Bạn đã bao giờ nghe đến CTF (Capture the Flag) chưa? Chắc hẳn còn rất nhiều bạn chưa biết CTF là gì thì chần chờ gì mà không xem ngay bài viết để tìm hiểu về CTF – cuộc thi trí tuệ cho chuyên gia bảo mật. Hãy cùng nhau tìm hiểu về nguồn gốc của CTF nhé.
Nội dung bài viết
CTF là gì?
Định nghĩa
CTF là viết tắt của cụm từ Capture the Flag. Đây được xem là một cuộc thi về kiến thức dành cho những người yêu thích và có đam mê với bảo mật thông tin an ninh mạng.
Họ cùng nhau tranh tài trong một trận đấu với nhiệm vụ tìm ra các lỗ hổng và tấn công vào máy chủ của các đội khác để ghi điểm, đồng thời phải nhanh chóng vá các lỗ hổng trên máy chủ của đội nhà, tránh bị các đội khác tấn công.
Nguồn gốc
Cái tên Capture The Flag xuất phát từ cách chơi của cuộc thi. Mỗi đội chơi khi tham gia so tài tại CTF sẽ tranh đua nhau để tìm ra một mật mã đặc biệt được giấu bên trong server, Flag.
Đội nào hack vào hệ thống của đối thủ và tìm ra Flag nhanh hơn sẽ giành chiến thắng vòng thi. Những người tham gia CTF gồm cá nhân, tập thể, hacker, các chuyên gia bảo mật, các nhóm nghiên cứu về an toàn thông tin, học sinh sinh viên.
Đơn vị tổ chức cuộc thi CTF thường là các tổ chức, các trường đại học, học viện, viện nghiên cứu. Ngoài ra, bên cạnh các hội thảo về Security và Hacking cũng có những giải đấu CTF. Một số cuộc thi CTF thường được tổ chức như: DEF CON CTF Qualifier, DEF CON CTF, Codegate YUT Preliminary, UCSB iCTF, RuCTFe, WhiteHat Grand Prix…
Nguồn gốc
Cuộc thi CTF lần đầu tiên được tổ chức tại hội thảo bảo mật nổi tiếng DEFCON (Mỹ) lần thứ 5 năm 1997. Đối với các người chơi CTF nổi bật thì DEFCON được coi là “vòng chung kết” của vòng thi và được tổ chức từ năm 1996 tại hội nghị hacker lớn nhất và NYU-CSAW (Tuần lễ nhận thức an ninh mạng), cuộc thi an ninh mạng lớn nhất dành cho sinh viên.
Tổ chức CTF
Cách chơi CTF
Mỗi cuộc thi sẽ có những quy định từ Ban tổ chức, người chơi đăng ký chơi đồng đội hoặc cá nhân. Hình thức thi CTF có thể tổ chức dưới dạng online hoặc offline.
Các cuộc thi CTF uy tín thường tổ chức thành 2 vòng thi khác nhau trong đó vòng 1 thi online để lựa chọn các đội thi mạnh nhất để cùng nhau so tài tại vòng chung kết được tổ chức offline.
CTF gồm những bài thi khác nhau theo từng chủ đề khác nhau liên quan đến an toàn thông tin như: Web, Forensic, Crypto, Binary, Stegano… Mỗi đội chơi khi tham gia CTF sẽ được cấp một máy chủ (hoặc một mạng máy chủ) đã cài đặt sẵn nhiều chương trình có các lỗ hổng bảo mật.
Nhiệm vụ của đội chơi là tìm ra các lỗ hổng và tấn công vào máy chủ của các đội khác để ghi điểm, đồng thời phải nhanh chóng vá các lỗ hổng trên máy chủ của đội nhà, tránh bị các đội khác tấn công.
Hình thức thi
Cuộc thi CTF thường chia thành 3 hình thức chơi chính:
- Trả lời thử thách theo từng chủ đề (Jeopardy-style): Nhiều chủ đề như: Web, Forensic, Crypto, Binary, Stegano… sẽ xuất hiện trong bài thi CTF xếp theo độ khó tăng dần cùng với điểm số cũng tăng theo. Mỗi đội chơi vận dụng kỹ năng, kinh nghiệm để thực hiện tìm được chính xác các “flag” được giấu và sau đó sẽ nhận điểm tương ứng với bài thi. Đội nào có số điểm cao nhất sẽ dành chiến thắng. Trong trường hợp các đội bằng điểm nhau, kết quả sẽ được tính dựa trên thời gian gửi “flag”. Hình thức thi này được tổ chức phổ biến nhất hiện nay, thực hiện trong 1 đến 2 ngày (24- 48 tiếng).
