IstSec 2009 Capture The Flag Yarışması Detayları

CTF Nedir?

CTF(Capture The Flag) geçmişi Roma dönemine dayanan uygulamalı, öğretici bir oyundur. Çeşitli tarih kitaplarında farklı milletlerin çocuklarını/gençlerini CTF  oyunlarıyla savaşa hazırladıkları yazmaktadır. CTF’de amaç öğrenilen savunma ve  saldırı tekniklerini pratiğe dökmektir.

Günümüzde bilişim dünyasında -özellikle   bilişim güvenliğinde- sık kullanılan bir  eğitici öğretim yöntemidir.

CTF’i güvenlik bakış açısıyla tanımlamak gerekirse: beyaz şapkalı hackerlar arasinda oynanan öğretici bir oyundur denilebilir. Yarışmaya katılan hackerlar belirlenen hedefe ulasmak ve bayrağı(hedef sistemlerde gizli metin dosyası , mesela /root dizini altında bayrak1.txt dosyası) önce kapmak için sistemlerdeki güvenlik açıklıklarını değerlendirilerek bayrağı elde etmeye  çalışırlar.

CTF oyunu iki çeşittir:

1)Sadece saldırı tekniklerinin kullanıldığı CTF
2)Hem saldırı hem de savunma tekniklerinin kullanıldığı CTF
Birinci çeşit CTF’de bir hedef vardır ve bu hedefin belirli zaman içerisinde ele geçirilmesine odaklanılmıştır. İkinci çeşit CTF’de bir grup saldırı teknikleri ile sistemi ele geçirmeye çalışırken diğer bir grup da savunma teknikleri ile bu grubun işini zorlaştırmaya odaklanmıştır. İkinci tip CTF çok daha öğretici ve zevkli olmasına rağmen pek rağbet görmemektedir.

CTF oyunları günümüz güvenlik etkinliklerinin vazgeçilmez bir parçası olmuştur. Bugün bilişim güvenliği alanında en ciddi sayılabilecek konferanslar(bkz: USENIX) bu tip yarışmaları yaparak etkinliğe farklı bir hava katmaya çalışmaktadır.

CTF’de bayrak kavramı

Bilişim dünyasında oynanan CTF oyununda bayrakla kastedilen işletim sisteminde bulunan bir dosyadır(Mesela /root dizini altındaki bayrak1.txt isimli bir dosya gibi). Eğer oyun birden fazla adımdan oluşuyorsa bu bayraklar bir sonraki adımla ilgili ipuçları içerir.

Yarışmanın  Amacı

CTF yarismasinin temel amacı proaktif güvenliğin faydalarının gösterilmesidir. Diğer bir ifadeyle önlem alınmayan basit güvenlik hatalarının sonuçlarının nelere malolacagini
uygulamalı olarak göstermektir.

Burada dikkat edilmesi gereken husus bu oyunun yıkıcı bir hacking anlayışından ziyade katılımcının teorik bilgilerini uygulamaya koyması ve çesitli sistemler  arasindaki güvenlik sorunlarini hizlica bulup degerlendirmesini sağlamaktır.

Türkiye genç nüfusu ile bilişim konusunda hızla yol almaktadır, bilişim dünyasının en stratejik konusu güvenlik olmasından dolayı gençlerin güvenlik alanına yönlenmesi, yönlendirilmesi önemlidir. Bu yarışma güvenlik alanında uğraşan ve kendisini gerçek ortamda sınamak, ispatlamak  isteyenler için bulunmaz bir fırsattır.

Katılım Şartları

Yarismaya katilmak isteyen gruplar/kisiler önceden kayit olmakla yükümlüdür. Kayit olmayan kullanicilar yarisma sonuçlarina dahil edilmeyecektir. Yarismaya katilim
için [email protected] adresine CTF konulu bir mail atilmasi yeterlidir.

Oyun Detayları

IstSec 2009 Capture The Flag yarışması  5 farklı adımdan oluşmaktadır. Bu adımlar Kablosuz ağ güvenliği, işletim sistemi güvenliği(Windows, Linux, BSD), veritabanı güvenliği, Web Uygulama güvenliği, Network güvenliği, şifreleme bilgisi, güvenlik dünyasının takibi gibi alanları içermektedir. Dolayısıyla yarışmaya katılacak  ekiplerin en az iki kişiden oluşmaları bayrakları kısa sürede bulmaları konusunda faydalı olacaktır.

CTF etkinliği yeni bir açıklık bulmaya yönelik değildir ve oyundaki her adım daha önce gerçekleşmiş ve başarılı olmuş hacking saldırılarından alınmıştır. Saldırı yöntemleri özellikle basit ama düşünme gerektiren, ezber bilgiden ziyade muhakeme gerektiren saldırılardan seçilmiştir.

Yarışma esnasında ortamda juri üyelerinden biri mutlaka hazır bulunacaktır. Yarışma grupları soru ve sorunlarını juri üyeleri aracılığıyla çözebileceklerdir.

Katilimcilar için önemli notlar

1.  Backtrack 4 cdsi ve içeriği
2. Internet hizmeti olmayacaktır.
3. Yarışma saat 10:00 ile 16:00 arasında yapılacaktır.
4. İsteyenler gizli kimlikle katılabilir. Gizli kimlikle katılan yarışmacı grup birinci olursa hediyesi açıktan verilecektir.
5. Katılımcılar kendi bilgisayarlarını getirmeleri gerekir. Katılımcılara sadece sistemle ilgili temel bilgiler verilecektir.
6. Bir sistemde bayrağı bulmak için birden fazla açıklık olabilir  ve sisteme giren aynı açıklığı başkalarının kullanamaması  için açıklığı  hızlıca  kapatma yoluna gidebilir.(Mesela katilimci X servisindeki açikligi kullanarak sisteme erisim izni kazanmis olsun. Bu durumda açıklığı aynen bırakarak devam edebilir ya da –servisi durdurmadan- açıklığı başkalarının kulanamayacağı şekilde kapatabilir)

Yarışmada yapılması yasak olanlar

1. DDOS saldırıları yapmak yasaktır. CTF ortamını izleyen bir saldırı tespit sistemi DDOS ve benzeri atakları yapmaya çalışanları raporlayacaktır.
2. MITM atakları ile başkalarının trafiğini çalmak(Bunun için katılımcılara ip-mac değerleri verilecektir.)
3. Ortamda bulunan diğer ağlara sızma girişimleri
4. Gruplar arası bilgi paylaşımı

Sonuçlar ve Değerlendirme

Yarismanin kazanani puanlama sistemine göre yapilacaktir. Her adim, zamana bagli bir puan derecesine sahiptir ve belirtilen zaman içerisinde en yüksek puani alan yarismayi kazanmis sayilir. Yarisma sonrasi kazanan takim için sponsorlarin sürpriz hediyesi olacaktir.

Yarışma sonuçları etkinlik bitiminde bir sunum olarak anlatılacak, isterse yarışmayı kazanan grup hangi adımı nasıl geçtiği, ne zorluklarla karşılaştığı ve nasıl çözdüğünü paylaşabilecektir.

CTF Değerlendirme Ekibi