Hogyan tervezzünk CTF kihívásokat?

Az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) legújabb kiadványa a CTF (Capture The Flag) kiberbiztonsági kihívásokkal, versenyekkel foglalkozik. A tanulmány elkészítése során a szerzők összesen 22 ilyen típusú eseményt elemeztek ki rendkívül részletesen, valamint figyelembe vettek még hozzávetőlegesen 880 kisebb-nagyobb eseményről rendelkezésre álló adatokat is. Az elemzés végén a szerzők ajánlásokat fogalmaznak meg azzal kapcsolatban, hogy egy hasonló esemény megrendezése során milyen elemekre érdemes koncentrálni.

A szerzők által alaposan kielemzett rendezvények az alábbiak:

  • European Cyber Security Challenge
  • Cyber Centurion – CSC UK
  • ACSC-ASEAN
  • Cambridge 2 Cambridge Cyber Competition
  • Country 2 Country
  • Cyber Challenge Italia
  • Cyber Security Challenge Canada
  • Cyber Security Challenge Germany
  • Cyber Security Challenge SA
  • DEF CON CTF
  • Midnight Sun Capture the Flag (AFCEA Sweden)
  • PicoCTF
  • Pwn2Own
  • US Cyber Challenge
  • WCTF (Qihoo 360)
  • CyberTalents Arab and Africa Regional CTF
  • National Collegiate Cyber Defense Competition
  • International Collegiate Cyber Defense Competition
  • Global Cyberlympics
  • PlaidCTF
  • HITCON
  • Google CTF

Jól látható, hogy a listán egyaránt szerepelnek nagyobb, ismertebb kihívások (DEF CON CTF, Pwn2Own, Google CTF) de kisebb, ám nem kevésbé fontos események is, mint például a PicoCTF vagy a European Cyber Security Challenge – ami az ENISA által kerül megrendezésre.

Bár a felsorolás nem teljes körű, de megfelelő alapot biztosít arra, hogy a kutatók reprezentatívnak mondható adatbázissal dolgozhassanak. A kutatás talán legizgalmasabb része (legalábbis a biztonsági szakértők számára) a különböző feladványtípusok aránya a teljes mintában: a titkosítás, a nyomelemzés és a web alapú feladatok nagy számban fordulnak elő, és kellően megfelelő hangsúlyt kapnak a védelmi típusú feladatok is, mint a Malware elemzés vagy célzott támadások elleni védekezés. Érdekes lehet még a szakértők számára, hogy a vizsgált 22 kihívás közül 15 ajánl valami díjazást vagy jutalmat.

Mindent összevetve, ha valaki most gondolkozik azon, hogy CTF eseményt rendez, vagy a meglévő kihívást szeretné frissíteni, minden bizonnyal fog találni olyan részletet a tanulmányban, ami segítséget nyújt abban, hogy a tervezett verseny még élvezhetőbb legyen a részvevők számára.

Végezetül pedig, mivel a szerző személyes kedvence hiányzik a felsorolásból, kerüljön itt megemlítésre a horvát CERT által létrehozott platform is.

(forrás)