Ana sayfa Bilgi Güvenliği Capture The Flag (CTF) Nedir ?

Capture The Flag (CTF) Nedir ?

1913
85
PAYLAŞ

Capture The Flag, Türkçeye “bayrağı yakala” ya da “bayrak kapmaca” olarak çevirebiliriz.

CTFler bilgi güvenliği alanında düzenlenen eğitici, öğretici, farklı bakış açılar kazandırmayı, araştırmayı hedefleyen, teorik bilgiyi pratik olarak uygulama imkanı sunan, kimi zaman gerçek hayat problemlerini içeren, bu alanda gönül vermiş kişilerin, kurumların, öğrencilerin bir araya gelerek kaynaştığı, sosyalleştiği, eğlence amacı da bulunan tırnak içinde “hacker” yarışması olarak tanımlayabiliriz. En azından kaliteli ve öğretici olan bir CTF yarışmasının özelliklerinin bunlar olması gerektiğini söyleyebiliriz. Kısaca, bir çeşit özel olarak tasarlanmış, hazırlanmış bilgi güvenliği yarışmalarıdır.

GENEL ÖZELLİKLERİ NELERDİR ?
  • Online ya da Local olarak düzenlenebilir.
  • Online olarak düzenlenen CTFler genelde herkese açık olarak bir web sitesi aracılığıyla düzenlenir. Bunlarla ilgili linkleri aşağıda topladım.
  • Local CTFler ise genelde bir konferans veya bir bilgi güvenliği etkinliği kapsamında düzenlenir. Bu CTFlere katılabilmek için genelde 1. aşamayı geçmeli veya davet edilmelisiniz. Yine bu olay düzenleyen kurumlar tarafından değişkenlik gösterebilir.
  • Takım olarak yarışılır. Localde düzenlenen CTFler için takımdaki kişi sayısı, yarışmanın kurallarına göre değişir. Dünya geneline baktığımızda 4 ile 12 kişi arasında değişir. Tabi ülkemizdeki local CTFleri incelediğimizde bu sayı 2-4 kişi arasına kadar düşer. Online olarak düzenlenen bi CTFe girdiğinizde bu sayının bi önemi yoktur.
  • Bireysel versiyonları da mevcuttur.
  • Belirli bir süresi yoktur. Genelde local CTFler 8-48 saat olarak değişmekle beraber online CTFler 1 haftalık, 1 aylık hatta çözülene kadar süren CTFlerde vardır.
  • CTFlerde belli başlı kategoriler mevcuttur. Bunlar: Web, Mobil, Kriptoloji, Forensics, Pwning & Exploiting, Network, Reverse Engineering, Steganography, OSINT & Reconnaissance, MISC (Miscellaneous), Trivia.
  • Her CTFin kendine has bir zorluğu ve puanlama sistemi mevcuttur.
  • Amaç sorulan sorularda gizlenmiş cevabı bulmaktır. Bu gizlenen cevaba flag denir ve bu flagi bulan takıma ya da kişiye puan verilir. Bu şekilde en çok ve en hızlı flagleri bulan takımlar ya da kişiler skor tablosunda sıralanır.
CTFler Jeopardy ve Attack-Defense olmak üzere 2’ye ayrılır.

Jeopardy CTF: Yukarıda saydığım kategorilerden oluşan, zorluk seviyesi kolaydan zora göre puanlanan ya da dinamik puanlama tercih edilen, soru soru, kategori kategori farklılık gösteren, bilgi yarışması tadında, offline soruları da barındıran CTF türüdür. Takımlar soruları çözüp flagleri bulmaya çalışır. Yarışma süresi boyunca en çok ve en hızlı flag toplayan takım ya da kişiler yarışmayı kazanır. Genelde bu CTF türü daha yaygındır, özellikle ülkemizde düzenlenen online ve local CTFlerin %95’i Jeopardy formatındadır.

