Hogyan tervezzünk CTF kihívásokat?
Az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) legújabb kiadványa a CTF (Capture The Flag) kiberbiztonsági kihívásokkal, versenyekkel foglalkozik. A tanulmány elkészítése során a szerzők összesen 22 ilyen típusú eseményt elemeztek ki rendkívül részletesen, valamint figyelembe vettek még hozzávetőlegesen 880 kisebb-nagyobb eseményről rendelkezésre álló adatokat is. Az elemzés végén a szerzők ajánlásokat fogalmaznak meg azzal kapcsolatban, hogy egy hasonló esemény megrendezése során milyen elemekre érdemes koncentrálni.
A szerzők által alaposan kielemzett rendezvények az alábbiak:
- European Cyber Security Challenge
- Cyber Centurion – CSC UK
- ACSC-ASEAN
- Cambridge 2 Cambridge Cyber Competition
- Country 2 Country
- Cyber Challenge Italia
- Cyber Security Challenge Canada
- Cyber Security Challenge Germany
- Cyber Security Challenge SA
- DEF CON CTF
- Midnight Sun Capture the Flag (AFCEA Sweden)
- PicoCTF
- Pwn2Own
- US Cyber Challenge
- WCTF (Qihoo 360)
- CyberTalents Arab and Africa Regional CTF
- National Collegiate Cyber Defense Competition
- International Collegiate Cyber Defense Competition
- Global Cyberlympics
- PlaidCTF
- HITCON
- Google CTF
Jól látható, hogy a listán egyaránt szerepelnek nagyobb, ismertebb kihívások (DEF CON CTF, Pwn2Own, Google CTF) de kisebb, ám nem kevésbé fontos események is, mint például a PicoCTF vagy a European Cyber Security Challenge – ami az ENISA által kerül megrendezésre.
Bár a felsorolás nem teljes körű, de megfelelő alapot biztosít arra, hogy a kutatók reprezentatívnak mondható adatbázissal dolgozhassanak. A kutatás talán legizgalmasabb része (legalábbis a biztonsági szakértők számára) a különböző feladványtípusok aránya a teljes mintában: a titkosítás, a nyomelemzés és a web alapú feladatok nagy számban fordulnak elő, és kellően megfelelő hangsúlyt kapnak a védelmi típusú feladatok is, mint a Malware elemzés vagy célzott támadások elleni védekezés. Érdekes lehet még a szakértők számára, hogy a vizsgált 22 kihívás közül 15 ajánl valami díjazást vagy jutalmat.
Mindent összevetve, ha valaki most gondolkozik azon, hogy CTF eseményt rendez, vagy a meglévő kihívást szeretné frissíteni, minden bizonnyal fog találni olyan részletet a tanulmányban, ami segítséget nyújt abban, hogy a tervezett verseny még élvezhetőbb legyen a részvevők számára.
Végezetül pedig, mivel a szerző személyes kedvence hiányzik a felsorolásból, kerüljön itt megemlítésre a horvát CERT által létrehozott platform is.
(forrás)