Capture the flag (sicurezza informatica)

Le Capture the Flag (spesso abbreviata in CTF^[1]^[2]) nella sicurezza informatica sono un tipo di competizione in cui i partecipanti tentano di trovare stringhe di testo, chiamate "flag", nascoste in programmi o siti web volutamente vulnerabili^[3]. Vi si partecipa sia per scopi competitivi che educativi. Nelle due varianti principali di CTF, i partecipanti rubano bandiere da altre squadre (CTF attacco/difesa) o dall'infrastruttura degli organizzatori (CTF Jeopardy). Le CTF miste comprendono entrambi gli stili.^[4] Le competizioni possono includere flag nascoste nei dispositivi hardware, possono essere organizzate sia online che fisicamente e possono andare da un livello facile ad uno più avanzato. Il nome deriva dallo sport all'aria aperta con lo stesso nome^[5].

Descrizione

Le Capture the Flag (CTF) sono competizioni di sicurezza informatica organizzate per testare e sviluppare le proprie competenze di sicurezza informatica. Sono nate nel 1996 al DEF CON, la più grande conferenza sulla sicurezza informatica degli Stati Uniti ospitata ogni anno a Las Vegas, Nevada.^[6] Le attività della conferenza si svolgono in un solo fine settimana, compresa la CTF. I due formati di CTF più popolari sono le Jeopardy e l'attacco/difesa.^[7] Entrambi i formati mettono alla prova le conoscenze dei partecipanti in materia di sicurezza informatica, ciò che cambia è il soggetto d'attacco. Nel formato Jeopardy, i team partecipanti devono completare il maggior numero di sfide (challenge) di varie categorie come crittografia, sicurezza web e reverse engineering.^[8] Nel formato attacco-difesa, le squadre partecipanti devono difendere i propri sistemi informatici vulnerabili ed attaccare quelli degli avversari.^[7]

Risvolti didattici

Le CTF hanno dimostrato di essere un modo efficace per migliorare le competenze in sicurezza informatica attraverso la gamification .^[9] Esistono molti esempi di CTF progettate per insegnare competenze di sicurezza informatica a un'ampia varietà di pubblico, come la PicoCTF, organizzata dal Carnegie Mellon CyLab, rivolta agli studenti delle scuole superiori, e pwn.college, supportata dalla Arizona State University .^[10]^[11]^[12] Oltre ad essere eventi e metodi d'insegnamento verticali, le CTF hanno dimostrato di essere un modo molto efficace per accelerare l'apprendimento di concetti di sicurezza informatica nei percorsi di studio tradizionali.^[13]^[14] Le CTF sono state incluse nei corsi universitari di informatica nel corso "Introduzione alla sicurezza" presso la University of Southern California .^[15] Le CTF sono anche popolari nelle accademie militari. Sono spesso incluse come parte del curriculum per i corsi di sicurezza informatica, come l'esercitazione informatica organizzata dalla NSA che include l'organizzazione di una CTF tra le accademie di servizio degli Stati Uniti e le università militari.^[16]

Competizioni

Competizioni delle community

Ogni anno vengono organizzate dozzine di CTF. Molte di queste fanno parte di conferenze sulla sicurezza informatica come DEF CON, HITCON e BSides . La DEF CON CTF, una competizione attacco/difesa, è nota per essere una delle più antiche competizioni, tanto da venire rinominata "World Series",^[17] "Superbowl",^[12]^[18] e " Olimpiadi",^[19] di hacking dai media statunitensi. La NYU Tandon ha ospitato il Cybersecurity Awareness Worldwide (CSAW) CTF, una delle più grandi competizioni a ingresso libero per studenti appassionati di tutto il mondo.^[8]Nel 2021 oltre 1200 squadre hanno preso parte al turno di qualificazione.^[20]

Oltre alle CTF organizzate da conferenze, molti club e le stesse squadre organizzano competizioni CTF.^[21] Diverse squadre sono associate alle università della propria città, come il team Plaid Parliament of Pwning associato alla CMU, che organizza la PlaidCTF.^[8]

Competizioni sostenute dai governi

Tra le competizioni governative troviamo la DARPA Cyber Grand Challenge e l'ENISA European Cybersecurity Challenge. Nel 2023, la competizione Hack-a-Sat CTF sponsorizzata dalla US Space Force includeva un satellite orbitale che i partecipanti potevano violare mentre questo era in orbita.^[22]

Competizioni supportate dalle aziende

Aziende e altre organizzazioni possono utilizzare le CTF come per formare o valutare i dipendenti ed i processi aziendali. I vantaggi delle CTF sono simili a quelli dell'utilizzo delle CTF in un ambiente educativo. Oltre agli gare interne, alcune società come Google e Tencent ospitano concorsi CTF aperte anche al pubblico.

