Trong cuộc thi dạng CTF, các đội tham gia sẽ được cấp một máy chủ (hoặc một mạng máy chủ) đã cài đặt sẵn nhiều chương trình có các lỗ hổng bảo mật. Nhiệm vụ của đội chơi là tìm ra các lỗ hổng và tấn công vào máy chủ của các đội khác để ghi điểm, đồng thời phải nhanh chóng vá các lỗ hổng trên máy chủ của đội nhà, tránh bị các đội khác tấn công.
Cuộc thi CTF lần đầu tiên được tổ chức tại hội thảo bảo mật nổi tiếng DefCon (Mỹ) lần thứ 5 (năm 1997). Đến nay, hàng năm có rất nhiều cuộc thi CTF được tổ chức trên toàn thế giới theo các quy mô khác nhau, do các trường đại học, học viện, viện nghiên cứu thực hiện…Rất nhiều cuộc thi CTF được tổ chức cùng với các hội thảo về Security và Hacking như: DEF CON CTF Qualifier, DEF CON CTF, Codegate YUT Preliminary, UCSB iCTF, RuCTFe…
Các cuộc thi CTF có thể tổ chức dưới hình thức online (thực hiện qua internet) hoặc offline (thực hiện qua mạng thiết lập riêng). Tuy nhiên, các cuộc thi có uy tín thường tổ chức thành 2 vòng thi khác nhau: Vòng 1 thi online để lựa chọn các đội mạnh nhất tham gia vào vòng chung kết được tổ chức offline.
Thành phần tham gia thi CTF rất đa dạng, có thể là cá nhân hoặc tập thể: các hacker, các chuyên gia bảo mật, các nhóm nghiên cứu về an toàn thông tin, sinh viên.… Giải thưởng từ các cuộc thi CTF tuy không lớn về vật chất nhưng được đánh giá cao về chuyên môn và là một “thước đo” quan trọng về “kỹ năng nghề nghiệp” trong lĩnh vực ATTT. Một số nhóm chuyên gia bảo mật ở Việt Nam đã tham gia các cuộc thi CTF quốc tế trong thời gian gần đây. Tuy nhiên, phong trào này chỉ thực sự bắt đầu phát triển trong khoảng 2 năm vừa qua với dấu ấn quan trọng là nhóm Cửu Long Giáng Thế của Việt Nam liên tục lọt vào top 10 nhóm CTF tốt nhất của năm, với nhiều thành tích cao tại các giải CTF quốc tế. Đặc biệt, trong năm 2013 lần đầu tiên có một nhóm CTF của Việt Nam đã vượt qua vòng loại DEF CON CTF Qualifier để được tham gia vào DEF CON CTF (được xem như là “World Cup” của các cuộc thi CTF).
Ngoài ra, theo thống kê của tổ chức CTFTIME, Việt Nam nằm trong top 10 các nước có nhiều đội tham gia thi CTF nhất (Mỹ, Nga, Ấn Độ, Hàn Quốc, Pháp, Iran, Việt Nam, Nhật, Canada, Trung Quốc), với các nhóm CTF đã có một số thành tích nhất định, được cộng đồng ATTT thế giới biết đến như: Cửu Long Giáng Thế (CLGT, Bamboo-vn), PiggyBird, Botbie, rm -rf [enter], HacKaTron…
Các hình thức thi CTF phổ biến
Hiện nay, các cuộc thi CTF thường chia thành 3 hình thức chơi chính
1. Trả lời thử thách theo từng chủ đề (Jeopardy-style)
Hình thức này là tập hợp một loạt các các bài thi khác nhau, được phân ra thành nhiều chủ đề như: Web, Forensic, Crypto, Binary, Stegano… Trong mỗi chủ đề sẽ có nhiều bài thi khác nhau được sắp theo độ khó tăng dần cùng với điểm số cũng tăng dần. Mục tiêu của các đội thi là sử dụng kỹ năng, kinh nghiệm để thực hiện tìm kiếm các “flag” được giấu. Với mỗi “flag” tìm được chính xác, đội chơi sẽ được điểm tương ứng của bài thi. Trong quá trình thi, kết quả các đội sẽ liên tục được cập nhật trên các bảng điểm (sau khi gửi flag mới được tính điểm) và kết thúc vòng thi đội nào có số điểm cao nhất sẽ dành chiến thắng. Trong trường hợp các đội bằng điểm nhau, kết quả sẽ được tính dựa trên thời gian gửi “flag”. Đây là hình thức thi được tổ chức phổ biến nhất hiện nay, thực hiện trong 1 đến 2 ngày (24- 48 tiếng).
2. Tấn công và phòng thủ (attack & defence)
Hình thức thi này theo đúng luật thi CTF cổ điển ban đầu và khó hơn so với các hình thức khác do yêu cầu cao hơn. Ngoài các kỹ năng tìm kiếm lỗ hổng bảo mật và khai thác các lỗ hổng đó thì người chơi cần có khả năng khắc phục các điểm yếu, lỗ hổng, bảo vệ hệ thống của mình trước các tấn công từ các đội khác. Điểm khác biệt nữa là cách thức tính điểm cho các đội thi. Điểm thi trong hình thức này được thực hiện theo các tiêu chí khác nhau như: Điểm tấn công, điểm phòng thủ, điểm thưởng,… Sau khi kết thúc cuộc thi, đội nào có số điểm cao nhất sẽ dành chiến thắng. Đây là hình thức thi gần với thực tế tình hình an toàn mạng nhất. Các hacker thực hiện tấn công vào hệ thống còn các quản trị mạng chuyên viên bảo mật có nhiệm vụ chống lại tấn công từ bên ngoài, trong khi vẫn phải bảo đảm duy trì hoạt động của hệ thống…. Cuộc thi nổi tiếng nhất về dạng này là DEF CON CTF.
3. Hình thức thi kết hợp là sự phối hợp của hình thức trên, chẳng hạn như kết hợp giữa hình thức chỉ có tấn công (attack only) với các dạng thử thách khác nhau.
CTF mang lại gì cho người tham gia?
CTF hấp dẫn và thu hút giới hacker, chuyên gia bảo mật bởi các cuộc thi này phản ánh thực tiễn công việc hàng ngày và đòi hỏi người chơi phải có các kỹ năng tấn công và bảo mật thực thụ. Muốn chiến thắng ở một cuộc thi CTF, người chơi không chỉ phải biết nhuần nhuyễn các kỹ năng phát hiện và khai thác lỗ hổng bảo mật, mà còn phải thật sự chuyên nghiệp trong việc bảo vệ sự an toàn và duy trì tính liên tục của hệ thống mạng trước các đợt tấn công không ngừng từ bên ngoài.
Khi tham gia các cuộc thi CTF, những người tham gia thu được những kinh nghiệm hữu ích như:
- Được học hỏi các kiến thức cần thiết, cập nhật về security và hacking.
- Thực hành những kiến thức thu được từ lý thuyết để hiểu rõ hơn về các công việc: cách thức reverse engineering một phần mềm, cách thức crack phần mềm, xâm nhập vào một máy tính; các kỹ thuật khai thác ứng dụng web; áp dụng mật mã trong thực tế; điều tra phân tích truy dấu vết forensic....
- Các bài thì CTF đòi hỏi người chơi phải có kiến thức sâu về không chỉ về ATTT mà còn về kỹ năng lập trình, thiết lập mạng,… Đây sẽ là cơ hội giúp các chuyên gia củng cố, nâng cao kỹ năng đang có và bổ sung các kỹ năng mới.
- Các cuộc thi CTF thường cập nhật thông tin mới về lỗ hổng bảo mật, các kỹ thuật mới trong hacking và security. Thực hiện các bài thi là cách giúp người tham gia nắm được các vấn đề đó một cách cụ thể, đúng bản chất….
- Qua mỗi lần thi CTF, người chơi có thể đánh giá được các kiến thức mình đang còn thiếu, cần bổ sung thêm, được giao lưu, chia sẻ kinh nghiệm, đồng thời tham khảo các write-up (các bài giải) của người chơi khác để học hỏi.
- Rèn luyện tính sáng tạo, khả năng tư duy giải quyết vấn đề linh hoạt.
Việc tham gia các cuộc thi CTF là một trong những khởi đầu tốt cho những người làm việc và nghiên cứu trong lĩnh vực bảo mật và an toàn thông tin.
Đưa CTF vào cuộc thi Sinh viên với An toàn thông tin 2013
Ra đời bắt đầu từ năm 2008, Cuộc thi “Sinh viên với An toàn Thông tin” được tổ chức với sự tham gia của sinh viên các trường Đại học, Học viện trên cả nước.
Cuộc thi “Sinh viên với An toàn thông tin” năm 2013, đã được áp dụng thi theo hình thức CTF (Capture the Flag) ngay từ vòng sơ khảo. Đây là một “thách thức” đối với Ban tổ chức vì hình thức thi có nhiều thay đổi so với các năm trước và 100% các bài thi được thực hiện trên hệ thống mạng máy tính. Ngoài công việc tổ chức ra đề thi, chuẩn bị hệ thống mạng, giám sát quá trình thi, các thủ tục hành chính… thì một vấn đề được đưa ra bàn luận nhiều trước khi tổ chức thi là hình thức mới này có thể khiến các đội thi bỡ ngỡ, công tác ôn luyện sẽ gặp khó khăn.
Cuộc thi năm nay được chia làm 2 phần: thi lý thuyết (chỉ thi trong vòng sơ khảo) và phần thực hành. Phần thực hành với 5 mục chính: Pwnable (Các kỹ thuật khai thác tìm điểm yếu, lỗ hổng trên phần mềm như buffer overflow, format string, shellcode...); Reverse engineering (tập trung vào kỹ năng dịch ngược mã nguồn phần mềm, cách unpack các packer, crypter bảo vệ phần mềm); Web (Các kỹ thuật tìm điểm yếu, lỗ hổng trên ứng dụng web); Network/Forensic (Điều tra, phân tích, truy vết các vụ án số); Crypto/ACM (Đánh đố giải mã, tấn công các thuật toán mã hóa, dùng kỹ năng lập trình/giải thuật để giải các trò chơi, mê cung...).