Contenu connexe Plus de Pichaya Morimoto (9) CTF คืออะไร เรียนแฮก? ลองแฮก? แข่งแฮก?2. Overview
★ CTF คืออะไร
★ แขงยังไงแขงแฮกใน CTF
★ ทําไมถึงควรเลน CTF
★ แขงแฮกโจทยมันเปนยังไง
★ CTF ในประเทศไทยและตางประเทศ
★ อยากเริ่มเลน CTF ทําไงดี
★ ตัวอยาง
3. ยอมาจาก Capture The Flag
ในเกมคอมพิวเตอร
★ โหมดในเกม fps / tps
★ เลนเปนทีม แขงชิงธง
★ เชน S4 League, Microvolts
ในฝง Computer Security
★ แขงแฮก เพื่อชิงธง
★ ธง คือขอความลับ (flag)
ที่จะไดมาเมื่อแกไขปญหาได
★ เชน DefCon CTF, Codegate
CTF, SECCON CTF
CTF คืออะไร ?
4. เหมือนเลนเกม เลนเดี่ยว/เปนทีม เก็บคะแนนใหไดมากที่สุด กอนหมดเวลาแขง
สวนมากจัดเปนออนไลนเลนที่ไหนก็ได แตบางงานตองไปสถานที่จริงก็มี
CTF แบงตามวิธีเลนมี 3 รูปแบบหลัก ๆ
1. Jeopardy (เจพเพอดี้)
แบบถาม - ตอบ มีโจทยปญหาใหแกเมื่อแกไดแลวจะไดคําตอบ
เปนขอความลับ (flag หรือธงนั้นเอง) เอาไวยืนยันเพื่อเก็บคะแนน
2. Attack-Defence
แตละทีมมีคอมพิวเตอรเปนฐานของตัวเอง ใหแฮกไปที่เครื่องทีมอื่น
โดยหาชองโหว เขียนโคดขึ้นมาโจมตี เพื่อชิงธงมา ธงอาจอยูในไฟล เชน
C:flag.txt และอาจจะสามารถปองกันเครื่องของตัวเอง
ไดดวยโดยจะมีกฏกติกาวาใหทําการแกไขอะไรไดบาง
3. Mixed หรือแบบอื่น ๆ
ตามแตจะเอาไปดัดแปลงใชได เชน wargame ที่เลนเมื่อไรก็ได
แขงยังไงแขงแฮกใน CTF
5. ★ สนุก มันส เหมือนถามวาทําไมถึง เลนเกม อานการตูน
★ งานใหญ ๆ จะมีรางวัลใหคนชนะ เปนเงินบาง แรรไอเท็มบาง
★ ไดเรียนรู Computer Security แบบลงมือทําจริง ไดลองแฮก
ลองแกไขโจทยปญหายาก ๆ ที่ตองไปหาอานสิ่งใหม ๆ
อัพเดทความรูอยูตลอดเวลา เทคนิคนี้ วิธีนี้ โปรแกรมนี้ เคยปลอดภัยวันนี้
พรุงนี้อาจไมปลอดภัย เราอานขาว อานบทความชองโหวงั้นงี้เหมือนเขาใจ
ลองทําจริง ๆ จากโจทย CTF ชวยยืนยันไดวาเขาใจจริง ๆ
★ IT Security Expert ทั่วโลกนิยมเลนกันอยางแพรหลาย คนเลน CTF
สวนมากทํางานเกี่ยวกับ IT Security เชน นักทดสอบเจาะระบบ (Penetration
Tester) เพราะฉะนั้นถาอยากฝกหรือวัดความเกงดาน IT Security
ในระดับโลกการเลน CTF ก็เปนอีกตัวเลือกที่ดีเพราะมี scoreboard
ใหดูดวยวาเราอยูตรงไหน คนอื่น ๆ เคาอยูตรงไหน
ทําไมถึงควรเลน CTF
6. โจทยใน CTF มีหลากหลาย เราอาจไมตองรูทุกดาน ถาในทีมมีหลายคน เชน
★ Cryptanalysis ถอดรหัส การเขารหัสที่ไมปลอดภัย / ไมถูกวิธี
★ Reverse Engineering วิเคราะหและแกไข binary aka. crack โปรแกรม
★ Web Application Security แฮกเว็บ เชน SQL injection
★ Binary Exploitation แฮกโปรแกรม เชนทํา buffer overflow
★ Digital Forensics ตรวจสอบหารองรอยขอมูลอิเล็กทรอนิกส
★ Trivia / Misc อื่น ๆ ที่ไมเขาพวกเชนอาน QR โคดครึ่งอัน
โจทยใน CTF ทุกขอ จะตองมีวิธีแกไขไดอยางนอย 1 วิธีแนนอน
แตอาจแกไดหลายวิธีเชนกัน ทําไงก็ไดใหได flag คนตั้งโจทย CTF
จะตองไมสรางโจทยที่วิธีทําไม practical ในการแกไข เชนการ bruteforce
เปนเดือน ๆ จะไมมีทางเปน solution ของโจทย CTF โดยปกติ
แขงแฮกโจทยมันเปนยังไง
7. ★ Thailand Network Security Contest (TNSC)
จัดโดย The Communication Solution Co., LTD. (ในเครือ CDG)
★ Cyber Security Hacking Contest
แขงแฮกในงานสัมมนา Cyber Defense Initiative Conference (CDIC)
จัดโดย ACIS Professional Center Co., Ltd.