Attack-Defense CTF: Biraz daha ileri düzey diyebileceğimiz bir CTF türüdür. Bu CTFte her takım kendine ait, güvenlik zafiyetleri bulunduran networke sahiptir. Bu zafiyetler içlerinde flag barındırmaktadır. Flagler ve zafiyetler belirli bir zaman aralığına göre değişken özelliğe sahip olabilir hatta sistemin türüne göre farklılıklar gösterebilir. Genel olarak takımların yapması gereken şey, kendi sistemlerindeki güvenlik zafiyetlerini kapatmaya, sistemi ayakta tutmaya çalışmak kısaca kendi ağını saldırılardan koruyarak defans puanı kazanmak ve rakiplerinin güvenlik açıklarını bulup yaptığı ataklar sayesinde çalabildiği kadar flag çalarak atak puanı kazanmak. Toplamda en çok atak + defans puanına sahip olan takım yarışmayı kazanır.

Şimdi yukarıda bahsettiğim kategorileri ne olduklarını biraz açıklayayım:

Web: Zafiyet bulunan bir web sitesi verilir ve gizlenmiş flagi bulmanız istenir.

Mobil: Aynı şekilde web gibi önceden hazırlanmış, zafiyet içeren bir mobil uygulamanın APK’sı veya ilgili dosyaları verilir.

Forensics (Adli Bilişim) & Network : Forensic ve Network soruları çeşitlidir ve geniş bir alandır. Genelde dosya format analizleri, ağ paket analizleri, ağ incelenmesi, RAM imajları, bellek dökümlerinin incelenmesi gibi sorularla karşılaşabilirsiniz.

Pwning & Exploiting : Exploiting ve pwning aslında CTF kategorisi olarak düşündüğümüzde benzer şeylerdir. Pwn , “own” kelimesinden türetilmiş olup güvenlik camiasında argo olarak “hacklemek, fethetmek, ele geçirmek, sahip olmak” anlamına gelir. Exploiting, Türkçe anlamı “sömürmek, istismar etmek, kötüye kullanmak” olarak çevirebiliriz. Bunu da kabaca şöyle anlatabiliriz bir sistemdeki güvenlik zafiyetini bulduktan sonra o zafiyeti kullanarak sistemin olağan dışı çalışmasını sağlamanız, sistemi çalışmasını kendi lehinizde kullanmanız ya da bir şekilde kontrolü ele almanız ve bunu yaparken yazdığınız kod parçacıkları, hatta oluşturduğunuz toolunuz, scriptiniz, kodunuz, kullandığınız aşamalarınız sizin exploitinizdir. Aşağıdaki görsel ile daha iyi kavrayacağınızı düşünüyorum.

Genelde size bir sistem ve kaynak kodu verilir. Siz sistemdeki kodu anlayarak, sistemi analizlerini yaparak, zafiyetlerini tarayarak, çeşitli toollar yardımıyla ve yazdığınız kod parçacıklarıyla sistemi exploit etmeye çalışırsınız. Kategori olarak CTFlerdeki en baba, en zor kategorilerden birisidir, en keyiflisidir.

Reverse Engineering: Türkçeye “Tersine Mühendislik” olarak çevirebileceğimiz bir yazılımın ve donanımın nasıl çalıştığını anlamak için yapılan, kaynak kodlarına erişim olmamasına rağmen, sistem yapısını çözmesinden başlayarak ve kaynak kodu çıkarana kadar geçen evredir. Sadece bir yazılım olarak düşünmeyin, donanımlara da hatta her türlü makineye reverse engineering yapılabilir. Gerçek hayattan örnek vermek gerekirse, düşünün ki bir antivirüs programı şirketi, yeni çıkan ve yayılan bir virüse karşı koyabilmesi için o virüsü reverse engineering yöntemlerini kullanarak virüsün nasıl çalıştığını anlayıp, kodlarını çıkarıp, önlemlerini ve çözümlerini ona göre alacak olması, en yaygın örneklerden biridir. CTFlerde en baba bir diğer kategoridir, zordur, ciddi bi tecrübe ve bilgi gerektirir. 2-3 ayda hatta 1-2 yılda ileri düzeylerde öğrenilecek bir şey değildir.

Kriptoloji: Kriptografi ve Kriptanaliz (Kriptografik algoritmalarını analizleri) ile ilgili bir bilim dalıdır. Kısaca, şifreleme bilimidir. Aslında kriptolojinin arka planında derin bir matematik yatar. Matematiksel bazı algoritmalar sayesinde verileri kolayca şifreleyebiliyoruz. Tabi ne kadar güvenli olduklarını tartışabiliriz orası ayrı. CTFlerde zor kategoriler arasında gelir, önemli ve bi o kadar zevkli olduğunu söyleyebilirim.

