امنیت کامپیوتر به دلیل ماهیت بین رشته ای آن، یک چالش برای آموزش است. موضوعاتی که در امنیت رایانه وجود دارد از جنبه های نظری علوم رایانه تا جنبه های کاربردی مدیریت فناوری اطلاعات گرفته شده است. این باعث تضمین روحیه کار حرفه ای امنیت رایانه می شود. در این مقاله قصد داریم شما را با مسابقات CTF یا Capture the Flag که به عنوان یکی از مسابقات امنیتی معتبر است، به صورت اجمالی آشنا کنیم.

(CTF (Capture the Flag چیست؟
CTF ها رویدادی هستند که معمولا در کنفرانس های امنیت اطلاعات از جمله رویدادهای مختلف BSides یا دفکان برگزار می شوند. این رویدادها شامل مجموعه ای از چالش هایی هستند که در درجه های سختی مختلف هستند. مسابقات CTF به سه نوع رایج تقسیم می شوند: خطر (Jeopardy) ، حمله-دفاع ( Attack-Defence ) ، ترکیبی (mixed).

خطر (Jeopardy) : دارای چند سوال (وظایف) در محدوده ای از دسته های مختلف است. برای مثال Web، Forensic، Crypto، Binary و… . تیم میتواند برای هر وظیفه حل شده امتیازاتی کسب کند و هرچه قدر کار انجام شده پیچیده تر باشدامتیازی بیشتری در پی خواهد داشت. وظیفه بعدی به صورت زنجیره تنها در صورت حل وظیفه ی قبلی قابل حل کردن است. بعد از به پایان رسیدن زمان مسابقه امتیازات محاسبه و برنده مشخص می شود. نمونه مشهور چنین مسابقه ای CTF Defcon است.

حمله-دفاع ( Attack-Defence ) :که یکی دیگر از جالب ترین مسابقات است. در اینجا هر تیم دارای یک شبکه ی اختصاصی (یا تنها یک هاست) با سرویس های نامناسب است. تیم شما باید در زمان مشخص سرویس ها را پچ و کد های مخرب خود را توسعه دهد. پس از آن، سازمان دهندگان مسابقه شرکت کنندگان بعدی را متصل می کنند و جنگ شروع می شود! شما باید سرویس های خود برای کسب امتیازات دفاع و مهاجمان را در نقاط حمله هک کنید. از لحاظ تاریخی این اولین نوع CTF ها است،

مسابقات ترکیبی (mixed) ممکن است فرمت های مختلف را تغییر دهد. ممکن است چیزی مانند حمله-دفاع ( Attack-Defence ) با زمان خاصی برای عناصر مبتنی بر کار (مانند UCSB iCTF) باشد.

بازی های دیگر CTF اغلب در بسیاری از موارد جنبه های دیگر امنیت اطلاعات را لمس می کنند: رمزنگاری، استگو، تجزیه و تحلیل باینری، مهندسی معکوس، امنیت تلفن همراه و غیره. تیم های خوب به طور کلی دارای مهارت های قوی و تجربه در تمام این مسائل هستند.

رقابت های CTF به عنوان یک تمرین آموزشی در تأمین امنیت یک ماشین، و همچنین دفاع و واکنش نسبت به نوع حملات واقع شده در دنیای واقعی طراحی شده اند و در اختیار شرکت کنندگان قرار گفته شده است. این مسابقات هم به صورت فردی و هم به صورت گروهی قابل انجام است.

چرا CTF ؟
مسابقات CTF که مبتنی بر حمله هستند، سعی دارند بخش های مختلف امنیت کامپیوتر را به یک تمرین کوتاه تبدیل کنند که به طور عینی قابل سنجش است. محدوده های تمرکز که مسابقات CTF تمایل به اندازه گیری دارند، کشف آسیب پذیری، ساختن اکسپلویت و راه های نفوذ، ساختن ابزار و معامله عملیاتی است.
یک متخصص امنیتی کامپیوتر مدرن برای موفقیت در مسابقات CTF باید حداقل در یکی از این زمینه های اشاره شده و یا در همه ی آنها تسلط کافی داشته باشد. بنابراین آماده سازی و رقابت در CTF نشان دهنده یک راه موثر برای ادغام رشته های گسسته در علوم رایانه با هدف تمرکز بر امنیت کامپیوتر است.

تاریخچه ی CTF در ایران
مرکز آپا دانشگاه صنعتی شریف از تیرماه ۱۳۹۰ تاکنون رقابت‌های نفوذ و دفاع در فضای مجازی را برگزار نموده است. از اهداف اصلی این مجموعه رقابت‌ها، که به صورت مستمر و سالانه برگزار می‌شود، فرهنگ‌‌سازی و ارتقای آگاهی، دانش و مهارت در زمینه‌ی امنیت فضای تبادل اطلاعات و ارتباطات (افتا) است. این رقابت‌‌ها فرصت مناسبی برای تیم‌ها و افراد فعال در این حوزه فراهم می‌سازد تا توانمندی‌ها و قابلیت‌های تخصصی خود را ارزیابی کنند.

برای کسب اطلاعات بیشتر به سایت آپا شریف مراجعه کنید.

در پست آینده به حل نمونه سوالات مسابقات CTF اخیر خواهیم پرداخت پس با ما همراه باشید.

همچنین قبل از به پایان رسیدن ترم جاری، انجمن علمی کامپیوتر جلسه‌ای در ارتباط با آشنایی بیشتر برگزار خواهد کرد که از طریق سایت انجمن، کانال تلگرام و اینستاگرام اطلاع رسانی خواهد شد.

افراد علاقه‌مند برای کسب اطلاعات بیشتر به آقای محمد فرهودی کیا در آزمایشگاه شبکه های کامپیوتری مراجعه کنند. با تشکر.


محمد فرهودی کیا

دانشجوی نرم افزار دانشگاه صنعتی ارومیه هستم ... در حوزه ی سخت افزار و مهندسی معکوس فعالیت می کنم. ایمیل : [email protected]

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

12 + هجده =