CTF là gì? Cách chơi và các hình thức thi CTF hiện nay

Tác giả: Thi Thi - Ngày đăng: 04-12-2021

CTF hay còn gọi là Capture The Flag là một dạng cuộc thi kiến thức về bảo mật thông tin, thử thách các đội chơi tìm ra lời giải cho một vấn đề bất kỳ trong an ninh mạng. Hãy cùng BachkhoaWiki đi tìm hiểu để biết CTF là gì nhé.

Cùng với sự phát triển của công nghệ thông tin, CTF ngày càng trở thành chương trình quen thuộc và gần gũi với các bạn học sinh, sinh viên có niềm đam mê học hỏi trên lĩnh vực an toàn thông tin. Đó là sân chơi bổ ích giúp dân IT trau dồi, nâng cao khả năng và hiểu biết về an toàn thông tin. Vậy CTF là gì? Hãy cùng BachkhoaWiki tìm hiểu về nó nhé.

CTF là gì

Từ khóa phụ: loader, game, PWN CTF, CTQ CTF, thi, vàng

CTF là gì?

CTF là tên viết tắt cả Capture The Flag. Đó là một cuộc thi kiến ​​thức chuyên sâu về bảo mật máy tính, về toàn bộ thông tin, thử nghiệm các giải pháp tìm kiếm vấn đề cho một mạng an ninh.

Và được tổ chức theo mô hình trò chơi chiến tranh mạng, tập trung vào hai kỹ năng tấn công và phòng thủ mạng máy tính của người chơi.

Cuộc thi CTF được tổ chức lần đầu tiên tại hội thảo bảo mật nổi tiếng DEFCON (Mỹ) lần thứ 5 (năm 1997).

Mục đích của cuộc thi này là để thử thách các đội hay thành viên tham gia đi tìm ra lời giải cho một vấn đề bất kỳ trong an ninh mạng.

Và để phát huy tinh thần đồng đội, “trò chơi” này chủ yếu được đăng ký bởi nhóm, đội, cùng nhau tìm kiếm mật mã được ẩn giấu trong các thử thách.

Thông thường, các đội sẽ thi đấu để tìm ra các ẩn đặc biệt mã bên trong máy chủ hoặc phía sau trang web.

Nói một cách dễ hiểu hơn thì đội nào nhập vào hệ thống của đối thủ và tìm kiếm nhanh hơn sẽ chiến thắng trong vòng đấu. Đây là lý do tại sao cái tên Capture the Flag ra đời!

Thành phần tham gia thi CTF rất đa dạng, có thể là cá nhân hoặc tập thể: các hacker, các chuyên gia bảo mật, các nhóm nghiên cứu về an toàn thông tin, sinh viên.…

Giải thưởng từ các cuộc thi CTF tuy không lớn về vật chất nhưng được đánh giá cao về chuyên môn và là một “thước đo” quan trọng về “kỹ năng nghề nghiệp” trong lĩnh vực ATTT.

Hiện nay, theo chỉ số thống kê Việt Nam là một trong những nước nằm trong top 10 các nước có nhiều đội tham gia thi CTF nhất.

Các nhóm đã mang về một số thành tích đáng ngưỡng mộ, được cộng đồng ATTT thế giới biết đến như: Cửu Long Giáng Thế (CLGT, Bamboo-vn), PiggyBird, Botbie, rm -rf [enter], HacKaTron…

Lợi ích của CTF là gì?

Chính vì các cuộc thi này phản ánh chân thật công việc hàng ngày và đòi hỏi người chơi phải có các kỹ năng tấn công và bảo mật thực thụ đã thu hút được giới hacker, chuyên gia bảo mật tham gia.

Các chương trình CTF mang lại nhiều lợi ích, trong đó có:

  • Học hỏi các kiến thức cần thiết, cập nhật về security và hacking, biết được các kiến thức còn thiếu, là cơ hội giao lưu chia sẻ kinh nghiệm.
  • Là cơ hội để thực hành những kiến thức thu được từ lý thuyết để hiểu rõ hơn về các công việc: cách thức reverse engineering một phần mềm, cách thức crack phần mềm, xâm nhập vào một máy tính; ….
  • Giúp người tham gia rèn luyện tính sáng tạo, tăng cường khả năng tư duy, giải quyết vấn đề.
  • Đây cũng được xem là một trong những khởi đầu tốt cho những người làm việc và nghiên cứu trong lĩnh vực bảo mật và an toàn thông tin. Là điểm nổi bật trong CV xin việc.

Cách chơi CTF

Để trở thành một người chơi chuyên nghiệp, thì đầu tiên bạn cần biết được những gì cần có cho cuộc thi và cách tham gia. Điều này sẽ đề cập ở phần này của bài viết CTF là gì.

Chơi CTF cần chuẩn bị những gì?

Để có thể tham gia được các cuộc thi CTF thì người tham gia cần có lượng kiến thức sau:

  • Cần nắm vững các kiến thức cơ bản về an toàn thông tin nếu không biết có thể vừa làm vừa tìm hiểu từ nhiều nguồn
  • Có các công cụ hỗ trợ thích hợp: ngôn ngữ lập trình, các tool và học cách sử dụng thành thạo nó.