★ Cyber Defence Exercise
จัดโดย กระทรวงกระกลาโหมรวมกับ ACIS
★ CAT CyFence CyberCop Contest
จัดโดย CAT CyFence (ในเครือ CAT Telecom - กสท)
★ Malware Analysis Competition
จัดโดย ThaiCERT (ในเครือ ETDA) รวมกับ JapanCERT
การแขงแนว CTF ในประเทศไทย
9. งานสัมมนาดาน Hacking ที่ใหญที่สุดในโลก DefCon จัด CTF ทุกป
ตัวอยาง CTF ในตางประเทศ (1)
DefCon CTF Final
Las Vegas, NV, USA
CodeGate CTF Final
Seoul, Republic of Korea
SECCON CTF Final
Tokyo, Japan
11. NSA หนวยงานความมั่นคงอเมริกาใชการแขงขันแบบ CTF ชวยสอน
ทางการทหารไซเบอร ดวย Cyber Defence Exercise (CDX), NATO ก็มี
ตัวอยาง CTF ในตางประเทศ (2)
Ref: สารคดี CDX แนะนําใหดู
https://www.youtube.com/watch?v=HnnvVnsDCGw
https://www.youtube.com/watch?v=aoG1XzUk7sU
https://www.youtube.com/watch?v=DCLL9f4onvY
12. หลักสูตรปริญญาเอกที่ มหาวิทยาลัย Carnegie Mellon เปดวิชา “Special Topics
in Security I” ใหนักศึกษาเลน CTF เพื่อเก็บคะแนนเอาไปคิดเกรดได
ตัวอยาง CTF ในตางประเทศ (3)
Ref: https://ece.cmu.
edu/courses/items/18739L.html
https://github.com/CMU-18739L-
S15/187639L-s15-coursedocs
13. 1. คนทํางานดาน IT Security ควรรูวิธีโจมตีไวเพื่อเขาใจวิธีปองกันแกไข
2. บริษัทยักษใหญ ตั้งทีมขึ้นมาหาชองโหวโดยเฉพาะ
★ Google Project Zero
★ IBM X-Force
3. [ Bug Bounty program , 0-day black market ] === ไดเงินและชื่อเสียง
การแฮกไมดีรึเปลา ลองแฮกใน CTF ทําไม
รวมทั้ง vulnerability research
ตาง ๆ ซึ่งถามีประสบการณกับ
CTF
มาแทบไมตางกับการหาชองโหว
ในซอฟตแวรจริง ๆ
14. ★ ถาทํางานดาน IT Security specialist อยูแลว เริ่มตามหา event ตาง ๆ ไดที่:
https://ctftime.org/event/list/upcoming
★ ถาทํางานอยูในสายอื่น หรือเปนนักเรียน-นักศึกษา:
ถาลอง CTF แลวไปไมถูกลองพวก wargame/vm lab ไปกอนงายกวา
http://game.rop.sh/
http://www.root-me.org/en/Challenges/
https://www.vulnhub.com/
หรือลองเลน CTF สําหรับนักเรียน http://www.hscs.io/
เชน PicoCTF, sCTP.io, CTCTF เปนตน
อยากเริ่มเลน CTF ทําไงดี
15. How to: หาคนเลน CTF ในไทย
ถากดดู Facebook Profile
ใครสักคนแลวเจอรูปเคาเปน
ภาพหนาตาประมาณนี้
แปลวา มาถูกทางแลว!
อีกวิธีคอยตาม Event จาก ctftime.org
แลวถาสนใจจะเลนจริง ๆ เขามาคุยกันไดที่
IRC: irc.2600.in.th:6668 [SSL]
หอง #wargames
ถามีคนสนใจจะเลนอยูก็อาจไดเลนดวยกัน