التقاط العلم (أمن سيبراني)

التقاط العلم (CTF) في أمن الكمبيوتر هو تمرين يحاول فيه المشاركون العثور على سلاسل نصية، تسمى "الأعلام"، والتي يتم إخفاؤها سراً في البرامج أو المواقع الإلكترونية المعرضة للخطر عمداً. تستخدم لأغراض تنافسية وتعليمية. ^[1] يمكن أن تتضمن المسابقات إخفاء الأعلام في الأجهزة، ويمكن أن تكون عبر الإنترنت أو شخصيًا، ويمكن أن تكون على مستوى متقدم أو مبتدئ. اسم اللعبة مستوحى من أمسك العلم الواقعية. تُستخدم تحديات التقاط العلم كأداة لتطوير وتحسين مهارات الأمن السيبراني، مما يجعلها شائعة في البيئات المهنية والأكاديمية. قد يكون هناك نوعان رئيسيان من التحديات، يقوم المشاركون إما بسرقة الأعلام من المشاركين الآخرين (نمط الهجوم/الدفاع) أو من المنظمين (نمط المخاطرة).

ملخص

التقاط العلم (CTF) مسابقة للأمن السيبراني تستخدم لاختبار وتطوير مهارات أمن الكمبيوتر. تم تطويره لأول مرة في عام 1996 في ديف كون ، أكبر مؤتمر للأمن السيبراني في الولايات المتحدة والذي يقام سنويًا في لاس فيجاس ، نيفادا. ^[2] ويستضيف في عطلة نهاية الأسبوع مسابقات تشمل التقاط العلم.

هناك نوعان رئيسيان من تحديات CTF، وهما نماذج الخطر والهجوم والدفاع. يختبر كلا النوعين معرفة المشاركين في مجال الأمن السيبراني، لكنهما يختلفان في الأهداف. في نموذج Jeopardy، يتوجب على الفرق المشاركة حل أكبر عدد ممكن من التحديات التي تتنوع في نقاطها من فئات مختلفة مثل التشفير، واستغلال الويب، والهندسة العكسية. أما في نموذج الهجوم والدفاع، فيتنافس الفرق على حماية أنظمتها الضعيفة بينما تهاجم أنظمة الفرق المنافسة.

يتضمن التمرين مجموعة متنوعة من المهام، بما في ذلك استغلال وكسر كلمات المرور، ولكن هناك أدلة محدودة توضح كيفية ترجمة هذه المهام إلى معرفة يمتلكها خبراء الأمن في مجال الأمن السيبراني. أظهرت الأبحاث الحديثة أن مهام "الاستيلاء على العلم" تركزت بشكل أساسي على المعرفة التقنية، لكنها تفتقر إلى تناول الموضوعات الاجتماعية مثل الهندسة الاجتماعية والتوعية بالأمن السيبراني.

التطبيقات التعليمية

ثبت أن التقاط العلم طريقة فعالة لتعلم الأمن السيبراني باللعب. ^[3] هناك العديد من الأمثلة على CTFs المصممة لتعليم مهارات الأمن السيبراني لمجموعة واسعة من الجماهير، بما في ذلك PicoCTF، التي نظمتها Carnegie Mellon CyLab ، والتي تستهدف طلاب المدارس الثانوية، وجامعة ولاية أريزونا المدعومة pwn.college. ^[4] ^[5] ^[6] إلى جانب الأحداث والموارد التعليمية التي تنظمها CTF، فقد ثبت أن CTFs هي طريقة فعالة للغاية لغرس مفاهيم الأمن السيبراني في الفصل الدراسي. ^[7] ^[8] في فصول علوم الكمبيوتر الجامعية مثل مقدمة لأمن المعلومات في الجامعة الوطنية في سنغافورة . ^[9] تحظى فرق التدريب القتالي بشعبية كبيرة في الأكاديميات العسكرية، وغالبًا ما تُدرج كجزء من المناهج الدراسية لدورات الأمن السيبراني. قامت وكالة الأمن القومي بتنظيم تمرين سيبراني culminated في مسابقة CTF بين الأكاديميات العسكرية الأمريكية والكليات العسكرية.^[10]

المسابقات

يقوم العديد من منظمي CTF بتسجيل مسابقاتهم على منصة CTFtime، مما يتيح تتبع أداء الفرق على مدار الوقت وعبر المسابقات. تشمل الفرق الشهيرة "برلمان بلايد أوف بونينج"، و"المزيد من دجاج ليت المدخن"، و"قطاع التنين"، و"دي سي يو إيه"، و"تناول الطعام، والنوم، والبون، والتكرار"، و"الأزرق المثالي"، و"المنظمون"، و"المياه الزرقاء". بشكل عام، حققت كل من "برلمان بلايد للرماية" و"قطاع التنين" المركز الأول عالميًا ثلاث مرات لكل منهما.