Steganografi: Eski Yunanca’da “gizlenmiş yazı” anlamına gelir ve bilgiyi gizleme (Not: şifreleme değil) bilimine verilen addır. Steganografinin şifrelemeye göre en büyük avantajı bilgiyi gören bir kimsenin gördüğü şeyin içinde önemli bir bilgi olduğunu fark edemiyor olmasıdır, böylece içinde bir bilgi aramaz (oysaki bir şifreli mesaj, çözmesi zor olsa bile, gizemi dolayısıyla ilgi çeker). Dijital ortamda kısaca veri içine veri gömmektir. Bununla ilgili, çeşitli algoritmalar mevcuttur. CTFlerde en ilgi çeken, zevkli diyebileceğimiz türden soru kategorisidir. Diğer kategorilere göre pasif ve kolay gibi görünse de kimi zaman, en zor sorular arasında yer alabilir.

OSINT & Recon: OSINT açılımı, Open Source Intellinge yani Açık Kaynak İstihbaratı, Recon ise yani Reconnaissance Türkçeye keşif olarak çevirebiliriz. Bu tarz CTF soruları aslında sizden istedikleri hedefe ya da verdikleri bilgiler doğrultusunda stalk yapmanızı isteniyordur, yani bunu sadece sosyal medya olarak düşünmeyin bütün internet alemini düşünün (bazı yarışmalarda deep web dahil) flag her yerde olabilir. Hatta sınırları zorlamanız gerekebilir, flag için bazen Japonya’daki bir mobese kamerasına bile erişmeniz gerekebilir(denendi), Güney Kore’deki bir dişçinin numarasını bulup onu aramanız gerekebilir(denendi) ya da 10 sene önceki bi gazete de yayınlanmış haber fotoğrafındaki kişinin ev adresini bulmaya çalışmanız(denendi) gibi gibi örnekler çoğaltılabilir. Gerisi sizin yaratıcılığınıza ve stalkerlığına kalmış bişey. CTFlerde kimi zaman en uğraştırıcı, uzun soluklu olabilen, bazılarını keyifli bulduğum bazıların da ise çileden çıktığım sorulardır.

MISC (Miscellaneous): Türkçesi tam olarak “ortaya karışık” diyebileceğimiz türden sorulardır. Biraz kripto, biraz pwn, biraz reverse her şey içerebilir adı üstünde karmaşıktır. Genelde zordur ve aşamalı gider, sorusuna göre değişir.

Trivia: Türkçesi “önemsiz şeyler” ya da bence tam karşılığı olan “Tırı Vırı, Ivır Zıvır” olarak çevirmek yanlış olmaz. CTFlerde genelde ısınma soruları olarak sorulur ya da 1-2 tane tahmine dayalı çok fazla bilgi gerektirmeyen eğlence amaçlı sorulur, puanları yüksek olmamalıdır kanımca yani kısaca özetlemem gerekirse, “pazar eki bulmacası”” tadında sorulardır.

Sonraki yazılarımda bu kategorilerle ilgili daha spefisifik, daha ayrıntılı yazılar yazmayı düşünüyorum.

CTF için kaynaklar

CTF Timehttps://ctftime.org/

Dünya çapındaki geçmiş ve gelecekteki CTF yarışmalarını zamanına, türüne göre listeler. Ayrıca CTFlerin zorluk seviyelerinin, kalitelerinin oylamaya sunulduğu ve oylama sonucu takımların sıralamalarına göre puan kazanabildikleri, özel formulü bulunan bi ranking sistemine sahiptir. Siz de kendi takımınızı oluşturup Online olan CTFlere katılabilirsiniz.

Hack The Boxhttps://www.hackthebox.eu/

Penetrasyon testi becerilerinizi geliştirmenize ve fikirlerinizİ diğer üyelerle paylaşmanıza olanak sağlayan çevrimiçi bir platformdur. Bu platformdaki CTF makineleri çeşitli zorluklara sahip ve sürekli güncelleniyorlar, ayrıca jeopardy formatta 7/24 açık her kategoride öğrentici sorular mevcut. Üye olabilirsiniz.

