Fånga flaggan (cybersäkerhet)
Capture the Flag (CTF) i datorsäkerhet är en övning där "flaggor" i hemlighet döljs i avsiktligt sårbara program eller webbplatser. Det kan antingen vara i tävlingssyfte eller i utbildningssyfte. Tävlande stjäl flaggor antingen från andra tävlande (attack-/försvarsliknande CTF:er) eller från arrangörerna (utmaningar i jeopardy-stil). Det finns flera varianter. Tävlingar kan inkludera att gömma flaggor i hårdvaruenheter, de kan vara både online eller personligen, och kan vara avancerade eller instegsnivåer. Spelet är baserat på den traditionella utomhussporten med samma namn .
Historia
Capture the Flag (CTF) är en cybersäkerhetstävling som används som ett test av säkerhetskunskaper. Den utvecklades först 1993 på DEFCON , den största cybersäkerhetskonferensen i USA som arrangeras årligen i Las Vegas, Nevada. Konferensen är värd för en helg med cybersäkerhetstävlingar inklusive CTF. Det finns två sätt att spela CTF: Jeopardy och Attack-Defense. Båda formaten testar deltagarnas kunskaper i cybersäkerhet, men skiljer sig i mål. I Jeopardy-formatet måste deltagande lag genomföra så många utmaningar med olika poängvärden från en given kategori. Några exempel på kategorier är programmering, nätverk och reverse engineering. I attack-defense-formatet måste konkurrerande lag försvara sina sårbara datorsystem samtidigt som de attackerar motståndarna. Detta görs genom att försöka ersätta motståndarens "flagga" eller datafil med sin egen. Sedan CTF skapades på DEFCON har det hållits andra CTF-tävlingar inklusive CSAW CTF och Plaid CTF.
Ansökningar
CTF används främst för cybersäkerhetsutbildning, eftersom studier visar att elever tenderar att reagera bättre på interaktiva metoder som demonstreras genom CTF-övningar än i en traditionell klassrumsmiljö. En studie utförd av forskare vid Adelphi University fann att att använda CTF-övningar var ett mycket effektivt sätt att ingjuta cybersäkerhetskoncept på ett roligt sätt. De kan också införlivas i en klassrumsmiljö och har inkluderats i grundutbildningen i datavetenskap, såsom Introduktion till säkerhet vid University of Southern California.
CTF är också populärt i militära akademier. De ingår ofta som en del av läroplanen för cybersäkerhetskurser. Till exempel, en rapport som släppts av Cyber Defense Review, en tidskrift från Army Cyber Institute (ACI) i West Point, belyser CTF-övningar som genomförs av studenter i Air Force Academy och Naval Academy som är medlemmar i cybersäkerhetsklubbar. Dessutom lärs många cybersäkerhetskoncept ut genom CTF-övningar i Advanced Course in Engineering on Cyber Security, ett uppslukande sommarprogram som erbjuds ROTC-kadetter, aktiva medlemmar och studenter.
Nackdelar
En annan faktor som hindrar CTF:s effektivitet är kostnaden, som inkluderar kostnader för hårdvara och mjukvara, samt administrativa löner. Vissa tävlingar kräver användarterminaler för spelare, så maskiner måste köpas till varje spelare. I tävlingar med öppen källkod som PicoCTF där elever spelar på sina persondatorer sparas sådana kostnader men det finns fortfarande serverkostnader. CTF-evenemang kräver också att experter inom cybersäkerhet anställs, vilket kan vara dyrare än att anställa icke-specialistlärare eller mindre erfarna ingenjörer.
Tävlingar
Företagssponsrade tävlingar
Medan CTF främst används för cybersäkerhetsutbildning, visar vissa studier att företag använder CTF som en form av rekrytering och utvärdering för högpresterande. Den kan användas för att söka efter potentiella anställda.
Senaste tävlingarna
Computer Science Annual Workshop (CSAW) CTF är en av de största öppna tävlingarna för studenter som lär sig cybersäkerhet från hela världen. 2021 var det värd för över 1200 lag under kvalomgången. En annan populär tävling är DEFCON CTF, en av de första CTF-tävlingarna som finns, som riktar sin tävling mot de som redan är bekanta med cybersäkerhet och introducerar mer avancerade problem.