ctf คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?
TRANSCRIPT
![Page 1: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/1.jpg)
CTF คอือะไร เรียนแฮก? ลองแฮก? แขงแฮก ?
[email protected]/index.htmlilinkedin.com/in/pich4ya
Pichaya Morimoto
![Page 2: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/2.jpg)
Overview
★ CTF คืออะไร★ แขงยังไงแขงแฮกใน CTF★ ทําไมถึงควรเลน CTF★ แขงแฮกโจทยมันเปนยังไง★ CTF ในประเทศไทยและตางประเทศ★ อยากเริ่มเลน CTF ทําไงดี★ ตัวอยาง
![Page 3: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/3.jpg)
ยอมาจาก Capture The Flag
ในเกมคอมพิวเตอร★ โหมดในเกม fps / tps★ เลนเปนทีม แขงชิงธง ★ เชน S4 League, Microvolts
ในฝง Computer Security★ แขงแฮก เพื่อชิงธง★ ธง คือขอความลับ (flag)ที่จะไดมาเมื่อแกไขปญหาได★ เชน DefCon CTF, Codegate
CTF, SECCON CTF
CTF คืออะไร ?
![Page 4: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/4.jpg)
เหมือนเลนเกม เลนเดี่ยว/เปนทีม เก็บคะแนนใหไดมากที่สุด กอนหมดเวลาแขงสวนมากจัดเปนออนไลนเลนที่ไหนก็ได แตบางงานตองไปสถานที่จริงก็มีCTF แบงตามวิธีเลนมี 3 รูปแบบหลัก ๆ1. Jeopardy (เจพเพอดี้)
แบบถาม - ตอบ มีโจทยปญหาใหแกเมื่อแกไดแลวจะไดคําตอบเปนขอความลับ (flag หรือธงนั้นเอง) เอาไวยืนยันเพื่อเก็บคะแนน
2. Attack-Defence แตละทีมมีคอมพิวเตอรเปนฐานของตัวเอง ใหแฮกไปที่เครื่องทีมอื่น โดยหาชองโหว เขียนโคดขึ้นมาโจมตี เพื่อชิงธงมา ธงอาจอยูในไฟล เชน C:\flag.txt และอาจจะสามารถปองกันเครื่องของตัวเอง ไดดวยโดยจะมีกฏกติกาวาใหทําการแกไขอะไรไดบาง
3. Mixed หรือแบบอื่น ๆตามแตจะเอาไปดัดแปลงใชได เชน wargame ที่เลนเมื่อไรก็ได
แขงยังไงแขงแฮกใน CTF
![Page 5: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/5.jpg)
★ สนุก มันส เหมือนถามวาทําไมถึง เลนเกม อานการตูน★ งานใหญ ๆ จะมีรางวัลใหคนชนะ เปนเงินบาง แรรไอเท็มบาง★ ไดเรียนรู Computer Security แบบลงมือทําจริง ไดลองแฮก
ลองแกไขโจทยปญหายาก ๆ ที่ตองไปหาอานสิ่งใหม ๆ อัพเดทความรูอยูตลอดเวลา เทคนิคนี้ วิธีนี้ โปรแกรมนี้ เคยปลอดภัยวันนี้ พรุงนี้อาจไมปลอดภัย เราอานขาว อานบทความชองโหวงั้นงี้เหมือนเขาใจ ลองทําจริง ๆ จากโจทย CTF ชวยยืนยันไดวาเขาใจจริง ๆ
★ IT Security Expert ทั่วโลกนิยมเลนกันอยางแพรหลาย คนเลน CTF สวนมากทํางานเกี่ยวกับ IT Security เชน นักทดสอบเจาะระบบ (Penetration Tester) เพราะฉะนั้นถาอยากฝกหรือวัดความเกงดาน IT Security ในระดับโลกการเลน CTF ก็เปนอีกตัวเลือกที่ดีเพราะมี scoreboard ใหดูดวยวาเราอยูตรงไหน คนอื่น ๆ เคาอยูตรงไหน
ทําไมถึงควรเลน CTF
![Page 6: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/6.jpg)
โจทยใน CTF มีหลากหลาย เราอาจไมตองรูทุกดาน ถาในทีมมีหลายคน เชน
★ Cryptanalysis ถอดรหัส การเขารหัสที่ไมปลอดภัย / ไมถูกวิธี★ Reverse Engineering วิเคราะหและแกไข binary aka. crack โปรแกรม★ Web Application Security แฮกเว็บ เชน SQL injection★ Binary Exploitation แฮกโปรแกรม เชนทํา buffer overflow★ Digital Forensics ตรวจสอบหารองรอยขอมูลอิเล็กทรอนิกส★ Trivia / Misc อื่น ๆ ที่ไมเขาพวกเชนอาน QR โคดครึ่งอัน
โจทยใน CTF ทุกขอ จะตองมีวิธีแกไขไดอยางนอย 1 วิธีแนนอน แตอาจแกไดหลายวิธีเชนกัน ทําไงก็ไดใหได flag คนตั้งโจทย CTF จะตองไมสรางโจทยที่วิธีทําไม practical ในการแกไข เชนการ bruteforce เปนเดือน ๆ จะไมมีทางเปน solution ของโจทย CTF โดยปกติ
แขงแฮกโจทยมันเปนยังไง
![Page 7: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/7.jpg)
★ Thailand Network Security Contest (TNSC)จัดโดย The Communication Solution Co., LTD. (ในเครือ CDG)★ Cyber Security Hacking Contestแขงแฮกในงานสัมมนา Cyber Defense Initiative Conference (CDIC)จัดโดย ACIS Professional Center Co., Ltd.★ Cyber Defence Exerciseจัดโดย กระทรวงกระกลาโหมรวมกับ ACIS★ CAT CyFence CyberCop Contest จัดโดย CAT CyFence (ในเครือ CAT Telecom - กสท)★ Malware Analysis Competition จัดโดย ThaiCERT (ในเครือ ETDA) รวมกับ JapanCERT
การแขงแนว CTF ในประเทศไทย