- Tấn công và phòng thủ (attack & defence): Hình thức thi này được đánh giá là gần thực tế tình hình an toàn mạng nhất những cũng là hình thức có độ khó cao. Người chơi rèn luyện từ các kỹ năng tìm kiếm lỗ hổng bảo mật, khai thác các lỗ hổng đó đến khả năng khắc phục các điểm yếu, lỗ hổng, bảo vệ hệ thống của mình trước các tấn công từ các đội khác. Cách thức tính điểm dựa trên điểm thi trên từng tiêu chí khác nhau như: điểm tấn công, điểm phòng thủ, điểm thưởng,…
- Hình thức thi kết hợp là sự phối hợp của 2 hình thức trên, chẳng hạn như kết hợp giữa hình thức chỉ có tấn công (attack only) với các dạng thử thách khác nhau.
Bắt đầu học từ đâu
Cuộc thi CTF dành cho mọi người đều có thể tham gia nhưng để tham gia cuộc thi này với mong ước giành lấy giải thưởng hoặc học hỏi thêm nhiều kiến thức thì người chơi cần có những bước chuẩn bị thật sẵn sàng đối mặt với tất cả vòng thi đấu kịch tính và căng thẳng của CTF.
Người chơi CTF ít nhất phải nắm rõ kiến thức cơ bản về an toàn thông tin mạng và một số công cụ hỗ trợ thích hợp.
Bạn có thể học tập những kiến thức cơ bản từ những trang web sau:
- https://github.com/ctfs/resources – Giới thiệu về các kỹ thuật CTF phổ biến như mật mã, steganography, khai thác web.
- https://trailofbits.github.io/ctf/forensics/ – Mẹo và thủ thuật liên quan đến các thách thức, kịch bản điển hình của CTF
- https://ctftime.org/writeups – Tổng hợp những bài giải các thử thách CTF trước đây.
- https://securitydaily.net/chu-de/capture-the-flag/ – Series học tập CTF từ SecurityDailyTài nguyên
- http://hackthis.co.uk – Một site phù hợp cho người mới bắt đầu.
- http://www.root-me.org/en/Challenges/Web-Server/ – Một list các thử thách bao quát rất nhiều vấn đề, gồm cả các bài LFI/ RFI, các loại SQLi, các tài liệu hướng dẫn
- https://ctftime.org – Trình theo dõi sự kiện CTF
Ngoài ra, bạn cũng nên sử dụng những công cụ sau đây để giúp bạn nâng cao trình độ:
- BurpSuite – Công cụ phổ biến nhất cần phải biết khi chơi CTF. Bộ công cụ Burp cung cấp khá đầy đủ các tính năng kiểm tra xâm nhập web (pentest).
- Binwalk – Phân tích và giải nén tập tin
- Stegsolve – Vượt qua nhiều bộ lọc khác nhau qua hình ảnh để tìm văn bản ẩn
- GDB – Binary Debugger
Để luyện tập kỹ năng thi đấu CTF thì bạn nên thực hành trên những trang web sau:
- https://ctflearn.com – Tổng hợp các thử thách CTF khác nhau do người dùng đóng góp. Rất thích hợp cho người mới tìm hiểu về CTF.
- https://2018game.picoctf.com/ – Cuộc thi CTF giới hạn thời gian diễn ra hàng năm. Hiện tại đã có thể tham gia theo hình thức luyện tập.
- http://webhacking.kr – Có khoảng 60 challenges về web từ khó đến dễ.
- https://overthewire.org/wargames/natas/ – Nhiều dạng bài về Command injection và PHP Objection Injection
Lợi ích khi tham gia CTF
Những lợi ích mà những cuộc thi CTF mang đến cho người chơi là những kinh nghiệm cũng như kiến thức vô cùng quý báu:
- Học hỏi kiến thức về security và hacking.
- Từ những lý thuyết cơ bản đến thực hành và ứng dụng thực tế trong công việc liên quan đến phần mềm máy tính.
- Kiến thức được mở rộng trong nhiều lĩnh vực như an toàn thông tin, lập trình, thiết lập mạng,…
- Nâng cao kỹ năng và học hỏi giao lưu kinh nghiệm với người chơi khác.
- Rèn luyện tư duy sáng tạo, giải quyết tình huống.
- Nền tảng tốt cho những bạn có định hướng làm việc và nghiên cứu trong lĩnh vực bảo mật và an toàn thông tin.
CTF và xu thế phát triển tại Việt Nam
Hiện nay, ngày càng nhiều các đơn vị tổ chức cuộc thi CTF – đây được xem là sân chơi vô cùng hữu ích cho tất cả mọi người yêu thích và đam mê về an ninh mạng. Những cuộc thi CTF luôn hấp dẫn giới hacker và người làm bảo mật bởi nó phản ánh chân thật công việc hàng ngày đòi hỏi người chơi các kĩ năng cần thiết.
Những lợi ích mà CTF mang lại cho người chơi là vô cùng lớn như kiến thức mới nhất và cần thiết về security và hacking, thực hành các kiến thức lý thuyết được học để hiểu rõ hơn bản chất của chúng,…
Để giành được chiến thắng ở một cuộc thi CTF, người chơi phải nhuần nhuyễn các kỹ năng phát hiện và khai thác lỗ hổng bảo mật, mà còn phải thật sự chuyên nghiệp trong việc bảo vệ sự an toàn và duy trì tính liên tục của hệ thống mạng trước các đợt tấn công không ngừng từ bên ngoài.
Đối với những bạn trẻ còn đang là sinh viên để có thể tham gia các trò chơi CTF, sinh viên cần tự trang bị cho mình các kiến thức thực tế, đồng thời quá trình chơi CTF cũng chính là cách củng cố và áp dụng các kiến thức được học.
Hiện nay, các cuộc thi hacking và CTF dành cho sinh viên đang diễn ra khá phổ biến với quy mô lớn và tổ chức vô cùng quy củ. Đây là cơ hội cho các bạn sinh viên được ôn tập, rèn luyện từ những cuộc thi này có kiến thức và khả năng làm việc tốt.
Một người chơi CTF tốt chính là người có đam mê, kiên trì, tự giác, có nền tảng kiến thức. Đây cũng dần trở thành một trong những yếu tố khi các nhà tuyển dụng lựa chọn ứng viên.
Vấn đề tấn công mạng đang diễn ra hết sức đa dạng và phức tạp cả về mục tiêu, đối tượng. Đối với những người dùng thông thường, tội phạm mạng sẽ là tin tặc hoặc chính những người xung quanh ta. Người dùng cần biết tự bảo vệ thông tin cá nhân của mình.
Đối với người nổi tiếng, việc bị tin tặc tấn công là không thể tránh khỏi dù có thể có đội ngũ chuyên trách bảo vệ. Thông thường, việc tấn công không khó bằng việc bảo vệ một đối tượng.
Anh khuyến cáo người dùng phải luôn cảnh giác, các thông tin mật, nhạy cảm không được đưa lên các thiết bị điện tử, mạng xã hội. Nên trao đổi những thông tin này trực tiếp với đối tượng mà mình mong muốn.
Với sự tăng lên về số lượng các thiết bị IoT (Internet of Things) nhưng vấn đề an toàn vẫn chưa được quan tâm kỹ lưỡng, nhiều cơ hội việc làm mới liên quan đến an ninh mạng sẽ mang đến việc làm cho người trẻ năng động.
Cuộc thi CTF bổ sung những kiến thức, kỹ năng cần có của phần cứng và an toàn thông tin, từ đó xóa bỏ được khoảng trống kiến thức giữa hai lĩnh vực, sẽ là chiến lược tốt để tiến xa và nhanh đối với an toàn phần cứng.
Xem thêm:
- OC là gì? Nghĩa, từ viết tắt của OC trong vẽ và các lĩnh vực
- OEM là gì? ODM là gì? OBM là gì? Ưu nhược điểm của OEM
- Neft là gì? Ý nghĩa của thuật ngữ Neft với LMHT
Trên đây là những giới thiệu chung về khái niệm CTF là gì, về cuộc thi CTF dành cho các chuyên gia bảo mật và những lợi ích của việc tham gia CTF. Hy vọng các bạn có cái nhìn tổng quan nhất về CTF. Chúc các bạn thành công tham gia cuộc thi CTF nhé.