Kas iš tikrųjų yra CTF ir kodėl verta pradėti
CTF – tai Capture The Flag, ir jei dar nesi girdėjęs šio termino, greičiausiai esi tik pačioje kibernetinio saugumo kelio pradžioje. Tai varžybų formatas, kuriame dalyviai sprendžia saugumo iššūkius, ieško paslėptų „vėliavėlių” (flag) – dažniausiai tai būna tekstinė eilutė formato FLAG{kažkas_čia} – ir jas pateikia sistemai, kad gautų taškus. Skamba paprastai, bet praktikoje tai gali būti vienas iš labiausiai į priekį stumiančių mokymosi metodų, kuriuos gali rasti kibernetinio saugumo srityje.
Kodėl CTF, o ne kursai ar sertifikatai? Nes čia mokiesi darydamas. Nėra jokio vadovėlio, kuris pasakytų, ką daryti toliau – turi pats galvoti, eksperimentuoti, klysti ir vėl bandyti. Tai arčiausiai realaus darbo, kiek gali priartėti neturėdamas realios darbo vietos. Be to, CTF bendruomenė yra viena draugiškiausių technologijų pasaulyje – žmonės dalinasi sprendimais, rašo išsamius „writeup’us” ir padeda pradedantiesiems.
Svarbu suprasti: CTF nereikalauja jokios išankstinės patirties. Yra iššūkių, kuriuos gali išspręsti žinodamas tik bazines komandų eilutės komandas. Ir yra tokių, prie kurių net patyrę specialistai sėdi kelias dienas. Pradedantiesiems svarbiausia – rasti tinkamą lygį ir nesistengti iš karto šokti į pačius sunkiausius.
CTF kategorijos – kur pradėti ir ką reiškia kiekviena sritis
CTF varžybose paprastai sutiksi kelias pagrindines kategorijas, ir kiekviena jų reikalauja skirtingų įgūdžių. Štai ką reikia žinoti:
Web exploitation – tai iššūkiai, susiję su svetainių pažeidžiamumais. SQL injekcija, XSS, CSRF, neapsaugoti API endpoint’ai – visa tai yra web kategorijos teritorija. Pradedantiesiems ši kategorija dažnai būna prieinama, nes daug iššūkių galima išspręsti tiesiog naudojant naršyklę ir developer tools.
Cryptography – šifravimo iššūkiai. Čia reikės suprasti, kaip veikia įvairūs šifrai – nuo klasikinių Caesar ar Vigenère iki modernesnių RSA ar AES. Pradedantiesiems rekomenduoju pradėti nuo klasikinių šifrų – jie padeda suprasti fundamentalius principus ir dažnai sprendžiami rankiniu būdu arba su paprastais Python skriptais.
Reverse Engineering – programų „ardymas” į dalis, siekiant suprasti, kaip jos veikia. Čia dirbsi su disassembler’iais kaip Ghidra ar IDA Pro, analizuosi binarines bylas. Ši kategorija reikalauja daugiau išankstinių žinių, tačiau yra labai naudinga, jei nori suprasti, kaip iš tikrųjų veikia programinė įranga.
Forensics – skaitmeninė kriminalistika. Analizuosi bylas, ieškosi paslėptų duomenų, nagrinėsi tinklo srautą pcap formatais, dirbsi su atminties dump’ais. Ši kategorija labai plati ir dažnai pradedantiesiems patinka, nes daug iššūkių yra apie „ieškojimą” – tai intuityviau nei programavimas.
Pwn (Binary Exploitation) – tikriausiai sunkiausia kategorija pradedantiesiems. Čia reikia suprasti, kaip veikia atminties valdymas, buffer overflow atakos, return-oriented programming. Jei esi absoliutus pradedantysis, šią kategoriją palik vėlesniam laikui.
OSINT – atvirų šaltinių žvalgybos iššūkiai. Reikia rasti informaciją naudojant viešai prieinamus šaltinius – Google, socialiniai tinklai, metaduomenys ir pan. Tai puiki kategorija pradedantiesiems, nes nereikia programavimo žinių, tik kūrybiško mąstymo.
Platformos, kuriose galima pradėti – konkrečios rekomendacijos
Teorija teorija, bet kur iš tikrųjų pradėti? Štai kelios platformos, kurios tikrai tinka pradedantiesiems:
PicoCTF – absoliučiai geriausias startas. Ši platforma sukurta Carnegie Mellon universiteto ir skirta studentams bei pradedantiesiems. Iššūkiai yra gerai struktūruoti, yra hint’ų sistema, o bendruomenė labai aktyvi. Jei niekada nesi daręs CTF – pradėk čia. Tikrai. Negalvok apie kitas platformas, kol neišsprendei bent 20-30 PicoCTF iššūkių.
TryHackMe – tai ne grynai CTF platforma, bet labai naudinga pradedantiesiems. Čia yra struktūruoti „room’ai”, kurie moko konkrečių įgūdžių, o tada leidžia juos pritaikyti praktiškai. Yra mokamas planas, bet nemokamas turinys yra pakankamai gausus, kad pradėtum.