![Page 8: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/8.jpg)
ใชในคอรส สอนแฮกราคา 2 แสน
![Page 9: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/9.jpg)
งานสัมมนาดาน Hacking ที่ใหญที่สุดในโลก DefCon จัด CTF ทุกป
ตัวอยาง CTF ในตางประเทศ (1)
DefCon CTF FinalLas Vegas, NV, USA
CodeGate CTF FinalSeoul, Republic of Korea
SECCON CTF FinalTokyo, Japan
![Page 10: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/10.jpg)
ในไทยก็มี
Cyber W.A.R. in CDIC 2014Bangkok, Thailand
![Page 11: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/11.jpg)
NSA หนวยงานความมั่นคงอเมริกาใชการแขงขันแบบ CTF ชวยสอนทางการทหารไซเบอร ดวย Cyber Defence Exercise (CDX), NATO ก็มี
ตัวอยาง CTF ในตางประเทศ (2)
Ref: สารคดี CDX แนะนําใหดูhttps://www.youtube.com/watch?v=HnnvVnsDCGwhttps://www.youtube.com/watch?v=aoG1XzUk7sUhttps://www.youtube.com/watch?v=DCLL9f4onvY
![Page 12: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/12.jpg)
หลักสูตรปริญญาเอกที่ มหาวิทยาลัย Carnegie Mellon เปดวิชา “Special Topics in Security I” ใหนักศึกษาเลน CTF เพื่อเก็บคะแนนเอาไปคิดเกรดได
ตัวอยาง CTF ในตางประเทศ (3)
Ref: https://ece.cmu.edu/courses/items/18739L.htmlhttps://github.com/CMU-18739L-S15/187639L-s15-coursedocs
![Page 13: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/13.jpg)
1. คนทํางานดาน IT Security ควรรูวิธีโจมตีไวเพื่อเขาใจวิธีปองกันแกไข2. บริษัทยักษใหญ ตั้งทีมขึ้นมาหาชองโหวโดยเฉพาะ
★ Google Project Zero★ IBM X-Force
3. [ Bug Bounty program , 0-day black market ] === ไดเงินและชื่อเสียง
การแฮกไมดีรึเปลา ลองแฮกใน CTF ทําไม
รวมทั้ง vulnerability research ตาง ๆ ซึ่งถามีประสบการณกับ CTF มาแทบไมตางกับการหาชองโหวในซอฟตแวรจริง ๆ
![Page 14: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/14.jpg)
★ ถาทํางานดาน IT Security specialist อยูแลว เริ่มตามหา event ตาง ๆ ไดที่:
https://ctftime.org/event/list/upcoming
★ ถาทํางานอยูในสายอื่น หรือเปนนักเรียน-นักศึกษา:ถาลอง CTF แลวไปไมถูกลองพวก wargame/vm lab ไปกอนงายกวา
http://game.rop.sh/http://www.root-me.org/en/Challenges/https://www.vulnhub.com/
หรือลองเลน CTF สําหรับนักเรียน http://www.hscs.io/เชน PicoCTF, sCTP.io, CTCTF เปนตน
อยากเริ่มเลน CTF ทําไงดี
![Page 15: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/15.jpg)
How to: หาคนเลน CTF ในไทย
ถากดด ูFacebook Profileใครสักคนแลวเจอรูปเคาเปนภาพหนาตาประมาณนี้ แปลวา มาถูกทางแลว!
อีกวิธีคอยตาม Event จาก ctftime.orgแลวถาสนใจจะเลนจริง ๆ เขามาคุยกันไดที่
IRC: irc.2600.in.th:6668 [SSL]หอง #wargames
ถามีคนสนใจจะเลนอยูก็อาจไดเลนดวยกัน
![Page 16: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/16.jpg)
https://ctftime.org/https://github.com/ctfs/write-ups-2015https://github.com/ctfs/write-ups-2014https://community.rapid7.com/community/metasploit/blog/2013/11/08/http://ppp.cylab.cmu.edu/wordpress/?p=1182http://blog.dragonsector.pl/ , https://eindbazen.net/ , http://tasteless.eu/ , http://mslc.ctf.su/ , https://ctfcrew.org/https://usenix.org/event/cset09/tech/full_papers/adams.pdfhttps://usenix.org/conference/3gse14/summit-program/presentation/davishttps://usenix.org/conference/3gse14/summit-program/presentation/mirkovichttps://reddit.com/r/netsec/comments/1k1oh4/we_are_the_plaid_parliament_of_pwning_ask_us/https://reddit.com/r/netsec/comments/y0nnu/we_are_samurai_ctf_and_we_won_defcon_ctf_this
เอกสารอางอิง + หาอานเพิ่มเติม
![Page 17: CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?](https://reader030.vdocuments.mx/reader030/viewer/2022012303/55a697611a28ab602d8b4721/html5/thumbnails/17.jpg)
ติดตามไดใน https://www.youtube.com/user/pich4ya และ https://www.facebook.com/groups/2600Thailand/ เร็ว ๆ นี้!
ตัวอยาง