Capture The Flag (CTF) Nedir ? (1 Viewer)

Joined
Sep 1, 2018
Credits
55
Rating - 0%
(Alıntıdır)
Lütfen like atmayı unutmayın :)

View hidden content is available for registered users!
Capture The Flag (CTF)
View hidden content is available for registered users!




Capture The Flag, Türkçeye “bayrağı yakala” ya da “bayrak kapmaca” olarak çevirebiliriz.

CTFler bilgi güvenliği alanında düzenlenen eğitici, öğretici, farklı bakış açılar kazandırmayı, araştırmayı hedefleyen, teorik bilgiyi pratik olarak uygulama imkanı sunan, kimi zaman gerçek hayat problemlerini içeren, bu alanda gönül vermiş kişilerin, kurumların, öğrencilerin bir araya gelerek kaynaştığı, sosyalleştiği, eğlence amacı da bulunan tırnak içinde “hacker” yarışması olarak tanımlayabiliriz. En azından kaliteli ve öğretici olan bir CTF yarışmasının özelliklerinin bunlar olması gerektiğini söyleyebiliriz. Kısaca, bir çeşit özel olarak tasarlanmış, hazırlanmış bilgi güvenliği yarışmalarıdır.

GENEL ÖZELLİKLERİ NELERDİR ?
View hidden content is available for registered users!

  • Online ya da Local olarak düzenlenebilir.​
  • Online olarak düzenlenen CTFler genelde herkese açık olarak bir web sitesi aracılığıyla düzenlenir. Bunlarla ilgili linkleri aşağıda topladım.​
  • Local CTFler ise genelde bir konferans veya bir bilgi güvenliği etkinliği kapsamında düzenlenir. Bu CTFlere katılabilmek için genelde 1. aşamayı geçmeli veya davet edilmelisiniz. Yine bu olay düzenleyen kurumlar tarafından değişkenlik gösterebilir.​
  • Takım olarak yarışılır. Localde düzenlenen CTFler için takımdaki kişi sayısı, yarışmanın kurallarına göre değişir. Dünya geneline baktığımızda 4 ile 12 kişi arasında değişir. Tabi ülkemizdeki local CTFleri incelediğimizde bu sayı 2-4 kişi arasına kadar düşer. Online olarak düzenlenen bi CTFe girdiğinizde bu sayının bi önemi yoktur.​
  • Bireysel versiyonları da mevcuttur.​
  • Belirli bir süresi yoktur. Genelde local CTFler 8-48 saat olarak değişmekle beraber online CTFler 1 haftalık, 1 aylık hatta çözülene kadar süren CTFlerde vardır.​
  • CTFlerde belli başlı kategoriler mevcuttur. Bunlar: Web, Mobil, Kriptoloji, Forensics, Pwning & Exploiting, Network, Reverse Engineering, Steganography, OSINT & Reconnaissance, MISC (Miscellaneous), Trivia.​
  • Her CTFin kendine has bir zorluğu ve puanlama sistemi mevcuttur.​
  • Amaç sorulan sorularda gizlenmiş cevabı bulmaktır. Bu gizlenen cevaba flag denir ve bu flagi bulan takıma ya da kişiye puan verilir. Bu şekilde en çok ve en hızlı flagleri bulan takımlar ya da kişiler skor tablosunda sıralanır.​
CTFler Jeopardy ve Attack-Defense olmak üzere 2’ye ayrılır.
Jeopardy CTF
: Yukarıda saydığım kategorilerden oluşan, zorluk seviyesi kolaydan zora göre puanlanan ya da dinamik puanlama tercih edilen, soru soru, kategori kategori farklılık gösteren, bilgi yarışması tadında, offline soruları da barındıran CTF türüdür. Takımlar soruları çözüp flagleri bulmaya çalışır. Yarışma süresi boyunca en çok ve en hızlı flag toplayan takım ya da kişiler yarışmayı kazanır. Genelde bu CTF türü daha yaygındır, özellikle ülkemizde düzenlenen online ve local CTFlerin %95’i Jeopardy formatındadır.