CTF Learnhttps://ctflearn.com/

Bu web sitesi tamamen gönüllü insanların soru hazırladığı ve kendi sorularını paylaştığı bi platformdur. Öğretici sorular olduğu kadar tahmine dayalı sorulara denk gelebilirsiniz ama eğer ilginiz varsa kayıt olup çözebildiğiniz kadar soru çözmenizi tavsiye ederim.

Ve diğer girip bakmanızı tavsiye ettiğim web siteleri

Şöyle dönüp baktığımızda, son 10 yıl içerisinde CTF kültürünün Dünyada ve Türkiye’de giderek hızla arttığını söyleyebiliriz. Eskiden ülkemizde bu kadar çok yarışma düzenlenmezdi, düzenlense bile bu kadar ilgi görmezdi. Önümüzdeki 3-4 yıl içinde Türkiye’de çok fazla bilgi güvenliği etkinliği, konferansı düzenleneceğine ve beraberinde CTF yarışmalarının sayısının giderek artacağını garanti edebilirim. Şuan için bir dünya devi olmamız mümkün görünmese bile, bundan 3-4 yıl sonra şu anki konumumuzdan çok daha iyi olabileceğimizi düşünüyorum.

Özellikle Dünya genelindeki CTF takımlarına baktığımızda gözümüze çarpan ülkeler: Amerika Birleşik Devletleri, Rusya, Çin, Japonya, Polonya, İsrail, Almanya, Ukrayna önde gelen, domine eden ülkeler arasındalar.

Ben mesela şuanda orta okulda ya da lisede okuyor olsam; bilgisayara, programlamaya ilgili olan 2-3 tane arkadaşımı kafalarım, kendi çapımızda bir tane CTF takımı kurarım, çoğu genç bundan çok çekiniyor, yapamadığı için ya da olmayacağını düşündüğü için. Şunu söylemeliyim ki yurt dışındaki yarışmaları gözlemlediğim kadarıyla liseler ve ortaokullar arası düzenlenen yarışmalardaki pek çok genç bizim ülkemizdeki sektörün üst seviyelerindeki mühendislere taş çıkaracak cinsteler hatta üzerindeler. Kimse gökten zeplinle inmedi sonuçta en deneyimli CTF yarışmacıları bile hiç soru çözemediği CTFlerin olduğunu bilelim. Genel olarak ise bu sektördeki en önemli şeylerden birisi hatta sektörü de geçtim, iyi bir yazılım, bilgisayar mühendisi, programcısı ya da hobi olarak uğraşan insanların bilişim sektöründe kendilerine bir şeyler katabilmesi için bence önce okuma alışkanlıklarının olması gerekiyor çünkü ciddi anlamda çok fazla öğrenilmesi, okunması gereken şey var. Hele ki konumuz bilgi güvenliği ise bunun daha iyi seviyelerde, daha istekli olunması gerekiyor.

85 YORUMLAR

  1. With havin so much content do you ever run into any issues of plagorism or copyright violation? My blog has a lot of completely unique content I’ve either authored myself or outsourced but it looks like a lot of it is popping it up all over the internet without my agreement. Do you know any techniques to help stop content from being stolen? I’d certainly appreciate it.

  2. Superb blog! Do you have any tips and hints for aspiring writers? I’m planning to start my own website soon but I’m a little lost on everything. Would you recommend starting with a free platform like WordPress or go for a paid option? There are so many options out there that I’m completely confused .. Any ideas? Cheers!

  3. Hello just wanted to give you a quick heads up. The words in your article seem to be running off the screen in Safari. I’m not sure if this is a formatting issue or something to do with web browser compatibility but I thought I’d post to let you know. The style and design look great though! Hope you get the problem fixed soon. Thanks

  4. When I initially commented I clicked the “Notify me when new comments are added” checkbox and now each time a comment is added I get four e-mails with the same comment. Is there any way you can remove people from that service? Cheers!

  5. Excellent post. I was checking continuously this blog and I’m
    impressed! Extremely useful info specially the last part 🙂 I care for such information much.

    I was looking for this particular information for a long time.
    Thank you and good luck.

