siber güvenlik eğitiminde uluslararası ctf yarışmaları
TRANSCRIPT
Siber Güvenlik EğitimindeUluslararası CTF Yarışmaları
Yrd.Doç.Dr. Emin İslam TatlıWeb Güvenliği Günü, OWASP Türkiye5 Şubat 2015
Hakkımda• Siber Güvenlik ve Araştırma Grubu Direktörü @ İstanbul
Medipol Üniversitesi
• Araştırma Konularımız Siber Güvenlik, Güvenli Yazılım Geliştirme, Bilgi Güvenliği Yönetimi, Mahremiyet
• Web: http://cybersec.medipol.edu.tr
• Eğitmen
o Lisans/Yüksek Lisans/Doktora @ Medipol Üniversitesi
o TÜBİTAK BİLGEM
İçerik• CTF yarışmaları nedir?
• CTF neden önemlidir?
• Uluslararası CTF Yarışmaları
• CTF’e Hazırlanma Süreci
• Çıkmış CTF Sorularından Örnekler
CTF Yarışmaları Nedir?
• CTF = Capture the Flag (Bayrak Kapmaca)
• CTF özel bilgi güvenliği yarışmalarıdır.
• İki tür CTF vardır: Jeopardy ve Attack-Defense
o Jeopardy Verilen güvenlik sorularını çözer, her soru için ilgili flag’i bulur ve puanları toplarsınız.
o Attack-Defence Size verilen sistemdeki zafiyetleri kapatmaya çalışırken rakiplerinizin açıklarını bulmaya çalışırsınız.
CTF Yarışmaları Nedir?
• Tipik CTF Özellikleri
o Genelde Hacking konferansları bünyesinde gerçekleştirilir.
o Takım olarak yarışırsınız (Lokal ya da Uzaktan).
o Genelde 1-5 gün sürer.
o Başlıca soru kategorileri web, crypto, forensics, network, exploiting, reversing, steganography, binary analysis, mobile
o Takım içinde farklı tecrübelere sahip kişilerin olması önemlidir.
CTF Neden Önemlidir?• Bu yarışmalar sayesinde
o Hacking’i öğrenirsiniz.
o Saldırgan bakış açısı yeteneğinizi ilerletirsiniz.
o Saldırı ve Korunma için güvenlik bilginizi derinleştirirsiniz.
o Alternatif çözüm bulma kabiliyetinizi geliştirirsiniz.
o Takım çalışmasını öğrenirsiniz.
o Uluslararası rekabette deneyim, özgüven kazanırsınız.
Uluslararası CTF Yarışmaları• En bilinen uluslararası CTF’ler
o Hack.lu (2010): https://ctf.fluxfingers.net/
o The UCSB iCTF (2003) : http://ictf.cs.ucsb.edu/
o DEFCON (1996): https://www.defcon.org/html/links/dc-ctf.html
o RuCTF (2008): http://ructf.org/index.en.html
o rwthCTF (2011-13): https://ctf.itsec.rwth-aachen.de/
Uluslararası CTF Yarışmaları• Diğer Referanslar
o CTF Time (https://ctftime.org): Geçmiş ve gelecekteki CTF yarışmalarını listeler. Ayrıca takımlara, katıldıkları CTFlerin listesine ve puanlarına erişmek mümkündür.
o CTF Write-Ups (https://github.com/ctfs/write-ups): Geçmişteki birçok CTF yarışmasının çözümlerine erişilebilir.
Uluslararası CTF Yarışmaları (devam)
CTF’e Hazırlanma Süreci
• 7/24 ulaşabileceğiniz laboratuvar ortamı sağlayın.
• Geçmişte çıkmış CTF sorularını çözün.
• Ekibinizde farklı konularda uzmanlığı olan kişiler olsun.
• Katıldığınız CTF’lerdeki çözümlerinizi yayınlayın.
Çıkmış CTF Sorularından Örnekler
• Hack.lu 2013 ve 2014
1. Encrypted Loginhttps://wildwildweb.fluxfingers.net:1411/
2. PayTV https://ctf.fluxfingers.net:1316/
3. ImageUploadhttps://wildwildweb.fluxfingers.net:1421/
4. Robots Exclusion Commiteehttps://ctf.fluxfingers.net:1315/
Çıkmış CTF Sorularından Örnekler
• Encrypted Login: https://wildwildweb.fluxfingers.net:1411
Çıkmış CTF Sorularından Örnekler
• PayTV: https://ctf.fluxfingers.net:1316/
Çıkmış CTF Sorularından Örnekler (devam)
• Image Upload: https://wildwildweb.fluxfingers.net:1421
Çıkmış CTF Sorularından Örnekler (devam)
• Robots Exclusion Commitee: https://ctf.fluxfingers.net:1315/
16
Sorular?