challenges-300x213.png


Attack-Defense CTF: Biraz daha ileri düzey diyebileceğimiz bir CTF türüdür. Bu CTFte her takım kendine ait, güvenlik zafiyetleri bulunduran networke sahiptir. Bu zafiyetler içlerinde flag barındırmaktadır. Flagler ve zafiyetler belirli bir zaman aralığına göre değişken özelliğe sahip olabilir hatta sistemin türüne göre farklılıklar gösterebilir. Genel olarak takımların yapması gereken şey, kendi sistemlerindeki güvenlik zafiyetlerini kapatmaya, sistemi ayakta tutmaya çalışmak kısaca kendi ağını saldırılardan koruyarak defans puanı kazanmak ve rakiplerinin güvenlik açıklarını bulup yaptığı ataklar sayesinde çalabildiği kadar flag çalarak atak puanı kazanmak. Toplamda en çok atak + defans puanına sahip olan takım yarışmayı kazanır.

attack_defense-300x159.png


Şimdi yukarıda bahsettiğim kategorileri ne olduklarını biraz açıklayayım:

Web: Zafiyet bulunan bir web sitesi verilir ve gizlenmiş flagi bulmanız istenir.

Mobil: Aynı şekilde web gibi önceden hazırlanmış, zafiyet içeren bir mobil uygulamanın APK’sı veya ilgili dosyaları verilir.

Forensics (Adli Bilişim) & Network : Forensic ve Network soruları çeşitlidir ve geniş bir alandır. Genelde dosya format analizleri, ağ paket analizleri, ağ incelenmesi, RAM imajları, bellek dökümlerinin incelenmesi gibi sorularla karşılaşabilirsiniz.

Pwning & Exploiting : Exploiting ve pwning aslında CTF kategorisi olarak düşündüğümüzde benzer şeylerdir. Pwn , “own” kelimesinden türetilmiş olup güvenlik camiasında argo olarak “hacklemek, fethetmek, ele geçirmek, sahip olmak” anlamına gelir. Exploiting, Türkçe anlamı “sömürmek, istismar etmek, kötüye kullanmak” olarak çevirebiliriz. Bunu da kabaca şöyle anlatabiliriz bir sistemdeki güvenlik zafiyetini bulduktan sonra o zafiyeti kullanarak sistemin olağan dışı çalışmasını sağlamanız, sistemi çalışmasını kendi lehinizde kullanmanız ya da bir şekilde kontrolü ele almanız ve bunu yaparken yazdığınız kod parçacıkları, hatta oluşturduğunuz toolunuz, scriptiniz, kodunuz, kullandığınız aşamalarınız sizin exploitinizdir. Aşağıdaki görsel ile daha iyi kavrayacağınızı düşünüyorum.

Exploit-300x176.png


Genelde size bir sistem ve kaynak kodu verilir. Siz sistemdeki kodu anlayarak, sistemi analizlerini yaparak, zafiyetlerini tarayarak, çeşitli toollar yardımıyla ve yazdığınız kod parçacıklarıyla sistemi exploit etmeye çalışırsınız. Kategori olarak CTFlerdeki en baba, en zor kategorilerden birisidir, en keyiflisidir.

Reverse Engineering: Türkçeye “Tersine Mühendislik” olarak çevirebileceğimiz bir yazılımın ve donanımın nasıl çalıştığını anlamak için yapılan, kaynak kodlarına erişim olmamasına rağmen, sistem yapısını çözmesinden başlayarak ve kaynak kodu çıkarana kadar geçen evredir. Sadece bir yazılım olarak düşünmeyin, donanımlara da hatta her türlü makineye reverse engineering yapılabilir. Gerçek hayattan örnek vermek gerekirse, düşünün ki bir antivirüs programı şirketi, yeni çıkan ve yayılan bir virüse karşı koyabilmesi için o virüsü reverse engineering yöntemlerini kullanarak virüsün nasıl çalıştığını anlayıp, kodlarını çıkarıp, önlemlerini ve çözümlerini ona göre alacak olması, en yaygın örneklerden biridir. CTFlerde en baba bir diğer kategoridir, zordur, ciddi bi tecrübe ve bilgi gerektirir. 2-3 ayda hatta 1-2 yılda ileri düzeylerde öğrenilecek bir şey değildir.

