Ana sayfa Mühendislik Bilgi Güvenliği Capture The Flag (CTF) Nedir ?

Capture The Flag (CTF) Nedir ?

26475
37
PAYLAŞ

Capture The Flag, Türkçeye “bayrağı yakala” ya da “bayrak kapmaca” olarak çevirebiliriz.

CTFler bilgi güvenliği alanında düzenlenen eğitici, öğretici, farklı bakış açılar kazandırmayı, araştırmayı hedefleyen, teorik bilgiyi pratik olarak uygulama imkanı sunan, kimi zaman gerçek hayat problemlerini içeren, bu alanda gönül vermiş kişilerin, kurumların, öğrencilerin bir araya gelerek kaynaştığı, sosyalleştiği, eğlence amacı da bulunan tırnak içinde “hacker” yarışması olarak tanımlayabiliriz. En azından kaliteli ve öğretici olan bir CTF yarışmasının özelliklerinin bunlar olması gerektiğini söyleyebiliriz. Kısaca, bir çeşit özel olarak tasarlanmış, hazırlanmış bilgi güvenliği yarışmalarıdır.

GENEL ÖZELLİKLERİ NELERDİR ?
  • Online ya da Local olarak düzenlenebilir.
  • Online olarak düzenlenen CTFler genelde herkese açık olarak bir web sitesi aracılığıyla düzenlenir. Bunlarla ilgili linkleri aşağıda topladım.
  • Local CTFler ise genelde bir konferans veya bir bilgi güvenliği etkinliği kapsamında düzenlenir. Bu CTFlere katılabilmek için genelde 1. aşamayı geçmeli veya davet edilmelisiniz. Yine bu olay düzenleyen kurumlar tarafından değişkenlik gösterebilir.
  • Takım olarak yarışılır. Localde düzenlenen CTFler için takımdaki kişi sayısı, yarışmanın kurallarına göre değişir. Dünya geneline baktığımızda 4 ile 12 kişi arasında değişir. Tabi ülkemizdeki local CTFleri incelediğimizde bu sayı 2-4 kişi arasına kadar düşer. Online olarak düzenlenen bi CTFe girdiğinizde bu sayının bi önemi yoktur.
  • Bireysel versiyonları da mevcuttur.
  • Belirli bir süresi yoktur. Genelde local CTFler 8-48 saat olarak değişmekle beraber online CTFler 1 haftalık, 1 aylık hatta çözülene kadar süren CTFlerde vardır.
  • CTFlerde belli başlı kategoriler mevcuttur. Bunlar: Web, Mobil, Kriptoloji, Forensics, Pwning & Exploiting, Network, Reverse Engineering, Steganography, OSINT & Reconnaissance, MISC (Miscellaneous), Trivia.
  • Her CTFin kendine has bir zorluğu ve puanlama sistemi mevcuttur.
  • Amaç sorulan sorularda gizlenmiş cevabı bulmaktır. Bu gizlenen cevaba flag denir ve bu flagi bulan takıma ya da kişiye puan verilir. Bu şekilde en çok ve en hızlı flagleri bulan takımlar ya da kişiler skor tablosunda sıralanır.
CTFler Jeopardy ve Attack-Defense olmak üzere 2’ye ayrılır.

Jeopardy CTF: Yukarıda saydığım kategorilerden oluşan, zorluk seviyesi kolaydan zora göre puanlanan ya da dinamik puanlama tercih edilen, soru soru, kategori kategori farklılık gösteren, bilgi yarışması tadında, offline soruları da barındıran CTF türüdür. Takımlar soruları çözüp flagleri bulmaya çalışır. Yarışma süresi boyunca en çok ve en hızlı flag toplayan takım ya da kişiler yarışmayı kazanır. Genelde bu CTF türü daha yaygındır, özellikle ülkemizde düzenlenen online ve local CTFlerin %95’i Jeopardy formatındadır.

Attack-Defense CTF: Biraz daha ileri düzey diyebileceğimiz bir CTF türüdür. Bu CTFte her takım kendine ait, güvenlik zafiyetleri bulunduran networke sahiptir. Bu zafiyetler içlerinde flag barındırmaktadır. Flagler ve zafiyetler belirli bir zaman aralığına göre değişken özelliğe sahip olabilir hatta sistemin türüne göre farklılıklar gösterebilir. Genel olarak takımların yapması gereken şey, kendi sistemlerindeki güvenlik zafiyetlerini kapatmaya, sistemi ayakta tutmaya çalışmak kısaca kendi ağını saldırılardan koruyarak defans puanı kazanmak ve rakiplerinin güvenlik açıklarını bulup yaptığı ataklar sayesinde çalabildiği kadar flag çalarak atak puanı kazanmak. Toplamda en çok atak + defans puanına sahip olan takım yarışmayı kazanır.