مسابقات مجتمعية

تُنظم العديد من فرق العمل المجتمعية سنويًا في أشكال متنوعة. ترتبط العديد من تحديات CTF بمؤتمرات الأمن السيبراني مثل DEF CON وHITCON وBSides. تُعتبر بطولة DEF CON CTF، التي تجمع بين الهجوم والدفاع، واحدة من أقدم بطولات CTF على الإطلاق، وقد أُشير إليها بعبارات مختلفة مثل "سلسلة العالم"، و"السوبر بول"، و"الألعاب الأولمبية" بسبب تغطيتها الإعلامية الواسعة. استضافت جامعة نيويورك تاندون مسابقة التوعية بالأمن السيبراني العالمية (CSAW)، التي تُعد من أكبر المسابقات المفتوحة للطلاب المهتمين بالأمن السيبراني من جميع أنحاء العالم. في عام 2021، شارك أكثر من 1200 فريق خلال الجولة التأهيلية.

تقوم العديد من أندية وفرق CTF بتنظيم مسابقات CTF. يرتبط العديد من هذه الأندية بالجامعات، مثل "Plaid Parliament of Pwning" المرتبطة بجامعة CMU، والتي تستضيف مسابقة PlaidCTF، و"Shellphish" المرتبطة بجامعة ولاية أريزونا.

المسابقات المدعومة من الحكومة

تتضمن مسابقات CTF المدعومة من الحكومة تحدي DARPA Cyber Grand Challenge وتحدي الأمن السيبراني الأوروبي ENISA. في عام 2023، شملت مسابقة Hack-a-Sat CTF التي ترعاها قوة الفضاء الأمريكية، ولأول مرة، قمرًا صناعيًا مداريًا حيًا يمكن استغلاله من قبل المشاركين.

المسابقات المدعومة من الشركات

تستخدم الشركات والمنظمات في بعض الأحيان أدوات التقييم والاختبار كوسيلة للتدريب أو التقييم. فوائد أدوات التعلم التعاوني مشابهة لتلك التي تتواجد في البيئات التعليمية. بالإضافة إلى تمارين CTF الداخلية، تستضيف بعض الشركات مثل Google وTencent مسابقات CTF يمكن الوصول إليها علنًا.

في الثقافة الشعبية

Mr. Robot ، تم تصوير جولة تأهيلية لمسابقة DEF CON CTF في الحلقة الافتتاحية للموسم الثالث "eps3.0_power-saver-mode.h"
في فيلم The Undeclared War ، تم تصوير CTF في المشهد الافتتاحي للمسلسل كتمرين تجنيد يستخدمه GCHQ ^[11]
إذهب إذهب أيها الحبار! ، وهو مسلسل تلفزيوني صيني، يعتمد على التدريب والتنافس في مسابقات CTF المصممة بشكل كبير. ^[12]

انظر أيضا

لعبة حربية (اختراق)
الاستعداد للحرب السيبرانية
هاكاثونات
البرمجة التنافسية
الأمن السيبراني في الثقافة الشعبية
خصوصية

المراجع

^ "CTFtime.org / What is Capture The Flag?". ctftime.org. اطلع عليه بتاريخ 2023-08-15.
^ Cowan، C.؛ Arnold، S.؛ Beattie، S.؛ Wright، C.؛ Viega، J. (أبريل 2003). "Defcon Capture the Flag: Defending vulnerable code from intense attack". Proceedings DARPA Information Survivability Conference and Exposition. ج. 1. ص. 120–129 vol.1. DOI:10.1109/DISCEX.2003.1194878. ISBN:0-7695-1897-4. S2CID:18161204.
^ Balon, Tyler; Baggili, Ibrahim (Abe) (24 Feb 2023). "Cybercompetitions: A survey of competitions, tools, and systems to support cybersecurity education". Education and Information Technologies (بالإنجليزية). 28 (9): 11759–11791. DOI:10.1007/s10639-022-11451-4. ISSN:1573-7608. PMC:9950699. PMID:36855694.
^ "ASU's cybersecurity dojo". ASU News (بالإنجليزية). 15 Feb 2021. Retrieved 2023-07-18.
^ "picoCTF aims to close the cybersecurity talent gap". www.cylab.cmu.edu (بالإنجليزية). Retrieved 2023-07-18.
^ "Wanted: hackers. Reward: the best may get a spot at CMU". Pittsburgh Post-Gazette (بالإنجليزية). Retrieved 2023-07-18.
^ McDaniel، Lucas؛ Talvi، Erik؛ Hay، Brian (يناير 2016). "Capture the Flag as Cyber Security Introduction". 2016 49th Hawaii International Conference on System Sciences (HICSS). ص. 5479–5486. DOI:10.1109/HICSS.2016.677. ISBN:978-0-7695-5670-3. S2CID:35062822.
^ Leune، Kees؛ Petrilli، Salvatore J. (27 سبتمبر 2017). "Using Capture-the-Flag to Enhance the Effectiveness of Cybersecurity Education". Proceedings of the 18th Annual Conference on Information Technology Education. SIGITE '17. New York, NY, USA: Association for Computing Machinery. ص. 47–52. DOI:10.1145/3125659.3125686. ISBN:978-1-4503-5100-3. S2CID:46465063.
^ Vykopal، Jan؛ Švábenský، Valdemar؛ Chang، Ee-Chien (26 فبراير 2020). "Benefits and Pitfalls of Using Capture the Flag Games in University Courses". Proceedings of the 51st ACM Technical Symposium on Computer Science Education. ص. 752–758. arXiv:2004.11556. DOI:10.1145/3328778.3366893. ISBN:9781450367936. S2CID:211519195.
^ "National Security Agency/Central Security Service > Cybersecurity > NSA Cyber Exercise". www.nsa.gov. اطلع عليه بتاريخ 2023-07-18.
^ Woodward, Alan (7 Jul 2022). "'Some staff work behind armoured glass': a cybersecurity expert on The Undeclared War". The Guardian (بالإنجليزية البريطانية). ISSN:0261-3077. Archived from the original on 2022-07-07. Retrieved 2023-07-18.
^ Qin ai de, re ai de (Drama, Romance, Sport)، Zi Yang, Xian Li, Mingde Li، Shanghai GCOO Entertainment، 9 يوليو 2019، اطلع عليه بتاريخ 2023-08-15{{استشهاد}}: صيانة الاستشهاد: آخرون (link)

