CTF
Capture The Flag (CTF) : Türkçe karşılığı olarak bayrağı yakala ya da bayrak kapmaca olarak anlam taşımaktadır. CTF terimi ilk olarak Roma tarihinde karşımıza çıkmaktadır. Roma dönemine dayanan öğretici bir oyundur. CTF oyunlarıyla gençleri ve çocukları savaşa hazırlamayı amaçlamışlardır. Günümüzde ise savaş artık siber ortamlarda yapıldığı için CTF in oynanışında değişiklik meydana gelmiştir günümüzde bilişim dünyasında özelliklede bilişim güvenliğinde sık olarak kullanılan eğitici öğretim yöntemlerinden biridir. CTF de amaç öğrenilen savunma ve saldırı tekniğini pratiğe dökmektedir.
CTF yarışması siber güvenlik alanında düzenlenen eğitim amaçlı yarışmalardır. Katılımcılar genellikle güvenlik uzmanları hackerlar ve öğrencilerden oluşmaktadır yarışmalar grup halinde veya tek kişilik olarak katılabilmektedir. CTF yarışmaları iki farklı şekilde gerçekleşmektedir bunlar; Jeopardy ve Attack-Defense şeklindedir.
Jeoprady CTF: Takımlar veya kişiler soruları çözüp flagları bulmaya çalışır. Yarışma süresi boyunca en çok ve en hızlı flag toplayan takım veya kişiler yarışmayı kazanır. kategori ve zorluk seviyelerine göre ayrılan kolaydan zora göre puanlanan yarışmadır. Genelde bu CTF türü daha yaygındır.
Attack- Defense CTF: Biraz daha profesyonellik gerektiren bir CTF türüdür. Bu CTF te her takım kendine ait güvenlik zafiyetleri bulunduran networke sahiptirler. Bu zafiyet içlerinde flag barındırmamaktadır. Genel olarak takımların yapması gereken şey kendi sistemlerindeki güvenlik zafiyetlerini kapatmaya kendi sistemlerini ayakta tutmaya çalışmaktır yani yapmılması gereken kendi ağınıkoruyarak rakiplerin ağlarına saldırıp ve rakiplerin sistemlerini deve dışı bırakmaktır en sonda kalan oyunu kazanır.
CTF sorularında genel mantık gizlenmiş cevabı bulmaktır. Bu gizlenen cevaba flag denir ve flag’i bulan takıma veya kişiye puan verilir. Bu şekilde en çok ve en hızlı flagleri bulan takımlar ya da kişiler skor tablosunda sıralanır.
CTF yarışının temel amaçları teorik bilgilere sahip olan katılımcıların bilgilerine pratiğe dökme imkanı tanımaktır. Hack konusunda öğrenilen bilgiye sahip olan insanların bu bilgileri pratiğe dökerek kendilerini test etmelerini sağlamaktadır başka bir amacı ise bilgi güvenliği alanında düzenlenen eğitici, öğretici, farklı bakış açıları kazandırmayı, araştırmayı hedefleyen, teorik bilgiyi pratik olarak uygulama imkanı sunan kimi zaman gerçek hayat problemleri içeren bir öğretme yarışıdır.
CTF yarışları genellikle güvenlik konferansı veya etkinlikler kapsamında düzenlenir. Ayrıca online olarak düzenleyen web siteleri de vardır. CTF sorularında başlıca kategoriler
- · Web
- · Kriptografi
- · Paket analiz
- · Forensic
- · Exploiting
- · Reversing
- · Steganography
- · Binary analiz
- · Mobil
- · Sql injection
Gibi alanlarda oluşan sorular bulunur. Yarışmacılardan beklenen genel nitelikler açıklık bulma, exploit geliştirme, toolkit geliştirme ve takım ruhu beklenmektedir.
CTF sonrası kazanımlar;
- · Stratejik bakış açısı
- · Hacking deneyimi
- · Saldırı ve koruma için güvenlik bilgisi
- · Yarışma deneyimi
- · Hack konusunda kendini geliştirme ve yeni bilgi öğrenme
- · Olası bir durumda bir saldırgan gibi düşünme
Kaynak:
