Аббревиатура CTF обозначает Capture The Flag, в переводе на русский «захвати флаг». Самые популярные два формата это Jeopardy/Task-Based и менее популярный (а жаль) Attack-Defense. В случае Jeopardy Вам предоставляют доступ к некоей платформе с заданиями и побеждает тот, кто за ограниченное количество времени (чаще всего сутки, реже двое суток) найдёт наибольшее количество так называемых «флагов».
В качестве флага выступает кодовая фраза, например: flag{some_secret_text} или ctf{some_secret_text} только фразы эти настолько запрятаны, что не сломав психику, их будет довольно таки тяжело найти.
Attack-Defense формат более сложного типа, где участники разделены на команды (в Jeopardy также допустимо участие команд) и им представлены стенды, задача участников защитить свой стенд и захватить чужую сеть. Данный формат значительно сложнее реализовать, нежели Jeopardy (уже хотя бы потому что требуется очный формат и сами задачи более приближены к реальности, нежели то, что происходит на Jeopardy), а потому он пользуется меньшей популярностью.
Есть ещё формат, Boot2Root (можно отнести его к Jeopardy, но всё же у него другие задачи), здесь Вам даётся некий стенд и Ваша задача повысить свои привилегии до Root-прав (кто не знаком с Linux, это как супер-администратор, только ещё круче).
Сугубо моё личное мнение, но Boot2Root также ближе к реальности и в 90% случаев сложнее того, что обычно предоставляют участникам Jeopardy.
Вот ещё лет пять назад, примерно так всё и было и даже не было повода сомневаться в «крутости» проводимых мероприятий, но как Kali обрела популярность после выхода Mr. Robot (из-за чего убрали root’а из основного пользователя, а то вдруг мамкины хакеры сами себя поломают), так и с CTF в последнее время стал наблюдать не самые приятные картины. Скажем так, они пока ещё носят скорее локальный характер, но тут как говорится, нет дыма без огня и то, что сегодня актуально для маленького или даже большого города, то завтра может стать проблемой страны, а то и мира в целом.
Продолжу аналогию с Kali, изначально Kali был инструмент для анализа уязвимостей и люди, которые занимались защитой, за умеренную плату пользуясь данным инструментом, доказывали свою профпригодность. После появились те, кто решил что умеренная плата им недостаточна, мама их для красивой жизни родила и так инструмент оказался в руках так называемых «чёрных шляп» и вот уже Kali стал использоваться по обе стороны баррикад, а после ломанулись и просто те, кто хотел сам себя мнить хакером.
Теперь вернёмся к CTF, пока это было просто забавой, не ради денег (нет, конечно, были и соревнования с финансовыми призами, не без этого, но там действительно их готовили те, кто знает своё дело не по наслышке), контент привлекал участников и нёс идею в массы. Но со временем, участие в CTF стало обязательным для трудоустройства в сфере ИБ (против конкретно этого ничего не имею), а первые места на соревнованиях такого плана стали «престижем» и вот на этой волне поплыли. В погоне за этим самым престижем различные структуры «сами себе» накручивают победы различными способами, а воз и ныне там.
Объясню, что имею ввиду. Давайте немного помечтаем на тему средневековья, у Вас есть замок, который нужно защитить. И вот приходят мастера умельцы и говорят, что сейчас они Вам лучших лучников предоставят, устроят соревнования, кто лучше всего из лука стреляет и лучших передадут Вам. Как Вы конечно же догадались, именно лучники подготовленные этими мастерами оказываются лучшими, и вроде бы «что в этом плохого»? А то что под Ваш замок прорыли подкоп и подорвали башни вместе с этими крутыми лучниками.
Читаю статьи на тему информационной безопасности, то и дело вижу, то там слив данных, то там взлом и т.д., а при этом продолжают рассказывать о том, что скоро все уязвимости будут найдены и профессия «белый хакер» сама себя изживёт. Я лет 15 назад слышал, что php давно стал «мёртвым языком», да как жил себе так и продолжает жить и только набирает обороты, так и здесь.
Стоит отметить, что те мастера площадок, что стояли у «истоков» или (к сожалению) отошли от дел или продолжают своё дело (при этом они не гонятся за копейкой, и несмотря на это у них по прежнему всё толково получается) этот обзор, не в их огород камень. Конкретных имён, фамилий, явок и паролей не будет. Просто где-то в глубине души надеюсь, что им хотя бы будет стыдно за то, что они делают, ну или кармой воздастся и судьба выведет на чистую воду. Чтобы чуть больше внести ясности вообще о чём я, давайте скажем так, всё меньше тех, кто ищет и находит задания для тасков и всё больше тех, кто подсматривает у других и даже не напрягается над тем, чтобы самому что-то додумать хотя бы.