Kriptoloji: Kriptografi ve Kriptanaliz (Kriptografik algoritmalarını analizleri) ile ilgili bir bilim dalıdır. Kısaca, şifreleme bilimidir. Aslında kriptolojinin arka planında derin bir matematik yatar. Matematiksel bazı algoritmalar sayesinde verileri kolayca şifreleyebiliyoruz. Tabi ne kadar güvenli olduklarını tartışabiliriz orası ayrı. CTFlerde zor kategoriler arasında gelir, önemli ve bi o kadar zevkli olduğunu söyleyebilirim.

Steganografi: Eski Yunanca’da “gizlenmiş yazı” anlamına gelir ve bilgiyi gizleme (Not: şifreleme değil) bilimine verilen addır. Steganografinin şifrelemeye göre en büyük avantajı bilgiyi gören bir kimsenin gördüğü şeyin içinde önemli bir bilgi olduğunu fark edemiyor olmasıdır, böylece içinde bir bilgi aramaz (oysaki bir şifreli mesaj, çözmesi zor olsa bile, gizemi dolayısıyla ilgi çeker). Dijital ortamda kısaca veri içine veri gömmektir. Bununla ilgili, çeşitli algoritmalar mevcuttur. CTFlerde en ilgi çeken, zevkli diyebileceğimiz türden soru kategorisidir. Diğer kategorilere göre pasif ve kolay gibi görünse de kimi zaman, en zor sorular arasında yer alabilir.

OSINT & Recon: OSINT açılımı, Open Source Intellinge yani Açık Kaynak İstihbaratı, Recon ise yani Reconnaissance Türkçeye keşif olarak çevirebiliriz. Bu tarz CTF soruları aslında sizden istedikleri hedefe ya da verdikleri bilgiler doğrultusunda stalk yapmanızı isteniyordur, yani bunu sadece sosyal medya olarak düşünmeyin bütün internet alemini düşünün (bazı yarışmalarda deep web dahil) flag her yerde olabilir. Hatta sınırları zorlamanız gerekebilir, flag için bazen Japonya’daki bir mobese kamerasına bile erişmeniz gerekebilir(denendi), Güney Kore’deki bir dişçinin numarasını bulup onu aramanız gerekebilir(denendi) ya da 10 sene önceki bi gazete de yayınlanmış haber fotoğrafındaki kişinin ev adresini bulmaya çalışmanız(denendi) gibi gibi örnekler çoğaltılabilir. Gerisi sizin yaratıcılığınıza ve stalkerlığına kalmış bişey. CTFlerde kimi zaman en uğraştırıcı, uzun soluklu olabilen, bazılarını keyifli bulduğum bazıların da ise çileden çıktığım sorulardır.

MISC (Miscellaneous): Türkçesi tam olarak “ortaya karışık” diyebileceğimiz türden sorulardır. Biraz kripto, biraz pwn, biraz reverse her şey içerebilir adı üstünde karmaşıktır. Genelde zordur ve aşamalı gider, sorusuna göre değişir.

Trivia: Türkçesi “önemsiz şeyler” ya da bence tam karşılığı olan “Tırı Vırı, Ivır Zıvır” olarak çevirmek yanlış olmaz. CTFlerde genelde ısınma soruları olarak sorulur ya da 1-2 tane tahmine dayalı çok fazla bilgi gerektirmeyen eğlence amaçlı sorulur, puanları yüksek olmamalıdır kanımca yani kısaca özetlemem gerekirse, “pazar eki bulmacası”” tadında sorulardır.

Sonraki yazılarımda bu kategorilerle ilgili daha spefisifik, daha ayrıntılı yazılar yazmayı düşünüyorum.

