Capture the flag (sicurezza informatica)

Le Capture the Flag (spesso abbreviata in CTF[1][2]) nella sicurezza informatica sono un tipo di competizione in cui i partecipanti tentano di trovare stringhe di testo, chiamate "flag", nascoste in programmi o siti web volutamente vulnerabili[3]. Vi si partecipa sia per scopi competitivi che educativi. Nelle due varianti principali di CTF, i partecipanti rubano bandiere da altre squadre (CTF attacco/difesa) o dall'infrastruttura degli organizzatori (CTF Jeopardy). Le CTF miste comprendono entrambi gli stili.[4] Le competizioni possono includere flag nascoste nei dispositivi hardware, possono essere organizzate sia online che fisicamente e possono andare da un livello facile ad uno più avanzato. Il nome deriva dallo sport all'aria aperta con lo stesso nome[5].

Una squadra che partecipa alla competizione CTF al DEF CON 17

Descrizione

modifica

Le Capture the Flag (CTF) sono competizioni di sicurezza informatica organizzate per testare e sviluppare le proprie competenze di sicurezza informatica. Sono nate nel 1996 al DEF CON, la più grande conferenza sulla sicurezza informatica degli Stati Uniti ospitata ogni anno a Las Vegas, Nevada.[6] Le attività della conferenza si svolgono in un solo fine settimana, compresa la CTF. I due formati di CTF più popolari sono le Jeopardy e l'attacco/difesa.[7] Entrambi i formati mettono alla prova le conoscenze dei partecipanti in materia di sicurezza informatica, ciò che cambia è il soggetto d'attacco. Nel formato Jeopardy, i team partecipanti devono completare il maggior numero di sfide (challenge) di varie categorie come crittografia, sicurezza web e reverse engineering.[8] Nel formato attacco-difesa, le squadre partecipanti devono difendere i propri sistemi informatici vulnerabili ed attaccare quelli degli avversari.[7]

Risvolti didattici

modifica

Le CTF hanno dimostrato di essere un modo efficace per migliorare le competenze in sicurezza informatica attraverso la gamification .[9] Esistono molti esempi di CTF progettate per insegnare competenze di sicurezza informatica a un'ampia varietà di pubblico, come la PicoCTF, organizzata dal Carnegie Mellon CyLab, rivolta agli studenti delle scuole superiori, e pwn.college, supportata dalla Arizona State University .[10][11][12] Oltre ad essere eventi e metodi d'insegnamento verticali, le CTF hanno dimostrato di essere un modo molto efficace per accelerare l'apprendimento di concetti di sicurezza informatica nei percorsi di studio tradizionali.[13][14] Le CTF sono state incluse nei corsi universitari di informatica nel corso "Introduzione alla sicurezza" presso la University of Southern California .[15] Le CTF sono anche popolari nelle accademie militari. Sono spesso incluse come parte del curriculum per i corsi di sicurezza informatica, come l'esercitazione informatica organizzata dalla NSA che include l'organizzazione di una CTF tra le accademie di servizio degli Stati Uniti e le università militari.[16]

Competizioni

modifica

Competizioni delle community

modifica

Ogni anno vengono organizzate dozzine di CTF. Molte di queste fanno parte di conferenze sulla sicurezza informatica come DEF CON, HITCON e BSides . La DEF CON CTF, una competizione attacco/difesa, è nota per essere una delle più antiche competizioni, tanto da venire rinominata "World Series",[17] "Superbowl",[12][18] e " Olimpiadi",[19] di hacking dai media statunitensi. La NYU Tandon ha ospitato il Cybersecurity Awareness Worldwide (CSAW) CTF, una delle più grandi competizioni a ingresso libero per studenti appassionati di tutto il mondo.[8]Nel 2021 oltre 1200 squadre hanno preso parte al turno di qualificazione.[20]

Oltre alle CTF organizzate da conferenze, molti club e le stesse squadre organizzano competizioni CTF.[21] Diverse squadre sono associate alle università della propria città, come il team Plaid Parliament of Pwning associato alla CMU, che organizza la PlaidCTF.[8]

Competizioni sostenute dai governi

modifica

Tra le competizioni governative troviamo la DARPA Cyber Grand Challenge e l'ENISA European Cybersecurity Challenge. Nel 2023, la competizione Hack-a-Sat CTF sponsorizzata dalla US Space Force includeva un satellite orbitale che i partecipanti potevano violare mentre questo era in orbita.[22]

Competizioni supportate dalle aziende

modifica

Aziende e altre organizzazioni possono utilizzare le CTF come per formare o valutare i dipendenti ed i processi aziendali. I vantaggi delle CTF sono simili a quelli dell'utilizzo delle CTF in un ambiente educativo. Oltre agli gare interne, alcune società come Google e Tencent ospitano concorsi CTF aperte anche al pubblico.