Hack The Box – šiek tiek sunkesnė platforma, bet turi „Starting Point” sekciją, kuri skirta pradedantiesiems. Čia mašinos yra realesnės, iššūkiai sudėtingesni, bet ir mokymosi efektas didesnis. Rekomenduoju pereiti prie HTB po to, kai jau turi šiokių tokių pagrindų.
CTFtime.org – tai ne platforma iššūkiams, bet kalendorius, kuriame surinktos visos vykstančios CTF varžybos. Čia gali rasti tiek pradedantiesiems skirtus, tiek pažangius CTF. Svarbu žiūrėti į varžybų reitingą – kuo žemesnis skaičius, tuo sunkesnė varžyba.
OverTheWire: Bandit – jei nori išmokti Linux komandų eilutę ir tuo pačiu spręsti iššūkius, Bandit yra puikus pasirinkimas. Tai ne CTF varžybos, bet wargame, kuris moko Linux pagrindų per praktinius iššūkius.
Įrankiai, kuriuos reikia žinoti nuo pat pradžių
Vienas dažniausių klausimų, kurį užduoda pradedantieji: „Kokius įrankius naudoti?” Atsakymas: pradžioje – kuo mažiau. Geriau gerai išmokti kelis įrankius nei paviršutiniškai žinoti dešimtis.
Pirmiausia – Linux terminalas. Jei nesi susipažinęs su Linux, tai yra pirmas dalykas, kurį reikia ištaisyti. Absoliuti dauguma CTF iššūkių sprendžiama Linux aplinkoje. Išmok pagrindines komandas: ls, cd, cat, grep, find, strings, file. Šios komandos padės išspręsti daugiau iššūkių nei bet kuris specializuotas įrankis.
Toliau – Python. Ne reikia būti Python guru, bet mokėti parašyti paprastą skriptą, kuris automatizuoja kokį nors veiksmą – labai naudinga. Kriptografijos iššūkiuose Python yra beveik privalomas.
Forensics iššūkiams pravers:
binwalk– analizuoja binarines bylas ir ieško jose paslėptų failųsteghide– steganografijos įrankis, padeda rasti paslėptus duomenis paveiksluoseexiftool– rodo failų metaduomenisWireshark– tinklo srauto analizė
Web iššūkiams:
- Burp Suite – HTTP proxy, leidžia perimti ir modifikuoti užklausas. Community versija nemokama ir jos pakanka pradedantiesiems
- Naršyklės developer tools –
F12ir esi jau pusėje kelio daugelyje web iššūkių curl– komandų eilutės HTTP klientas
Kriptografijai:
- CyberChef – tai tiesiog stebuklas. Tai web įrankis, kuris leidžia atlikti daugybę transformacijų su duomenimis. Base64 dekodavimas, XOR operacijos, hash’ų skaičiavimas – visa tai viename lange. Bookmarkink dabar.
- dcode.fr – puikus šaltinis klasikinių šifrų analizei
Kaip spręsti iššūkius – mąstymo procesas
Daugelis pradedantiesiems susiduria su ta pačia problema: gauni iššūkį, žiūri į jį ir… nieko. Nežinai, nuo ko pradėti. Štai kaip turėtų atrodyti mąstymo procesas:
Pirmas žingsnis – suprask, ką turi. Ar tai failas? Kokio tipo? Komanda file failas.xyz dažnai atskleidžia daugiau nei plėtinys. Ar tai web iššūkis? Pažiūrėk į puslapio šaltinį, cookies, URL parametrus. Ar tai kriptografija? Pabandyk atpažinti šifravimo metodą.
Antras žingsnis – ieškoki akivaizdžių dalykų. Ar faile yra tiesiog paslėptas tekstas? Komanda strings failas parodo visas spausdinamas simbolių sekas faile. Tai vienas iš pirmų dalykų, kuriuos reikia daryti su bet kokiu binariu failu. Stebėtinai dažnai flag’as tiesiog ten ir yra.
Trečias žingsnis – Google.** Tai nėra apgaudinėjimas. Realus saugumo specialistas irgi naudoja Google. Jei matai kažką nepažįstamo – ieškoki. „CTF base64 steganography” tipo paieška dažnai nuves prie naudingų resursų.
Ketvirtas žingsnis – naudok hint’us.** Jei platforma turi hint’ų sistemą ir esi įstrigęs – naudok juos. Hint’ai nėra pralaimėjimas. Jie yra mokymosi dalis. Geriau suprasti iššūkį su hint’u nei praleisti valandas be jokios pažangos.
Penktas žingsnis – skaityk writeup’us.** Jei nepavyko išspręsti – po varžybų paieškoki writeup’ų. Tai vienas geriausių mokymosi metodų. Suprask ne tik „kaip” buvo išspręsta, bet ir „kodėl” tas sprendimas veikė.
Svarbu nepamiršti: įstrigimas yra normalu. Jei sprendžiant iššūkį nepasiekei jokios pažangos per 30-45 minutes – pabandyk pereiti prie kito iššūkio. Kartais po pertraukos grįžti su šviežiu žvilgsniu ir sprendimas tampa akivaizdus.