  6. This blog is definitely rather handy since I’m at the moment creating an internet floral website – although I am only starting out therefore it’s really fairly small, nothing like this site. Can link to a few of the posts here as they are quite. Thanks much. Zoey Olsen

  7. An interesting discussion is worth comment. I think that you should write more on this topic, it might not be a taboo subject but generally people are not enough to speak on such topics. To the next. Cheers

  8. Hey just wanted to give you a quick heads up. The words in your article seem to be running off the screen in Chrome.

    I’m not sure if this is a formatting issue or something to do with internet browser compatibility but I figured I’d post to
    let you know. The layout look great though!
    Hope you get the problem solved soon. Kudos

  9. When I originally commented I clicked the -Notify me when new comments are added- checkbox and now each time a comment is added I get four emails with the same comment. Is there any way you can remove me from that service? Thanks!

  10. With havin so much content and articles do you ever run into any issues of plagorism or copyright violation? My blog has a lot of unique content I’ve either written myself or outsourced but it looks like a lot of it is popping it up all over the web without my agreement. Do you know any methods to help prevent content from being stolen? I’d definitely appreciate it.

  11. Hi, i think that i noticed you visited my site thus i got here to “return the want”.I’m attempting to to find issues to improve my site!I assume its good enough to make use of some of your ideas!!

  12. Terrific work! That is the type of info that are supposed to be shared around the net. Shame on the search engines for now not positioning this submit higher! Come on over and discuss with my site . Thank you =)

  13. I discovered your blog site on google and check a few of your early posts. Continue to keep up the very good operate. I just additional up your RSS feed to my MSN News Reader. Seeking forward to reading more from you later on!…

  14. We’re a group of volunteers and opening a new scheme in our community.
    Your website offered us with valuable information to work on. You
    have done a formidable job and our whole community will
    be grateful to you.

  15. Youre so cool! I dont suppose Ive read anything like this before. So good to seek out any individual with some unique ideas on this subject. realy thanks for beginning this up. this web site is one thing that is needed on the web, someone with a little bit originality. useful job for bringing one thing new to the internet!

  16. I really like your blog.. very nice colors & theme. Did you make this website yourself or did you hire someone to do it for you? Plz reply as I’m looking to design my own blog and would like to find out where u got this from. thanks

  17. It’s perfect time to make some plans for the future and it is time to be happy. I’ve learn this post and if I may just I wish to recommend you few fascinating things or tips. Perhaps you can write subsequent articles regarding this article. I desire to read even more issues approximately it!

  18. Thank you for sharing excellent informations. Your website is so cool. I am impressed by the details that you have on this site. It reveals how nicely you perceive this subject. Bookmarked this web page, will come back for more articles. You, my pal, ROCK! I found simply the information I already searched everywhere and just couldn’t come across. What an ideal web site.

  19. Wonderful site. A lot of useful info here. I?¦m sending it to a few friends ans also sharing in delicious. And certainly, thanks for your sweat!

  20. fantastic post, very informative. I’m wondering why the opposite experts of this sector do not understand this. You should proceed your writing. I am sure, you have a great readers’ base already!

  21. I discovered your blog site on google and check a few of your early posts. Continue to keep up the very good operate. I just additional up your RSS feed to my MSN News Reader. Seeking forward to reading more from you later on!…

  22. hi!,I like your writing so much! share we communicate more about your post on AOL? I need a specialist on this area to solve my problem. Maybe that’s you! Looking forward to see you.

  23. Your style is so unique compared to many other people. Thank you for publishing when you have the opportunity,Guess I will just make this bookmarked.2

  24. Today, I went to the beach with my children. I found a sea shell and gave it to my 4 year old daughter and said “You can hear the ocean if you put this to your ear.” She placed the shell to her ear and screamed. There was a hermit crab inside and it pinched her ear. She never wants to go back! LoL I know this is entirely off topic but I had to tell someone!

  25. I am no longer sure where you are getting your info, but good topic. I must spend a while finding out much more or understanding more. Thank you for magnificent information I used to be searching for this information for my mission.

  26. You actually make it seem so easy along with your presentation however I in finding this matter to be actually something that I believe I’d never understand. It kind of feels too complex and very vast for me. I’m taking a look forward on your next post, I will attempt to get the hold of it!

  27. Hmm it seems like your blog ate my first comment (it was extremely long) so I guess I’ll just sum it up what I had written and say, I’m thoroughly enjoying your blog. I as well am an aspiring blog writer but I’m still new to the whole thing. Do you have any tips and hints for rookie blog writers? I’d genuinely appreciate it.