Sau đây là một số trang web giúp bạn đọc thể thể trang bị kiến thức, chứa các thử thách bảo mật mô phỏng lại các nhiệm vụ trên thực tế để các bạn có thể rèn luyện khả năng tấn công của mình, chẳng hạn như:

  • wechall
  • root-me
  • pwnable
  • github – Giới thiệu về các kỹ thuật CTF phổ biến như mật mã, steganography, khai thác web.
  • trailofbits – Mẹo và thủ thuật liên quan đến các thách thức / kịch bản điển hình của CTF
  • BurpSuite – Công cụ phổ biến nhất cần phải biết khi chơi CTF. Bộ công cụ Burp cung cấp khá đầy đủ các tính năng kiểm tra xâm nhập web (pentest).
  • Binwalk – Phân tích và giải nén tập tin
  • Stegsolve  – Vượt qua nhiều bộ lọc khác nhau qua hình ảnh để tìm văn bản ẩn
  • GDB – Binary Debugger

Hướng dẫn chơi CTF

Để phù hợp với lịch cũng như khắc phục được hạn chế về không gian, thời gian thì các cuộc thi CTF có thể tổ chức dưới hình thức online (thực hiện qua internet) hoặc offline.

Với hình thức online thường là các cuộc thi mang tầm quốc tế. Trò chơi có thể chơi theo đội hoặc cá nhân.

Tuy nhiên, các cuộc thi có uy tín thường tổ chức thành 2 vòng thi khác nhau: Vòng 1 thi online để lựa chọn các đội mạnh nhất tham gia vào vòng chung kết được tổ chức offline.

Về cơ cấu giải thưởng từ các cuộc thi CTF tuy không có giá trị về vật chất  nhưng lại có chuyên môn cao.

Do đó, nếu là người chiến thắng sẽ cực kỳ được trân trọng và được giới chuyên môn như các công ty,.. mời về làm việc với mức lương cực cao.

Thi CTF là gì? Các hình thức thi CTF

Thi CTF là gì? Các cuộc thi CTF hay còn gọi là Capture the Flag là một dạng cuộc thi kiến thức chuyên sâu về bảo mật máy tính, được tổ chức theo mô hình trò chơi chiến tranh mạng, tập trung vào kỹ năng tấn công và phòng thủ mạng máy tính của người tham gia.

Ngày nay, các cuộc thi CTF thường chia thành 3 hình thức chơi gồm:

  • Trả lời thử thách theo từng chủ đề (hay Jeopardy-style)

Module này là tập hợp của một số bài kiểm tra khác nhau, được chia thành nhiều chủ đề như: Web, Pháp y, Crypto, Binary, Stegano…

Trong mỗi chủ đề sẽ có nhiều bài kiểm tra khác nhau được phân loại theo độ khó tăng dần qua các vòng thi.

Mục tiêu của các đội tham gia là sử dụng kỹ năng và kinh nghiệm của mình để tìm kiếm những “lá cờ” ẩn. Với mỗi “cờ” đúng thì đội đó sẽ chiến thắng.

Trong quá trình thi đấu, kết quả của các đội sẽ được cập nhật liên tục trên bảng điểm (sau khi gửi cờ sẽ được tính điểm) và cuối bảng, đội nào có số điểm cao nhất sẽ chiếm ưu thế. kết quả sẽ được tính theo thời gian gửi của “cờ”.

CTF là gì

  • Offense and Defense:

Loại thi này tuân theo quy tắc thi CTF cổ điển ban đầu và khó hơn các dạng khác do yêu cầu cao hơn.

Ngoài khả năng tìm ra các lỗ hổng bảo mật, người chơi còn phải có khả năng khắc phục các điểm yếu, kém và bảo vệ hệ thống của mình khỏi các cuộc tấn công của các máy tính khác.

Bên cạnh đó, cách tính điểm của các đội thi đấu cũng khác so với hình thức thi đầu tiên. Kết quả thi theo hình thức này được tạo ra theo nhiều tiêu chí khác nhau như: điểm tấn công, điểm phòng thủ, điểm thưởng,…

Tuy nhiên, đây là hình thức điều tra sát với thực tế nhất về tình hình an ninh mạng.

Tin tặc thực hiện các cuộc tấn công vào hệ thống, trong khi các quản trị viên mạng và các chuyên gia bảo mật chịu trách nhiệm chống lại các cuộc tấn công từ bên ngoài và vẫn bảo vệ chúng.

CTF là gì

  • Hình thức kết hợp

Ở hình thức này, cuộc thi được tạo ra bằng sự kết hợp của 2 hình thức trên, giống như chỉ kết hợp tấn công với các loại thử thách khác nhau.

Xem thêm:

Trên đây là những bật mí của BachkhoaWiki giúp bạn trả lời câu hỏi CTF là gì. Nếu thấy hữu ích thì đừng quên Like và Share để BachkhoaWiki có động lực để mang đến cho bạn những kiến thức thú vị hơn nhé.

Chuyên mục: Công nghệ