Nella cultura popolare

In Mr. Robot, i video di un turno di qualificazione della DEF CON CTF vengono mostrati nell'intro della stagione 3 "eps3.0_power-saver-mode.h"
In The Undeclared War, una CTF appare nella scena iniziale della serie mentre viene utilizzata come esercizio di reclutamento dal GCHQ^[23]
Go Go Squid!, è una serie televisiva incentrata sugli allenamenti e le CTF.^[24]

Note

^ (EN) A Capture-the-Flag (CTF) Exercise Explained, su cybexer.com. URL consultato l'11 novembre 2023.
^ (EN) David Tidmarsh, Why Is Capture the Flag (CTF) Important in Cyber Security?, su Eccouncil.org, 27 settembre 2023. URL consultato l'11 novembre 2023.
^ Vincenzo Digilio, Capture The Flag: così i team di hacking individuano le vulnerabilità in software e sistemi, su Cyber Security 360, 4 maggio 2021. URL consultato l'11 novembre 2023.
^ (EN) What is Capture The Flag?, su ctftime.org. URL consultato l'11 novembre 2023.
^ (EN) Eric Brown, CTF Hacking: What is Capture the Flag for a Newbie?, su AT&T Cybersecurity, 23 dicembre 2019. URL consultato l'11 novembre 2023.
^ vol. 1, pp. 120–129 vol.1, DOI:10.1109/DISCEX.2003.1194878, ISBN 0-7695-1897-4.
^ ^a ^b (EN) meusec.com, https://www.meusec.com/ctf/capture-the-flags-in-cybersecurity/ Titolo mancante per url url (aiuto). URL consultato il 2 novembre 2022.
^ ^a ^b ^c (EN)
^ (EN) DOI:10.1007/s10639-022-11451-4, ISSN 1573-7608 (WC · ACNP), PMID 36855694, https://oadoi.org/10.1007/s10639-022-11451-4.
^ (EN) ASU News, https://news.asu.edu/20210215-asu-cybersecurity-dojo-pwn-college-thwart-cyberattacks Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.
^ (EN) cylab.cmu.edu, https://www.cylab.cmu.edu/news/2023/02/0220-picoctf.html Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.
^ ^a ^b (EN) Pittsburgh Post-Gazette, https://www.post-gazette.com/news/education/2017/04/09/hacking-carnegie-mellon-cmu-pico-ctf-ppp-david-brumley-DefCon-Capture-the-Flag/stories/201704090092 Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.
^ pp. 5479–5486, DOI:10.1109/HICSS.2016.677, ISBN 978-0-7695-5670-3.
^ SIGITE '17, pp. 47–52, DOI:10.1145/3125659.3125686, ISBN 978-1-4503-5100-3.
^ pp. 752–758, DOI:10.1145/3328778.3366893, ISBN 9781450367936.
^ nsa.gov, https://www.nsa.gov/Cybersecurity/NSA-Cyber-Exercise/ Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.
^ (EN) CNBC, https://www.cnbc.com/2013/11/08/defcon-capture-the-flag-competition-is-only-for-top-hackers.html Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.
^ (EN) cmu.edu, https://www.cmu.edu/news/stories/archives/2022/august/cmu-hacking-team-wins-super-bowl-of-hacking-for-6th-time Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.
^ (EN) https://www.reuters.com/technology/hacker-tournament-brings-together-worlds-best-las-vegas-2022-08-17/.
^ (EN) CSAW, https://www.csaw.io/ctf Titolo mancante per url url (aiuto). URL consultato il 2 novembre 2022.
^ Cybercompetitions: A survey of competitions, tools, and systems to support cybersecurity education, in Education and Information Technologies, 24 febbraio 2023, pp. 1–33, DOI:10.1007/s10639-022-11451-4, ISSN 1360-2357 (WC · ACNP), PMID 36855694.
^ (EN) theregister.com, https://www.theregister.com/2023/06/03/moonlighter_satellite_hacking/ Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.
^ (EN) ISSN 0261-3077 (WC · ACNP), https://www.theguardian.com/tv-and-radio/2022/jul/07/some-staff-work-behind-armoured-glass-a-cybersecurity-expert-on-the-undeclared-war.
^ https://www.imdb.com/title/tt10369876/.

