journal}}: Cite journal требует |journal= (справка)
  4. Макдэниел, Лукас; Талви, Эрик; Хай, Брайан (2016-01). "Захват флага как введение в кибербезопасность". 2016 49th Hawaii International Conference on System Sciences (HICSS): 5479—5486. doi:10.1109/HICSS.2016.677. Архивировано 24 октября 2022. Дата обращения: 21 января 2023.
  5. Vykopal, Jan; Švábenský, Valdemar; Chang, Ee-Chien (2020-02-26). "Преимущества и недостатки использования игр Capture the Flag на университетских курсах". Proceedings of the 51st ACM Technical Symposium on Computer Science Education: 752—758. doi:10.1145/3328778.3366893. Архивировано 2 ноября 2022. Дата обращения: 21 января 2023.
  6. Spidalieri, Francesca; McArdle, Jennifer (2016). "Преобразование следующего поколения военных лидеров в кибер-стратегических лидеров: роль образования в области кибербезопасности в военных академиях США". The Cyber Defense Review. 1 (1): 141—164. ISSN 2474-2120. Архивировано 3 ноября 2022. Дата обращения: 21 января 2023.
  7. Argles, Christopher; Zaluska, Ed (2018). "Концептуальный обзор киберопераций для Королевского флота". The Cyber Defense Review. 3 (3): 43—56. ISSN 2474-2120. Архивировано 2 ноября 2022. Дата обращения: 21 января 2023.
  8. 1 2 Taylor, Clark; Arias, Pablo; Klopchic, Jim; Matarazzo, Celeste; Dube, Evi (2017). "{CTF}: {Современное состояние} и создание следующего поколения" (англ.). {{cite journal}}: Cite journal требует |journal= (справка)
  9. 1 2 3 CSAW Захват флага (англ.). CSAW. Дата обращения: 2 ноября 2022. Архивировано 2 ноября 2022 года.
  10. Bashir, Masooda; Lambert, April; Wee, Jian Ming Colin; Guo, Boyi (2015). "Исследование профессионально-психологических особенностей участников соревнований по кибербезопасности" (англ.). Архивировано 24 марта 2023. Дата обращения: 21 января 2023. {{cite journal}}: Cite journal требует |journal= (справка)