[1] "CTFtime.org / What is Capture The Flag?". ctftime.org. اطلع عليه بتاريخ 2023-08-15.

[2] Cowan، C.؛ Arnold، S.؛ Beattie، S.؛ Wright، C.؛ Viega، J. (أبريل 2003). "Defcon Capture the Flag: Defending vulnerable code from intense attack". Proceedings DARPA Information Survivability Conference and Exposition. ج. 1. ص. 120–129 vol.1. DOI:10.1109/DISCEX.2003.1194878. ISBN:0-7695-1897-4. S2CID:18161204.

[3] Balon, Tyler; Baggili, Ibrahim (Abe) (24 Feb 2023). "Cybercompetitions: A survey of competitions, tools, and systems to support cybersecurity education". Education and Information Technologies (بالإنجليزية). 28 (9): 11759–11791. DOI:10.1007/s10639-022-11451-4. ISSN:1573-7608. PMC:9950699. PMID:36855694.

[4] "ASU's cybersecurity dojo". ASU News (بالإنجليزية). 15 Feb 2021. Retrieved 2023-07-18.

[5] "picoCTF aims to close the cybersecurity talent gap". www.cylab.cmu.edu (بالإنجليزية). Retrieved 2023-07-18.

[:1-6] "Wanted: hackers. Reward: the best may get a spot at CMU". Pittsburgh Post-Gazette (بالإنجليزية). Retrieved 2023-07-18.

[:0-7] McDaniel، Lucas؛ Talvi، Erik؛ Hay، Brian (يناير 2016). "Capture the Flag as Cyber Security Introduction". 2016 49th Hawaii International Conference on System Sciences (HICSS). ص. 5479–5486. DOI:10.1109/HICSS.2016.677. ISBN:978-0-7695-5670-3. S2CID:35062822.

[:4-8] Leune، Kees؛ Petrilli، Salvatore J. (27 سبتمبر 2017). "Using Capture-the-Flag to Enhance the Effectiveness of Cybersecurity Education". Proceedings of the 18th Annual Conference on Information Technology Education. SIGITE '17. New York, NY, USA: Association for Computing Machinery. ص. 47–52. DOI:10.1145/3125659.3125686. ISBN:978-1-4503-5100-3. S2CID:46465063.

[9] Vykopal، Jan؛ Švábenský، Valdemar؛ Chang، Ee-Chien (26 فبراير 2020). "Benefits and Pitfalls of Using Capture the Flag Games in University Courses". Proceedings of the 51st ACM Technical Symposium on Computer Science Education. ص. 752–758. arXiv:2004.11556. DOI:10.1145/3328778.3366893. ISBN:9781450367936. S2CID:211519195.

[10] "National Security Agency/Central Security Service > Cybersecurity > NSA Cyber Exercise". www.nsa.gov. اطلع عليه بتاريخ 2023-07-18.

[11] Woodward, Alan (7 Jul 2022). "'Some staff work behind armoured glass': a cybersecurity expert on The Undeclared War". The Guardian (بالإنجليزية البريطانية). ISSN:0261-3077. Archived from the original on 2022-07-07. Retrieved 2023-07-18.

[12] Qin ai de, re ai de (Drama, Romance, Sport)، Zi Yang, Xian Li, Mingde Li، Shanghai GCOO Entertainment، 9 يوليو 2019، اطلع عليه بتاريخ 2023-08-15{{استشهاد}}: صيانة الاستشهاد: آخرون (link)

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]