Şimdi yukarıda bahsettiğim kategorileri ne olduklarını biraz açıklayayım:

Web: Zafiyet bulunan bir web sitesi verilir ve gizlenmiş flagi bulmanız istenir.

Mobil: Aynı şekilde web gibi önceden hazırlanmış, zafiyet içeren bir mobil uygulamanın APK’sı veya ilgili dosyaları verilir.

Forensics (Adli Bilişim) & Network : Forensic ve Network soruları çeşitlidir ve geniş bir alandır. Genelde dosya format analizleri, ağ paket analizleri, ağ incelenmesi, RAM imajları, bellek dökümlerinin incelenmesi gibi sorularla karşılaşabilirsiniz.

Pwning & Exploiting : Exploiting ve pwning aslında CTF kategorisi olarak düşündüğümüzde benzer şeylerdir. Pwn , “own” kelimesinden türetilmiş olup güvenlik camiasında argo olarak “hacklemek, fethetmek, ele geçirmek, sahip olmak” anlamına gelir. Exploiting, Türkçe anlamı “sömürmek, istismar etmek, kötüye kullanmak” olarak çevirebiliriz. Bunu da kabaca şöyle anlatabiliriz bir sistemdeki güvenlik zafiyetini bulduktan sonra o zafiyeti kullanarak sistemin olağan dışı çalışmasını sağlamanız, sistemi çalışmasını kendi lehinizde kullanmanız ya da bir şekilde kontrolü ele almanız ve bunu yaparken yazdığınız kod parçacıkları, hatta oluşturduğunuz toolunuz, scriptiniz, kodunuz, kullandığınız aşamalarınız sizin exploitinizdir. Aşağıdaki görsel ile daha iyi kavrayacağınızı düşünüyorum.

Genelde size bir sistem ve kaynak kodu verilir. Siz sistemdeki kodu anlayarak, sistemi analizlerini yaparak, zafiyetlerini tarayarak, çeşitli toollar yardımıyla ve yazdığınız kod parçacıklarıyla sistemi exploit etmeye çalışırsınız. Kategori olarak CTFlerdeki en baba, en zor kategorilerden birisidir, en keyiflisidir.

Reverse Engineering: Türkçeye “Tersine Mühendislik” olarak çevirebileceğimiz bir yazılımın ve donanımın nasıl çalıştığını anlamak için yapılan, kaynak kodlarına erişim olmamasına rağmen, sistem yapısını çözmesinden başlayarak ve kaynak kodu çıkarana kadar geçen evredir. Sadece bir yazılım olarak düşünmeyin, donanımlara da hatta her türlü makineye reverse engineering yapılabilir. Gerçek hayattan örnek vermek gerekirse, düşünün ki bir antivirüs programı şirketi, yeni çıkan ve yayılan bir virüse karşı koyabilmesi için o virüsü reverse engineering yöntemlerini kullanarak virüsün nasıl çalıştığını anlayıp, kodlarını çıkarıp, önlemlerini ve çözümlerini ona göre alacak olması, en yaygın örneklerden biridir. CTFlerde en baba bir diğer kategoridir, zordur, ciddi bi tecrübe ve bilgi gerektirir. 2-3 ayda hatta 1-2 yılda ileri düzeylerde öğrenilecek bir şey değildir.

Kriptoloji: Kriptografi ve Kriptanaliz (Kriptografik algoritmalarını analizleri) ile ilgili bir bilim dalıdır. Kısaca, şifreleme bilimidir. Aslında kriptolojinin arka planında derin bir matematik yatar. Matematiksel bazı algoritmalar sayesinde verileri kolayca şifreleyebiliyoruz. Tabi ne kadar güvenli olduklarını tartışabiliriz orası ayrı. CTFlerde zor kategoriler arasında gelir, önemli ve bi o kadar zevkli olduğunu söyleyebilirim.

Steganografi: Eski Yunanca’da “gizlenmiş yazı” anlamına gelir ve bilgiyi gizleme (Not: şifreleme değil) bilimine verilen addır. Steganografinin şifrelemeye göre en büyük avantajı bilgiyi gören bir kimsenin gördüğü şeyin içinde önemli bir bilgi olduğunu fark edemiyor olmasıdır, böylece içinde bir bilgi aramaz (oysaki bir şifreli mesaj, çözmesi zor olsa bile, gizemi dolayısıyla ilgi çeker). Dijital ortamda kısaca veri içine veri gömmektir. Bununla ilgili, çeşitli algoritmalar mevcuttur. CTFlerde en ilgi çeken, zevkli diyebileceğimiz türden soru kategorisidir. Diğer kategorilere göre pasif ve kolay gibi görünse de kimi zaman, en zor sorular arasında yer alabilir.

OSINT & Recon: OSINT açılımı, Open Source Intellinge yani Açık Kaynak İstihbaratı, Recon ise yani Reconnaissance Türkçeye keşif olarak çevirebiliriz. Bu tarz CTF soruları aslında sizden istedikleri hedefe ya da verdikleri bilgiler doğrultusunda stalk yapmanızı isteniyordur, yani bunu sadece sosyal medya olarak düşünmeyin bütün internet alemini düşünün (bazı yarışmalarda deep web dahil) flag her yerde olabilir. Hatta sınırları zorlamanız gerekebilir, flag için bazen Japonya’daki bir mobese kamerasına bile erişmeniz gerekebilir(denendi), Güney Kore’deki bir dişçinin numarasını bulup onu aramanız gerekebilir(denendi) ya da 10 sene önceki bi gazete de yayınlanmış haber fotoğrafındaki kişinin ev adresini bulmaya çalışmanız(denendi) gibi gibi örnekler çoğaltılabilir. Gerisi sizin yaratıcılığınıza ve stalkerlığına kalmış bişey. CTFlerde kimi zaman en uğraştırıcı, uzun soluklu olabilen, bazılarını keyifli bulduğum bazıların da ise çileden çıktığım sorulardır.

MISC (Miscellaneous): Türkçesi tam olarak “ortaya karışık” diyebileceğimiz türden sorulardır. Biraz kripto, biraz pwn, biraz reverse her şey içerebilir adı üstünde karmaşıktır. Genelde zordur ve aşamalı gider, sorusuna göre değişir.

Trivia: Türkçesi “önemsiz şeyler” ya da bence tam karşılığı olan “Tırı Vırı, Ivır Zıvır” olarak çevirmek yanlış olmaz. CTFlerde genelde ısınma soruları olarak sorulur ya da 1-2 tane tahmine dayalı çok fazla bilgi gerektirmeyen eğlence amaçlı sorulur, puanları yüksek olmamalıdır kanımca yani kısaca özetlemem gerekirse, “pazar eki bulmacası”” tadında sorulardır.

Sonraki yazılarımda bu kategorilerle ilgili daha spefisifik, daha ayrıntılı yazılar yazmayı düşünüyorum.

CTF için kaynaklar

CTF Timehttps://ctftime.org/

Dünya çapındaki geçmiş ve gelecekteki CTF yarışmalarını zamanına, türüne göre listeler. Ayrıca CTFlerin zorluk seviyelerinin, kalitelerinin oylamaya sunulduğu ve oylama sonucu takımların sıralamalarına göre puan kazanabildikleri, özel formulü bulunan bi ranking sistemine sahiptir. Siz de kendi takımınızı oluşturup Online olan CTFlere katılabilirsiniz.

Hack The Boxhttps://www.hackthebox.eu/

Penetrasyon testi becerilerinizi geliştirmenize ve fikirlerinizİ diğer üyelerle paylaşmanıza olanak sağlayan çevrimiçi bir platformdur. Bu platformdaki CTF makineleri çeşitli zorluklara sahip ve sürekli güncelleniyorlar, ayrıca jeopardy formatta 7/24 açık her kategoride öğrentici sorular mevcut. Üye olabilirsiniz.

CTF Learnhttps://ctflearn.com/

Bu web sitesi tamamen gönüllü insanların soru hazırladığı ve kendi sorularını paylaştığı bi platformdur. Öğretici sorular olduğu kadar tahmine dayalı sorulara denk gelebilirsiniz ama eğer ilginiz varsa kayıt olup çözebildiğiniz kadar soru çözmenizi tavsiye ederim.

Ve diğer girip bakmanızı tavsiye ettiğim web siteleri

Şöyle dönüp baktığımızda, son 10 yıl içerisinde CTF kültürünün Dünyada ve Türkiye’de giderek hızla arttığını söyleyebiliriz. Eskiden ülkemizde bu kadar çok yarışma düzenlenmezdi, düzenlense bile bu kadar ilgi görmezdi. Önümüzdeki 3-4 yıl içinde Türkiye’de çok fazla bilgi güvenliği etkinliği, konferansı düzenleneceğine ve beraberinde CTF yarışmalarının sayısının giderek artacağını garanti edebilirim. Şuan için bir dünya devi olmamız mümkün görünmese bile, bundan 3-4 yıl sonra şu anki konumumuzdan çok daha iyi olabileceğimizi düşünüyorum.

Özellikle Dünya genelindeki CTF takımlarına baktığımızda gözümüze çarpan ülkeler: Amerika Birleşik Devletleri, Rusya, Çin, Japonya, Polonya, İsrail, Almanya, Ukrayna önde gelen, domine eden ülkeler arasındalar.

Ben mesela şuanda orta okulda ya da lisede okuyor olsam; bilgisayara, programlamaya ilgili olan 2-3 tane arkadaşımı kafalarım, kendi çapımızda bir tane CTF takımı kurarım, çoğu genç bundan çok çekiniyor, yapamadığı için ya da olmayacağını düşündüğü için. Şunu söylemeliyim ki yurt dışındaki yarışmaları gözlemlediğim kadarıyla liseler ve ortaokullar arası düzenlenen yarışmalardaki pek çok genç bizim ülkemizdeki sektörün üst seviyelerindeki mühendislere taş çıkaracak cinsteler hatta üzerindeler. Kimse gökten zeplinle inmedi sonuçta en deneyimli CTF yarışmacıları bile hiç soru çözemediği CTFlerin olduğunu bilelim. Genel olarak ise bu sektördeki en önemli şeylerden birisi hatta sektörü de geçtim, iyi bir yazılım, bilgisayar mühendisi, programcısı ya da hobi olarak uğraşan insanların bilişim sektöründe kendilerine bir şeyler katabilmesi için bence önce okuma alışkanlıklarının olması gerekiyor çünkü ciddi anlamda çok fazla öğrenilmesi, okunması gereken şey var. Hele ki konumuz bilgi güvenliği ise bunun daha iyi seviyelerde, daha istekli olunması gerekiyor.

37 YORUMLAR

  1. I have to thank you for the efforts you have put in writing this site.
    I really hope to see the same high-grade content from you later on as
    well. In fact, your creative writing abilities has inspired me to get my own website now 😉

  2. After looking at a few of the blog articles on your blog, I really appreciate your technique of
    blogging. I book marked it to my bookmark site list and will be checking back soon. Please check
    out my website as well and tell me how you feel.

  3. I simply couldn’t depart your site before suggesting that I actually loved the standard information a person provide in your visitors?
    Is going to be again often in order to inspect new posts

  4. I’m not sure why but this site is loading extremely slow
    for me. Is anyone else having this issue or is it a problem on my end?
    I’ll check back later on and see if the problem still exists.

  5. Having read this I thought it was rather informative.
    I appreciate you finding the time and energy to put this content together.
    I once again find myself personally spending
    a lot of time both reading and leaving comments. But so what, it was still worthwhile!

  6. Greetings! This is my first visit to your blog! We are a team of volunteers and
    starting a new initiative in a community in the same niche.

    Your blog provided us useful information to work on. You have done
    a extraordinary job!

  7. Does your blog have a contact page? I’m having
    a tough time locating it but, I’d like to shoot you an e-mail.
    I’ve got some suggestions for your blog you might be
    interested in hearing. Either way, great blog and I
    look forward to seeing it grow over time.

  8. Hello! I realize this is somewhat off-topic but I needed to ask.
    Does managing a well-established blog like yours take a lot of work?
    I am brand new to blogging however I do write in my journal everyday.
    I’d like to start a blog so I can share my experience and views online.
    Please let me know if you have any suggestions or tips for new aspiring bloggers.

    Appreciate it!

  9. My partner and I absolutely love your blog and
    find most of your post’s to be what precisely I’m looking for.
    Does one offer guest writers to write content for yourself?

    I wouldn’t mind creating a post or elaborating on most of the
    subjects you write with regards to here. Again, awesome weblog!

  10. Write more, thats all I have to say. Literally, it seems as though
    you relied on the video to make your point. You definitely know what youre talking about, why waste
    your intelligence on just posting videos to your site when you could be giving us
    something enlightening to read?

  11. Hi there just wanted to give you a brief heads up and let
    you know a few of the pictures aren’t loading correctly.
    I’m not sure why but I think its a linking issue. I’ve tried it in two
    different web browsers and both show the same outcome.

BİR CEVAP BIRAK

Please enter your comment!
Please enter your name here