Cuộc thi an ninh mạng ctf là gì năm 2024

CTF là viết tắt của cụm từ tiếng Anh Capture The Flag. Đây là tên gọi của một dạng cuộc thi kiến thức về bảo mật thông tin, thử thách các đội chơi tìm ra lời giải cho một vấn đề bất kỳ trong an ninh mạng.

Trong một cuộc thi CTF, nhiệm vụ của các đội chơi là phải chạy đua nhau để tìm ra một Mật (được gọi là Flag) mã đặc biệt được giấu bên trong server, hoặc phía sau một trang web. Đội nào hack vào hệ thống của đối thủ, vá các lỗ hổng trên máy chủ của đội nhà và tìm ra Flag nhanh hơn sẽ giành chiến thắng trong vòng thi đó. Dựa vào luật chơi này mà cuộc thi mới có tên là Capture The Flag - cướp cờ.

Cuộc thi CTF lần đầu tiên được tổ chức vào năm 1997, tại hội thảo bảo mật nổi tiếng DEFCON (Mỹ) lần thứ 5.

Hiện này, trên thế giới có rất nhiều cuộc thi CTF được tổ chức theo các quy mô khác nhau như: DEF CON CTF Qualifier, DEF CON CTF, Codegate YUT Preliminary, UCSB iCTF, RuCTFe…

Cách chơi CTF

Khi tham gia vào một cuộc thi dạng CTF, các đội sẽ được cấp một máy chủ (hoặc một mạng máy chủ) đã cài đặt sẵn nhiều chương trình có các lỗ hổng bảo mật. Các đội chơi sẽ phải vá các lỗ hổng trên máy chủ của đội nhà, tránh bị các đội khác tấn công đồng thời tìm ra các lỗ hổng và tấn công vào máy chủ của các đội khác để ghi điểm.

Các cuộc thi CTF lớn, uy tín thường được tổ chức thành 2 vòng thi khác nhau. Vòng 1 thi onl và vòng 2 thi offline dành cho các đội mạnh nhất.

Tùy vào quy định của ban tổ chức mà người có thể tham gia theo đội hoặc cá nhân. Bất kỳ ai cũng có thể tham gia thi CTF, từ sinh viên, các chuyên gia bảo mật cho đến các hacker.

Giải thưởng từ các cuộc thi CTF được đánh giá cao về chuyên môn và là một “thước đo” quan trọng về “kỹ năng nghề nghiệp” trong lĩnh vực ATTT.

Hình thức thi CTF

Cuộc thi CTF thường chia thành 3 hình thức chơi chính:

Trả lời thử thách theo từng chủ đề (Jeopardy-style)

Đây là hình thức thi CTF được tổ chức phổ biến nhất hiện nay. Cuộc thi sẽ diễn ra trong 1 đến 2 ngày (24- 48 tiếng).

Trong bài thi CTF sẽ xuất hiện nhiều chủ đề như Web, Forensic, Crypto, Binary, Stegano… được xếp theo độ khó tăng dần. Điểm cũng tương ứng với mức độ khó của chủ đề.

Mỗi đội chơi tìm được chính xác các “flag” được giấu sẽ nhận được điểm tương ứng với bài thi.

Đội giành chiến thắng là đội có điểm cao nhất. Thời gian gửi “flag” sẽ được xét đến nếu các đội bằng điểm nhau.

Tấn công và phòng thủ (attack & defence)

Đây là hình thức thi được đánh giá là có độ khó cao nhưng gần thực tế tình hình an toàn mạng nhất. Trong cuộc thi, nhiệm vụ của người chơi là tìm kiếm lỗ hổng bảo mật, khai thác các lỗ hổng đồng thời khắc phục các điểm yếu, lỗ hổng, bảo vệ hệ thống của mình trước các tấn công từ các đội khác.

Tùy vào tiêu chí mà ban tổ chức sẽ có cách thức tính điểm khác nhau.

Hình thức thi kết hợp

Hình thức thi này là sự phối hợp của 2 hình thức trên.

Cần học gì để thi CTF

Cuộc thi CTF dành cho mọi người đều nhưng để có thể tham gia người chơi ít nhất phải nắm rõ kiến thức cơ bản về an toàn thông tin mạng và một số công cụ hỗ trợ thích hợp.

Dưới đây là gợi ý về một số trang web mà bạn có thể học tập.

Trang web giới thiệu về các kỹ thuật CTF phổ biến như mật mã, steganography, khai thác web...

https://github.com/ctfs/resources 

Trang web về mẹo và thủ thuật liên quan đến các thách thức, kịch bản điển hình của CTF

https://trailofbits.github.io/ctf/forensics/

Trang web tổng hợp những bài giải các thử thách CTF trước đây

https://ctftime.org/writeups 

Một site phù hợp cho người mới bắt đầu

http://hackthis.co.uk

Một list các thử thách bao quát rất nhiều vấn đề, gồm cả các bài LFI/ RFI, các loại SQLi, các tài liệu hướng dẫn

Hợp tác với các tổ chức khu vực và quốc tế, Cơ quan An ninh mạng của Liên minh Châu Âu (ENISA) đã tổ chức cuộc thi an ninh mạng quốc tế lần thứ nhất ICC 2022, một Cúp thế giới về an ninh mạng. Dựa trên sự thành công của cuộc thi Capture-the-Flag (CTF) ENISA, cùng với các tổ chức quốc tế và khu vực khác, đã quyết định thiết kế và tổ chức lần đầu tiên cuộc thi An ninh mạng quốc tế (ICC). Với Giải vô địch thế giới về an ninh mạng lần đầu tiên này, bao gồm một số thách thức an ninh mạng khác nhau, đang bước vào một chiều hướng mới bằng cách tiến lên quy mô toàn cầu với các đội tuyển từ khắp nơi trên thế giới. Tiếp nối với việc tổ chức thành công Thử thách an ninh mạng Châu Âu (ECSC) kể từ năm 2015 trở đi, Thử thách an ninh mạng quốc tế là bước tiếp theo để cuộc thi mở rộng ra cấp độ toàn thế giới. Thử thách an ninh mạng quốc tế đã diễn ra từ ngày 14 đến 17/6/2022, tại Trung tâm Văn hóa Stavros Niarchos Foundation, nằm ở một trong những khu vực xanh lớn nhất của Athens, Hy Lạp. ICC 2022 có sự tham dự của 7 đội quốc tế bao gồm 15 tuyển thủ quốc gia trong độ tuổi từ 18 đến 26 từ khắp nơi trên thế giới. 7 đội được kiểm tra sức mạnh của họ trong một loạt các lĩnh vực thử thách, chẳng hạn như khai thác hệ thống và ứng dụng web, mật mã, thiết kế ngược, thử thách phần cứng, phân tích pháp y và tấn công/phòng thủ. ICC 2022 gắn liền với những tài năng an ninh mạng hàng đầu trên thế giới và được kỳ vọng sẽ trở thành một trong những vườn ươm quan trọng của khởi nghiệp an ninh mạng. Làm thế nào để ICC 2022 hoạt động? ICC 2022 có sự tham gia của hơn 4000 tài năng trẻ và quy tụ các khu vực Châu Âu, Châu Á, Châu Phi, Châu Đại Dương, Hoa Kỳ, Canada từ hơn 64 quốc gia đã tích cực tham gia. Mỗi khu vực đó sẽ được đại diện bởi một nhóm các tài năng trẻ và khu vực đó sẽ chịu trách nhiệm tuyển chọn và đào tạo các thành viên trong nhóm mình thông qua các thử thách sơ bộ về CTF. 15 cầu thủ hàng đầu trong các CTF sơ bộ được thành lập thành đội tuyển để thi đấu tại ICC 2022. Trong ngày đầu tiên của ICC 2022, 7 đội tuyển đã cạnh tranh về các thử thách CTF kiểu Jeopardy, chẳng hạn như ứng dụng web, mật mã, kỹ thuật đảo ngược, phần cứng và pháp y. Trong ngày thứ hai, 7 đội tuyển thi đấu ở thử thách tấn công/phòng thủ. Để đảm bảo một cuộc cạnh tranh minh bạch và bình đẳng, việc tổ chức ICC được giám sát và đảm bảo bởi một Ban chỉ đạo bao gồm các tổ chức chính phủ và khu vực, các trường đại học và trung tâm nghiên cứu trên toàn cầu. Mục đích của Ban chỉ đạo là xác định các quy tắc và thử thách của cuộc thi, thành lập các đội tuyển thi đấu và quyết định tư cách hợp lệ của các ứng viên. Nhờ sự hỗ trợ và giúp đỡ của tất cả các đối tác tham gia vào Ban Chỉ đạo mà một loạt các hoạt động sâu rộng đã được thực hiện tốt tại ICC 2022. Tại sao lại là một cuộc thi an ninh mạng quốc tế? ICC 2022 Thiếu các kỹ năng và kiến ​​thức cần thiết để bảo vệ xã hội của chúng ta trước các cuộc tấn công mạng và giảm thiểu các mối đe dọa tiềm ẩn của chúng đối với thị trường. Vì vậy, điều quan trọng là cần giáo dục và đào tạo các thế hệ tương lai để nâng cao khả năng phục hồi của xã hội và đảm bảo một không gian mạng an toàn và bảo mật. ICC 2022 không chỉ là một cuộc thi, mục đích xa hơn là hỗ trợ giải quyết tình trạng thiếu chuyên gia bảo mật CNTT bằng cách thu hút và tập hợp các tài năng mạng hàng đầu từ khắp nơi trên thế giới. Nó thúc đẩy hơn nữa mối quan hệ hữu nghị giữa các khu vực tham dự, các quan chức và người thi đấu. Do đó, ICC 2022 nhằm nâng cao nhận thức chung về mạng và an ninh thông tin trong cộng đồng toàn cầu và thúc đẩy giáo dục kỹ năng cần thiết cho các tài năng trẻ trong lĩnh vực an ninh mạng. Bằng cách tiên phong trong việc thiết kế một thách thức quốc tế, ICC 2022 góp phần xây dựng nguyên tắc cho một xã hội an toàn mạng ở quy mô toàn cầu và xây dựng niềm tin vào các dịch vụ trực tuyến.

Thử thách an ninh mạng quốc tế lần thứ nhất ICC 2022

Cuộc thi CTF là gì?

CTF là gì? - CTF (viết tắt của Capture The Flag) là một dạng cuộc thi kiến thức chuyên sâu về Bảo mật thông tin được tổ chức theo mô hình thi đấu, thử thách người chơi tìm ra lời giải cho một vấn đề trong An ninh mạng.

CTF Jeopardy là gì?

Capture the Flag (CTF) là một dạng đặc biệt của cuộc thi Bảo Mật Thông Tin. Có 3 kiểu chơi CTFs: Jeopardy (tìm flag trong cách thử thách được BTC đưa ra), Attack-Defence(Tấn công và phòng thủ) và tổng hợp của 2 dạng trên.

Flag trong CTF là gì?

👉 Thông thường trong một cuộc thi CTF, các đội chơi sẽ ganh đua nhau để tìm ra một Mật mã đặc biệt được giấu bên trong server, hoặc phía sau một trang web. Mật mã này chính là Flag. Đội nào hack vào hệ thống của đối thủ và tìm ra Flag nhanh hơn sẽ giành chiến thắng vòng thi. Đó là lí do cái tên Capture The Flag ra đời!

Tại sao cần phải có an ninh mạng?

An ninh mạng rất quan trọng để bảo vệ dữ liệu, hệ thống và mạng của tổ chức, doanh nghiệp khỏi các cuộc tấn công của bọn tội phạm mạng. Các cuộc tấn công này có thể có tác động lớn đến các sáng kiến ​​chuyển đổi số, dẫn đến sự chậm trễ, gián đoạn và thậm chí là vi phạm dữ liệu.