CTF için kaynaklar
CTF Time
https://ctftime.org/

Dünya çapındaki geçmiş ve gelecekteki CTF yarışmalarını zamanına, türüne göre listeler. Ayrıca CTFlerin zorluk seviyelerinin, kalitelerinin oylamaya sunulduğu ve oylama sonucu takımların sıralamalarına göre puan kazanabildikleri, özel formulü bulunan bi ranking sistemine sahiptir. Siz de kendi takımınızı oluşturup Online olan CTFlere katılabilirsiniz.

Hack The Boxhttps://www.hackthebox.eu/

Penetrasyon testi becerilerinizi geliştirmenize ve fikirlerinizİ diğer üyelerle paylaşmanıza olanak sağlayan çevrimiçi bir platformdur. Bu platformdaki CTF makineleri çeşitli zorluklara sahip ve sürekli güncelleniyorlar, ayrıca jeopardy formatta 7/24 açık her kategoride öğrentici sorular mevcut. Üye olabilirsiniz.

CTF Learnhttps://ctflearn.com/

Bu web sitesi tamamen gönüllü insanların soru hazırladığı ve kendi sorularını paylaştığı bi platformdur. Öğretici sorular olduğu kadar tahmine dayalı sorulara denk gelebilirsiniz ama eğer ilginiz varsa kayıt olup çözebildiğiniz kadar soru çözmenizi tavsiye ederim.

Ve diğer girip bakmanızı tavsiye ettiğim web siteleri
Şöyle dönüp baktığımızda, son 10 yıl içerisinde CTF kültürünün Dünyada ve Türkiye’de giderek hızla arttığını söyleyebiliriz. Eskiden ülkemizde bu kadar çok yarışma düzenlenmezdi, düzenlense bile bu kadar ilgi görmezdi. Önümüzdeki 3-4 yıl içinde Türkiye’de çok fazla bilgi güvenliği etkinliği, konferansı düzenleneceğine ve beraberinde CTF yarışmalarının sayısının giderek artacağını garanti edebilirim. Şuan için bir dünya devi olmamız mümkün görünmese bile, bundan 3-4 yıl sonra şu anki konumumuzdan çok daha iyi olabileceğimizi düşünüyorum.

Özellikle Dünya genelindeki CTF takımlarına baktığımızda gözümüze çarpan ülkeler: Amerika Birleşik Devletleri, Rusya, Çin, Japonya, Polonya, İsrail, Almanya, Ukrayna önde gelen, domine eden ülkeler arasındalar.

Ben mesela şuanda orta okulda ya da lisede okuyor olsam; bilgisayara, programlamaya ilgili olan 2-3 tane arkadaşımı kafalarım, kendi çapımızda bir tane CTF takımı kurarım, çoğu genç bundan çok çekiniyor, yapamadığı için ya da olmayacağını düşündüğü için. Şunu söylemeliyim ki yurt dışındaki yarışmaları gözlemlediğim kadarıyla liseler ve ortaokullar arası düzenlenen yarışmalardaki pek çok genç bizim ülkemizdeki sektörün üst seviyelerindeki mühendislere taş çıkaracak cinsteler hatta üzerindeler. Kimse gökten zeplinle inmedi sonuçta en deneyimli CTF yarışmacıları bile hiç soru çözemediği CTFlerin olduğunu bilelim. Genel olarak ise bu sektördeki en önemli şeylerden birisi hatta sektörü de geçtim, iyi bir yazılım, bilgisayar mühendisi, programcısı ya da hobi olarak uğraşan insanların bilişim sektöründe kendilerine bir şeyler katabilmesi için bence önce okuma alışkanlıklarının olması gerekiyor çünkü ciddi anlamda çok fazla öğrenilmesi, okunması gereken şey var. Hele ki konumuz bilgi güvenliği ise bunun daha iyi seviyelerde, daha istekli olunması gerekiyor.

 

Users who are viewing this thread

Top