  28. I loved as much as you’ll receive carried out right here. The sketch is tasteful, your authored material stylish. nonetheless, you command get got an edginess over that you wish be delivering the following. unwell unquestionably come more formerly again as exactly the same nearly very often inside case you shield this hike.

  29. I will immediately grab your rss feed as I can not to find your email subscription link or newsletter service. Do you’ve any? Kindly allow me understand in order that I may subscribe. Thanks.

  30. When I originally commented I clicked the “Notify me when new comments are added” checkbox and now each time a comment is added I get four e-mails with the same comment. Is there any way you can remove me from that service? Bless you!

  31. Venus Viva™對所有皮膚類型都是安全的,並使用革命性的Nano Fractional Radio Frequency™(納米點陣射頻™)和Smart Scan™(智能掃描™)技術,通過選擇性真皮加熱,從而提供優異的治療效果。使用Nano Fractional RF™將能量透過表皮傳遞至真皮,從而產生熱量,並啟動膚膚的生理機制,重建膠原蛋白及刺激纖維母細胞,最終刺激導致組織重塑。功效:✔改善膚質✔肌膚緊緻✔減淡妊娠紋✔痤瘡及暗瘡疤痕✔減淡細紋及皺紋✔面部肌膚賦活再生 適合面部及頸部

  32. I love your blog.. very nice colors & theme. Did you design this website yourself or did you hire someone to do it for you? Plz respond as I’m looking to create my own blog and would like to find out where u got this from. kudos

  33. Excellent post. I was checking continuously this blog and I’m impressed! Extremely useful information specifically the last part 🙂 I care for such information much. I was looking for this particular info for a very long time. Thank you and good luck.

  34. My wife and i were so happy Peter could finish up his studies through your precious recommendations he gained from your very own web site. It is now and again perplexing to just always be handing out guides some others have been trying to sell. And we all know we’ve got the website owner to thank because of that. All of the illustrations you made, the easy website menu, the friendships you make it possible to create – it is most remarkable, and it is aiding our son and us believe that this idea is satisfying, and that’s exceedingly vital. Thanks for the whole thing!

  35. Wonderful goods from you, man. I have understand your stuff previous to and you are just too fantastic. I actually like what you’ve acquired here, really like what you are saying and the way in which you say it. You make it entertaining and you still take care of to keep it wise. I cant wait to read far more from you. This is really a great website.

  36. I intended to create you this little remark in order to say thanks once again with your splendid principles you have provided on this site. It has been quite particularly open-handed with people like you to present freely what exactly most of us would have marketed as an electronic book to help make some bucks for themselves, and in particular seeing that you might well have tried it if you wanted. Those principles in addition served to become a good way to be aware that other people online have a similar keenness like my own to realize a great deal more concerning this issue. I am sure there are thousands of more pleasant occasions in the future for folks who discover your site.

  37. hello there and thank you on your info – I’ve certainly picked up something new from right here. I did however experience some technical points using this site, as I skilled to reload the website many occasions prior to I could get it to load correctly. I had been considering in case your hosting is OK? Now not that I’m complaining, but slow loading instances instances will sometimes impact your placement in google and could injury your high-quality rating if advertising and ***********|advertising|advertising|advertising and *********** with Adwords. Anyway I’m including this RSS to my email and can look out for much extra of your respective interesting content. Make sure you replace this again very soon..

  38. I know this if off topic but I’m looking into starting my own weblog and was
    wondering what all is required to get set up?
    I’m assuming having a blog like yours would cost a pretty penny?
    I’m not very internet savvy so I’m not 100% positive.
    Any tips or advice would be greatly appreciated.
    Kudos

  39. Its like you read my mind! You seem to know a lot about this, like you wrote the book in it or something. I think that you can do with some pics to drive the message home a bit, but other than that, this is fantastic blog. An excellent read. I will certainly be back.

  40. This is the appropriate weblog for anyone who needs to seek out out about this topic. You understand so much its nearly laborious to argue with you (not that I truly would need…HaHa). You positively put a new spin on a topic thats been written about for years. Great stuff, simply nice!

BİR CEVAP BIRAK

Lütfen yorumunuzu giriniz
Buraya isminizi giriniz