Dažniausios klaidos, kurias daro pradedantieji
Kalbėdamas su žmonėmis, kurie pradeda CTF kelią, pastebiu tas pačias klaidas kartojantis. Štai ką reikia vengti:
Pradėti per sunkiais iššūkiais. Tai tikriausiai labiausiai paplitusi klaida. Žmogus girdi apie CTF, registruojasi į kokias nors rimtas varžybas, gauna iššūkius, nieko nesupranta ir nusprendžia, kad CTF „ne jam”. Bet problema ne žmoguje – problema pasirinkime. Pradėk nuo PicoCTF ar panašaus lygio platformų.
Nenaudoti bendruomenės. CTF bendruomenė yra labai atvira. Discord serveriai, Reddit (r/netsec, r/securityCTF), CTF komandos – visur rasi žmonių, pasiruošusių padėti. Nemanyk, kad klausimai yra gėda.
Nenaudoti virtualiųjų mašinų. Kai kurie iššūkiai reikalauja paleisti nepažįstamą kodą. Visada daryk tai izoliuotoje aplinkoje. Kali Linux virtualinė mašina ar Docker konteineris – tavo draugai. VirtualBox ar VMware yra nemokamos alternatyvos.
Ignoruoti dokumentavimą. Sprendžiant iššūkius, rašyk užrašus. Kas veikė, kas neveikė, kokius įrankius naudojai. Tai padės vėliau, kai susidursi su panašiu iššūkiu. Be to, tai yra puikus pagrindas rašyti savo writeup’us.
Tikėtis greito progreso. CTF yra maratonas, ne sprintas. Pirmieji iššūkiai gali atrodyti neįveikiami, bet po kelių savaičių reguliaraus praktikavimo pastebėsi, kaip mąstymas keičiasi. Tai procesas, kuris reikalauja laiko.
Kaip CTF padeda realioje kibernetinio saugumo karjeroje
Galbūt kyla klausimas – ar tai tik žaidimas, ar iš tikrųjų naudinga? Atsakymas yra labai aiškus: CTF yra vienas geriausių būdų parodyti savo įgūdžius potencialiems darbdaviams.
Daugelis kibernetinio saugumo įmonių aktyviai ieško kandidatų, turinčių CTF patirtį. Kodėl? Nes CTF parodo, kad žmogus moka mąstyti problemų sprendimo kontekste, yra savarankiškas ir turi praktinių įgūdžių, o ne tik teorinių žinių. Sertifikatas gali patvirtinti, kad išmokei medžiagą – CTF rezultatai parodo, kad moki ją pritaikyti.
Hack The Box ir panašios platformos turi viešus profilius, kuriuos gali įtraukti į CV ar LinkedIn. Tai konkreti, patikrinama informacija apie tavo įgūdžius. Taip pat, jei dalyvauji komandiniuose CTF ir pasiekiate gerų rezultatų – tai tikrai verta paminėti.
Be to, CTF metu išmokti įgūdžiai tiesiogiai pritaikomi realiame darbe: penetration testing, vulnerability assessment, incident response – visa tai reikalauja panašaus mąstymo. Skirtumas tik tas, kad realiame darbe yra daugiau konteksto ir dokumentacijos.
Jei svajoji apie bug bounty programas – CTF yra puikus treniruočių aikštynas. Daugelis sėkmingų bug bounty medžiotojų pradėjo nuo CTF ir palaipsniui perėjo prie realių programų.
Nuo pirmojo flag’o iki tikro saugumo specialisto – kelias, kurį verta eiti
CTF nėra tik hobis ar žaidimas – tai struktūruotas būdas tapti geresniu specialistu. Pirmasis išspręstas iššūkis, kad ir koks paprastas jis būtų, duoda tą patį jausmą kaip ir pirmas sėkmingai parašytas programos kodas: „Aš tai padariau. Aš supratau, kaip tai veikia.”
Praktinis planas, jei nori pradėti šiandien: užsiregistruok PicoCTF, išspręsk pirmus 5 iššūkius iš General Skills kategorijos, įdiek Kali Linux virtualią mašiną, prisijunk prie kokio nors CTF Discord serverio. Tai viskas, ko reikia pirmai savaitei. Nereikia pirkti kursų, nereikia specialios įrangos, nereikia išankstinių žinių.
Vėliau, kai jau turėsi pagrindus, galėsi ieškoti komandos – daugelis CTF varžybų yra komandinės, ir dirbant su kitais žmonėmis mokymasis vyksta daug greičiau. CTFtime.org rasi informacijos apie artėjančias varžybas, o Discord platformoje yra daugybė komandų, ieškančių naujų narių.
Svarbiausia – neprarask kantrybės. Kibernetinis saugumas yra plati sritis, ir nėra žmogaus, kuris žinotų viską. Net patyrę specialistai nuolat mokosi, klysta ir ieško sprendimų. CTF tik pagreitina šį procesą, paversdamas mokymąsi kažkuo, kas iš tikrųjų yra smagu. O kai mokymasis tampa smagu – progresas ateina natūraliai.
