奪旗 (網絡安全)

奪旗(英語:Capture the flag,簡稱「CTF」)在電腦安全中是一種活動,當中會將「旗子」秘密地埋藏於有目的的易受攻擊的程式或網站。參賽者從其他參賽者(攻/防式奪旗)或主辦方(危難式挑戰)偷去旗子。[1][2]奪旗活動衍生出數種變體,當中包括於硬件裝置內隱藏旗子。相關比賽可透過線上或實體形式進行,亦可分為進階和入門兩種層級。[3]此遊戲乃基於同名傳統戶外運動而設計。

一支於DEF CON 17,正參與奪旗比賽的隊伍

概述

保安奪旗活動的設計旨在以一種教育練習的方式,給予參加者於保護機器的經驗,同時對那些在現實世界中發現的攻擊進行處理並作出反應(即專業環境中的漏洞獎勵計劃英語Bug bounty program)。著名的攻/防式奪旗包括通常被視為競賽圈(competition circuit)「決賽」、自1996年起,[4]於最大型黑客會議期間舉辦的DEF CON,以及最大型的學生網絡安全比賽NYU-CSAW(網絡安全關注周)。[5][6][7][8]

典型奪旗活動包括逆向工程封包嗅探協定分析、系統管理、編程密碼分析,以及編寫漏洞利用等等。[9]在攻/防式比賽中,每支隊伍獲分配一台用以防守的機器(或一個小型網絡)——一般位於一個獨立的比賽網絡之上。隊伍會按成功防禦己方的機器,以及成功攻破其他隊伍的機器而獲得分數。[10]典型奪旗的一個變體,是於敵方機器上「植下」己方的旗子。

硬件挑戰(hardware challenge)通常涉及獲得一枚未知的硬件,並需找出如何繞過部份安全措施,例如使用除錯端子或採取一種旁路攻擊[來源請求]危難式挑戰與演算法競賽頗為相似:隊伍之間並非互相攻擊,而是解決由主辦方所公佈的挑戰。一般而言,時間並非贏取這模擬賽的一項要素,但「第一滴血」額外分數通常會給予最快解決挑戰的隊伍。[來源請求]山之王式英語King of the Hill (game)挑戰中,玩家透過相對排名(relative ranking)獲取積分。典型而言,只有排名第一的隊伍才能得分。當另一隊伍擊破目前的冠軍隊伍(例如,透過獲得冠軍隊伍所防守的共用「目標」機器),則他們成為新的冠軍,並轉為捍衛己方的排名,與其他隊伍作對抗。[來源請求]

參見

參考資料

  1. ^ Dubey, Siddhant. An Introduction to Cybersecurity, Capture the Flag Contests, and Basic Security Concepts. Medium. 2019-12-01 [2020-05-21]. (原始內容存檔於2020-05-21) (英語). 
  2. ^ Švábenský, Valdemar; Čeleda, Pavel; Vykopal, Jan; Brišáková, Silvia. Cybersecurity knowledge and skills taught in capture the flag challenges. Computers & Security. March 2021, 102 (102154): 102154 [2022-09-12]. S2CID 230523819. arXiv:2101.01421 . doi:10.1016/j.cose.2020.102154. (原始內容存檔於2022-01-21). 
  3. ^ What is a Cybersecurity Capture the Flag? – StartaCyberCareer.com. [2021-11-09]. (原始內容存檔於2022-08-16) (英語). 
  4. ^ DEF CON® Hacking Conference - CTF History. www.defcon.org. [2020-06-23]. (原始內容存檔於2021-01-04) (英語). 
  5. ^ CSAW CTF Qual 2014 – csaw2013reversing2.exe Writeup. infamoussyn.com. 2014-09-22 [2018-04-01]. (原始內容存檔於2017-07-06) (英語). 
  6. ^ Kathleen, Hamilton. World’s biggest student cyber security contests reveal best young hackers and researchers (PDF). usf.edu (Press release). 2014-11-17. (原始內容存檔 (PDF)於2022-01-11) (美國英語). 
  7. ^ Cyber Security Awareness Week :: About. csaw.engineering.nyu.edu. [2018-04-01]. (原始內容存檔於2018-01-26) (美國英語). 
  8. ^ Polytechnic Institute of New York University. NYU-Poly Cyber Security Awareness Week Announces Winners of World's Biggest Student Contests (新聞稿). PR Newswire. [2018-04-01]. (原始內容存檔於2015-03-16). 
  9. ^ CTF Hacking: What is Capture the Flag for a Newbie?. cybersecurity.att.com. [2021-11-09]. (原始內容存檔於2022-07-01) (英語). 
  10. ^ Introduction To 'Capture The Flags' in CyberSecurity - MeuSec. 2020-06-10 [2021-11-09]. (原始內容存檔於2022-08-13) (英語).