Voci correlate

Collegamenti esterni

ctftime.org - un archivio di competizioni CTF passate, in corso e pianificate.

Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica

[1] (EN) A Capture-the-Flag (CTF) Exercise Explained, su cybexer.com. URL consultato l'11 novembre 2023.

[2] (EN) David Tidmarsh, Why Is Capture the Flag (CTF) Important in Cyber Security?, su Eccouncil.org, 27 settembre 2023. URL consultato l'11 novembre 2023.

[3] Vincenzo Digilio, Capture The Flag: così i team di hacking individuano le vulnerabilità in software e sistemi, su Cyber Security 360, 4 maggio 2021. URL consultato l'11 novembre 2023.

[4] (EN) What is Capture The Flag?, su ctftime.org. URL consultato l'11 novembre 2023.

[5] (EN) Eric Brown, CTF Hacking: What is Capture the Flag for a Newbie?, su AT&T Cybersecurity, 23 dicembre 2019. URL consultato l'11 novembre 2023.

[6] vol. 1, pp. 120–129 vol.1, DOI:10.1109/DISCEX.2003.1194878, ISBN 0-7695-1897-4.

[:2-7] (EN) meusec.com, https://www.meusec.com/ctf/capture-the-flags-in-cybersecurity/ Titolo mancante per url url (aiuto). URL consultato il 2 novembre 2022.

[:3-8] (EN)

[9] (EN) DOI:10.1007/s10639-022-11451-4, ISSN 1573-7608 (WC · ACNP), PMID 36855694, https://oadoi.org/10.1007/s10639-022-11451-4.

[10] (EN) ASU News, https://news.asu.edu/20210215-asu-cybersecurity-dojo-pwn-college-thwart-cyberattacks Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.

[11] (EN) cylab.cmu.edu, https://www.cylab.cmu.edu/news/2023/02/0220-picoctf.html Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.

[:1-12] (EN) Pittsburgh Post-Gazette, https://www.post-gazette.com/news/education/2017/04/09/hacking-carnegie-mellon-cmu-pico-ctf-ppp-david-brumley-DefCon-Capture-the-Flag/stories/201704090092 Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.

[:0-13] . 5479–5486, DOI:10.1109/HICSS.2016.677, ISBN 978-0-7695-5670-3.

[:4-14] SIGITE '17, pp. 47–52, DOI:10.1145/3125659.3125686, ISBN 978-1-4503-5100-3.

[15] . 752–758, DOI:10.1145/3328778.3366893, ISBN 9781450367936.

[16] sa.gov, https://www.nsa.gov/Cybersecurity/NSA-Cyber-Exercise/ Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.

[17] (EN) CNBC, https://www.cnbc.com/2013/11/08/defcon-capture-the-flag-competition-is-only-for-top-hackers.html Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.

[18] (EN) cmu.edu, https://www.cmu.edu/news/stories/archives/2022/august/cmu-hacking-team-wins-super-bowl-of-hacking-for-6th-time Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.

[19] (EN) https://www.reuters.com/technology/hacker-tournament-brings-together-worlds-best-las-vegas-2022-08-17/.

[:5-20] (EN) CSAW, https://www.csaw.io/ctf Titolo mancante per url url (aiuto). URL consultato il 2 novembre 2022.

[21] Cybercompetitions: A survey of competitions, tools, and systems to support cybersecurity education, in Education and Information Technologies, 24 febbraio 2023, pp. 1–33, DOI:10.1007/s10639-022-11451-4, ISSN 1360-2357 (WC · ACNP), PMID 36855694.

[22] (EN) theregister.com, https://www.theregister.com/2023/06/03/moonlighter_satellite_hacking/ Titolo mancante per url url (aiuto). URL consultato il 18 luglio 2023.

[23] (EN) ISSN 0261-3077 (WC · ACNP), https://www.theguardian.com/tv-and-radio/2022/jul/07/some-staff-work-behind-armoured-glass-a-cybersecurity-expert-on-the-undeclared-war.

[24] ttps://www.imdb.com/title/tt10369876/.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]