Nella cultura popolare

modifica
  • In Mr. Robot, i video di un turno di qualificazione della DEF CON CTF vengono mostrati nell'intro della stagione 3 "eps3.0_power-saver-mode.h"
  • In The Undeclared War, una CTF appare nella scena iniziale della serie mentre viene utilizzata come esercizio di reclutamento dal GCHQ[23]
  • Go Go Squid!, è una serie televisiva incentrata sugli allenamenti e le CTF.[24]
  1. ^ (EN) A Capture-the-Flag (CTF) Exercise Explained, su cybexer.com. URL consultato l'11 novembre 2023.
  2. ^ (EN) David Tidmarsh, Why Is Capture the Flag (CTF) Important in Cyber Security?, su Eccouncil.org, 27 settembre 2023. URL consultato l'11 novembre 2023.
  3. ^ Vincenzo Digilio, Capture The Flag: così i team di hacking individuano le vulnerabilità in software e sistemi, su Cyber Security 360, 4 maggio 2021. URL consultato l'11 novembre 2023.
  4. ^ (EN) What is Capture The Flag?, su ctftime.org. URL consultato l'11 novembre 2023.
  5. ^ (EN) Eric Brown, CTF Hacking: What is Capture the Flag for a Newbie?, su AT&T Cybersecurity, 23 dicembre 2019. URL consultato l'11 novembre 2023.
  6. ^ vol. 1, pp. 120–129 vol.1, DOI:10.1109/DISCEX.2003.1194878, ISBN 0-7695-1897-4.
  7. ^ a b (EN) meusec.com, https://www.meusec.com/ctf/capture-the-flags-in-cybersecurity/. URL consultato il 2 novembre 2022.
  8. ^ a b c (EN)
  9. ^ (EN) DOI:10.1007/s10639-022-11451-4, ISSN 1573-7608 (WC · ACNP), PMID 36855694, https://oadoi.org/10.1007/s10639-022-11451-4.
  10. ^ (EN) ASU News, https://news.asu.edu/20210215-asu-cybersecurity-dojo-pwn-college-thwart-cyberattacks. URL consultato il 18 luglio 2023.
  11. ^ (EN) cylab.cmu.edu, https://www.cylab.cmu.edu/news/2023/02/0220-picoctf.html. URL consultato il 18 luglio 2023.
  12. ^ a b (EN) Pittsburgh Post-Gazette, https://www.post-gazette.com/news/education/2017/04/09/hacking-carnegie-mellon-cmu-pico-ctf-ppp-david-brumley-DefCon-Capture-the-Flag/stories/201704090092. URL consultato il 18 luglio 2023.
  13. ^ pp. 5479–5486, DOI:10.1109/HICSS.2016.677, ISBN 978-0-7695-5670-3.
  14. ^ SIGITE '17, pp. 47–52, DOI:10.1145/3125659.3125686, ISBN 978-1-4503-5100-3.
  15. ^ pp. 752–758, DOI:10.1145/3328778.3366893, ISBN 9781450367936.
  16. ^ nsa.gov, https://www.nsa.gov/Cybersecurity/NSA-Cyber-Exercise/. URL consultato il 18 luglio 2023.
  17. ^ (EN) CNBC, https://www.cnbc.com/2013/11/08/defcon-capture-the-flag-competition-is-only-for-top-hackers.html. URL consultato il 18 luglio 2023.
  18. ^ (EN) cmu.edu, https://www.cmu.edu/news/stories/archives/2022/august/cmu-hacking-team-wins-super-bowl-of-hacking-for-6th-time. URL consultato il 18 luglio 2023.
  19. ^ (EN) https://www.reuters.com/technology/hacker-tournament-brings-together-worlds-best-las-vegas-2022-08-17/.
  20. ^ (EN) CSAW, https://www.csaw.io/ctf. URL consultato il 2 novembre 2022.
  21. ^ Cybercompetitions: A survey of competitions, tools, and systems to support cybersecurity education, in Education and Information Technologies, 24 febbraio 2023, pp. 1–33, DOI:10.1007/s10639-022-11451-4, ISSN 1360-2357 (WC · ACNP), PMID 36855694.
  22. ^ (EN) theregister.com, https://www.theregister.com/2023/06/03/moonlighter_satellite_hacking/. URL consultato il 18 luglio 2023.
  23. ^ (EN) ISSN 0261-3077 (WC · ACNP), https://www.theguardian.com/tv-and-radio/2022/jul/07/some-staff-work-behind-armoured-glass-a-cybersecurity-expert-on-the-undeclared-war.
  24. ^ https://www.imdb.com/title/tt10369876/.

Voci correlate

modifica

Collegamenti esterni

modifica
  • ctftime.org - un archivio di competizioni CTF passate, in corso e pianificate.
  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica