奪旗 (網路安全)
奪旗(英語:Capture the flag,簡稱「CTF」)在計算機安全中是一種活動,當中會將「旗子」秘密地埋藏於有目的的易受攻擊的程式或網站。參賽者從其他參賽者(攻/防式奪旗)或主辦方(危難式挑戰)偷去旗子。[1][2]奪旗活動衍生出數種變體,當中包括於硬體裝置內隱藏旗子。相關比賽可透過線上或實體形式進行,亦可分為進階和入門兩種層級。[3]此遊戲乃基於同名傳統戶外運動而設計。
概述
保安奪旗活動的設計旨在以一種教育練習的方式,給予參加者於保護機器的經驗,同時對那些在現實世界中發現的攻擊進行處理並作出反應(即專業環境中的漏洞獎勵計畫)。著名的攻/防式奪旗包括通常被視為競賽圈(competition circuit)「決賽」、自1996年起,[4]於最大型黑客會議期間舉辦的DEF CON,以及最大型的學生網路安全比賽NYU-CSAW(網路安全關注周)。[5][6][7][8]
典型奪旗活動包括逆向工程、數據包嗅探、協定分析、系統管理、編程、密碼分析,以及編寫漏洞利用等等。[9]在攻/防式比賽中,每支隊伍獲分配一台用以防守的機器(或一個小型網路)——一般位於一個獨立的比賽網路之上。隊伍會按成功防禦己方的機器,以及成功攻破其他隊伍的機器而獲得分數。[10]典型奪旗的一個變體,是於敵方機器上「植下」己方的旗子。
硬體挑戰(hardware challenge)通常涉及獲得一枚未知的硬體,並需找出如何繞過部份安全措施,例如使用除錯端子或採取一種旁路攻擊。[來源請求]危難式挑戰與算法競賽頗為相似:隊伍之間並非互相攻擊,而是解決由主辦方所公佈的挑戰。一般而言,時間並非贏取這類比賽的一項要素,但「第一滴血」額外分數通常會給予最快解決挑戰的隊伍。[來源請求]在山之王式挑戰中,玩家透過相對排名(relative ranking)獲取積分。典型而言,只有排名第一的隊伍才能得分。當另一隊伍擊破目前的冠軍隊伍(例如,透過獲得冠軍隊伍所防守的共享「目標」機器),則他們成為新的冠軍,並轉為捍衛己方的排名,與其他隊伍作對抗。[來源請求]
參見
參考資料
- ^ Dubey, Siddhant. An Introduction to Cybersecurity, Capture the Flag Contests, and Basic Security Concepts. Medium. 2019-12-01 [2020-05-21]. (原始內容存檔於2020-05-21) (英語).
- ^ Švábenský, Valdemar; Čeleda, Pavel; Vykopal, Jan; Brišáková, Silvia. Cybersecurity knowledge and skills taught in capture the flag challenges. Computers & Security. March 2021, 102 (102154): 102154 [2022-09-12]. S2CID 230523819. arXiv:2101.01421 . doi:10.1016/j.cose.2020.102154. (原始內容存檔於2022-01-21).
- ^ What is a Cybersecurity Capture the Flag? – StartaCyberCareer.com. [2021-11-09]. (原始內容存檔於2022-08-16) (英語).
- ^ DEF CON® Hacking Conference - CTF History. www.defcon.org. [2020-06-23]. (原始內容存檔於2021-01-04) (英語).
- ^ CSAW CTF Qual 2014 – csaw2013reversing2.exe Writeup. infamoussyn.com. 2014-09-22 [2018-04-01]. (原始內容存檔於2017-07-06) (英語).
- ^ Kathleen, Hamilton. World’s biggest student cyber security contests reveal best young hackers and researchers (PDF). usf.edu (Press release). 2014-11-17. (原始內容存檔 (PDF)於2022-01-11) (美國英語).
- ^ Cyber Security Awareness Week :: About. csaw.engineering.nyu.edu. [2018-04-01]. (原始內容存檔於2018-01-26) (美國英語).
- ^ Polytechnic Institute of New York University. NYU-Poly Cyber Security Awareness Week Announces Winners of World's Biggest Student Contests (新聞稿). PR Newswire. [2018-04-01]. (原始內容存檔於2015-03-16).
- ^ CTF Hacking: What is Capture the Flag for a Newbie?. cybersecurity.att.com. [2021-11-09]. (原始內容存檔於2022-07-01) (英語).
- ^ Introduction To 'Capture The Flags' in CyberSecurity - MeuSec. 2020-06-10 [2021-11-09]. (原始內容存檔於2022-08-13) (英語).