奪旗 (網路安全)

奪旗(英語:Capture the flag,簡稱「CTF」)在计算机安全中是一種活動,當中會將「旗子」秘密地埋藏於有目的的易受攻擊的程式或網站。參賽者從其他參賽者(攻/防式奪旗)或主辦方(危難式挑戰)偷去旗子。[1][2]奪旗活動衍生出數種變體,當中包括於硬體裝置內隱藏旗子。相關比賽可透過線上或實體形式進行,亦可分為進階和入門兩種層級。[3]此遊戲乃基於同名傳統戶外運動而設計。

一支於DEF CON 17,正參與奪旗比賽的隊伍

概述

保安奪旗活動的設計旨在以一種教育練習的方式,給予參加者於保護機器的經驗,同時對那些在現實世界中發現的攻擊進行處理並作出反應(即專業環境中的漏洞獎勵計畫英语Bug bounty program)。著名的攻/防式奪旗包括通常被視為競賽圈(competition circuit)「決賽」、自1996年起,[4]於最大型黑客會議期間舉辦的DEF CON,以及最大型的學生網路安全比賽NYU-CSAW(網路安全關注周)。[5][6][7][8]

典型奪旗活動包括逆向工程數據包嗅探協定分析、系統管理、編程密码分析,以及編寫漏洞利用等等。[9]在攻/防式比賽中,每支隊伍獲分配一台用以防守的機器(或一個小型網路)——一般位於一個獨立的比賽網路之上。隊伍會按成功防禦己方的機器,以及成功攻破其他隊伍的機器而獲得分數。[10]典型奪旗的一個變體,是於敵方機器上「植下」己方的旗子。

硬體挑戰(hardware challenge)通常涉及獲得一枚未知的硬體,並需找出如何繞過部份安全措施,例如使用除錯端子或採取一種旁路攻击[來源請求]危難式挑戰與算法竞赛頗為相似:隊伍之間並非互相攻擊,而是解決由主辦方所公佈的挑戰。一般而言,時間並非贏取這類比賽的一項要素,但「第一滴血」額外分數通常會給予最快解決挑戰的隊伍。[來源請求]山之王式英语King of the Hill (game)挑戰中,玩家透過相對排名(relative ranking)獲取積分。典型而言,只有排名第一的隊伍才能得分。當另一隊伍擊破目前的冠軍隊伍(例如,透過獲得冠軍隊伍所防守的共享「目標」機器),則他們成為新的冠軍,並轉為捍衛己方的排名,與其他隊伍作對抗。[來源請求]

參見

參考資料

  1. ^ Dubey, Siddhant. An Introduction to Cybersecurity, Capture the Flag Contests, and Basic Security Concepts. Medium. 2019-12-01 [2020-05-21]. (原始内容存档于2020-05-21) (英语). 
  2. ^ Švábenský, Valdemar; Čeleda, Pavel; Vykopal, Jan; Brišáková, Silvia. Cybersecurity knowledge and skills taught in capture the flag challenges. Computers & Security. March 2021, 102 (102154): 102154 [2022-09-12]. S2CID 230523819. arXiv:2101.01421 . doi:10.1016/j.cose.2020.102154. (原始内容存档于2022-01-21). 
  3. ^ What is a Cybersecurity Capture the Flag? – StartaCyberCareer.com. [2021-11-09]. (原始内容存档于2022-08-16) (英语). 
  4. ^ DEF CON® Hacking Conference - CTF History. www.defcon.org. [2020-06-23]. (原始内容存档于2021-01-04) (英语). 
  5. ^ CSAW CTF Qual 2014 – csaw2013reversing2.exe Writeup. infamoussyn.com. 2014-09-22 [2018-04-01]. (原始内容存档于2017-07-06) (英语). 
  6. ^ Kathleen, Hamilton. World’s biggest student cyber security contests reveal best young hackers and researchers (PDF). usf.edu (Press release). 2014-11-17. (原始内容存档 (PDF)于2022-01-11) (美国英语). 
  7. ^ Cyber Security Awareness Week :: About. csaw.engineering.nyu.edu. [2018-04-01]. (原始内容存档于2018-01-26) (美国英语). 
  8. ^ Polytechnic Institute of New York University. NYU-Poly Cyber Security Awareness Week Announces Winners of World's Biggest Student Contests (新闻稿). PR Newswire. [2018-04-01]. (原始内容存档于2015-03-16). 
  9. ^ CTF Hacking: What is Capture the Flag for a Newbie?. cybersecurity.att.com. [2021-11-09]. (原始内容存档于2022-07-01) (英语). 
  10. ^ Introduction To 'Capture The Flags' in CyberSecurity - MeuSec. 2020-06-10 [2021-11-09]. (原始内容存档于2022-08-13) (英语).