CTF Nedir? | Capture The Flag
Bu yazıda Siber Güvenlik alanına ilgisi olanların ismini mutlaka duyduğu CTF yani açılımı Capture The Flag olan yarışmalarını ele alacağız. CTF‘ler özellikle Siber Güvenlik alanının Kırmızı ve Mavi takımlarının sürekli egzersiz yapmalarına, laboratuvarlar çözmelerine ve yeni zafiyetleri canlı bir sistemde test edip exploit etmelerine imkan sağlamaktadır. Gerçek sistemleri kullanarak buralarda güvenliği açığı aranabilir ancak zarar verme riski her zaman vardır. Fakat CTF’leri kullanarak çeşitli güvenlik açıklarını test edip bunlar üzerinde alıştırma yapmak çok daha sağlıklıdır. Katıldığınız CTF’leri çözerek wirte-up’larını bloglarda paylaşabilirsiniz.
CTF anlamı nedir diye bakacak olursak, İngilizce “Capture The Flag” yani “bayrağı yakala” demektir. Burada ki bayrak ise yarışmaların çeşitli bölümleri ve sonlarında elde edilen flag değeridir.
CTF yarışmalarına katılarak kırmızı takım veya mavi takım kategorilerinde çözümler yaparak kendi araç setinizi de oluşturabilirsiniz. Kendi CTF araç setinizi oluşturarak hem zamandan kazanabilirsiniz hem de daha derinlemesine nasıl araştırma yapılacağını daha iyi kavrayabilirsiniz.
CTF TÜRLERİ
CTF yarışmaları farklı türlerde olmaktadır. Bu türler yarışmayı düzenleyen organizatörlerin hayal gücüne bağlı olarak değişiklik göstermektedir. CTF’e katılan yarışmacılara farklı deneyimler sunmak için aşağıda yer alan türlerden birisini ya da kendi stillerinde daha farklı türlerde düzenlenmektedir.
CTF Türü | Açıklama |
Jeopardy | Farklı kategorilerde çeşitli zorluk seviyelerinde sorular içeren bir format. Katılımcılar, soruları çözerek puan toplar. |
Attack-Defense | Katılımcılar kendi sistemlerini korurken diğer takımların sistemlerine saldırır. Hem savunma hem de saldırı yetenekleri test edilir. |
King of the Hill (KOTH) | Belirli bir hedef sistemi ele geçirme ve belirli bir süre boyunca kontrol altında tutma üzerine kurulu bir format. |
Boot2Root | Katılımcıların bir sistemi tamamen ele geçirmesi gereken ve genellikle adım adım ilerleyen bir format. |
Mixed/Hybrid | Jeopardy ve Attack-Defense formatlarının karışımı olan CTF’ler. Çeşitli görevler ve saldırı-savunma bölümleri içerir. |
OSINT CTF | Açık kaynaklardan bilgi toplama ve analiz etme üzerine odaklanan yarışmalar. |
Puzzle-based | Genellikle mantık ve problem çözme yeteneklerini test eden bulmaca ve oyun tabanlı görevler içerir. |
CTF KATEGORİLERİ
CTF yarışmaları içerisinde Siber Güvenliğin bir çok alanından sorular bulunmaktadır. Bu sorular genellikle basamaklar halinde bir diğer soruya geçmenizi sağlamaktadır. Aynı zamanda kişinin hangi alanlarda daha yetkin hangi alanlarda kendini geliştirmesi gerektiğini görmesi açısından oldukça faydalıdır. CTF yarışmalarının kategorilerini aşağıda sıralayalım.
Kategori | Açıklama |
Pwn (Exploitation) | Yazılım güvenlik açıklarını kullanarak sistemleri ele geçirme üzerine odaklanır. |
Reverse Engineering | Derlenmiş bir yazılımın kaynak kodunu analiz etme ve işlevlerini anlama işlemi. |
Crypto (Kriptografi) | Şifreleme algoritmalarını çözme ve şifreli mesajları kırma ile ilgilenir. |
Web Exploitation | Web uygulamalarındaki güvenlik açıklarını bulma ve istismar etme. |
Forensics (Adli Bilişim) | Dijital delilleri analiz etme, veri kurtarma ve olay inceleme süreçlerini kapsar. |
Binary Exploitation | İkili dosyalardaki (binary) güvenlik açıklarını bulma ve istismar etme. |
Steganography | Gizli bilgilerin dosyalar içinde saklanmasını ve bu bilgilerin bulunmasını içerir. |
Miscellaneous (Diğer) | Çeşitli kategorilere girmeyen farklı ve yaratıcı görevler içerebilir. |
Programming | Kod yazma ve algoritma problemlerini çözme üzerine odaklanır. |
OSINT (Open Source Intelligence) | Açık kaynaklardan bilgi toplama ve analiz etme görevleri. |
Networking | Ağ protokolleri ve ağ analizi ile ilgili problemleri çözme. |
Reversing | Genellikle yazılımın çalışmasını tersine mühendislik yaparak anlama ve değiştirme. |
CTF türleri ve kategorilerini hazırlarken katılımcılardan geliştirmesi ve kazanmaları amaçlanan bazı nitelikler bulunmaktadır. Bu nitelikler Siber Güvenlik dünyasında çalışan olarak bünyenizde bulunması istenilen özelliklerdir. Bunlara aşağıda inceleyebilirsiniz.
Nitelik | Açıklama |
Teknik Bilgi | Siber güvenlik, ağ protokolleri, programlama dilleri ve yazılım mühendisliği gibi alanlarda sağlam bir bilgi temeli. |
Problem Çözme Yeteneği | Karmaşık problemleri analiz etme, mantık yürütme ve yaratıcı çözümler geliştirme yeteneği. |
Takım Çalışması | Ekip içinde etkili iletişim kurma, işbirliği yapma ve görevleri paylaşma becerisi. |
Araştırma Yeteneği | Hızlı ve etkili bir şekilde bilgi arama, kaynakları değerlendirme ve yeni konuları öğrenme yeteneği. |
Stres Yönetimi | Baskı altında çalışabilme ve zaman yönetimi becerileri. |
Yenilikçilik | Geleneksel olmayan çözümler bulma ve yaratıcı düşünme yeteneği. |
Süreklilik | Uzun süreli ve zorlu görevlerde motivasyonu koruma ve azim gösterme yeteneği. |
Detaylara Dikkat | Küçük detayları fark edebilme ve bunların büyük resimdeki yerini anlayabilme yeteneği. |
Analitik Düşünme | Verileri analiz etme, desenleri tanıma ve sonuçlar çıkarma becerisi. |
Güvenlik Bilinci | Güvenlik açıklarını anlama, bunlara karşı savunma stratejileri geliştirme ve uygulama yeteneği. |
Yukarıda yer alan nitelikleri CTF yarışmalarına ekip olarak veya bireysel olarak katılım sağlayarak geliştirebilirsiniz. Sadece iş hayatı değil günlük hayatta da kişiye faydaları olacaktır.
CTF ORGANİZASYONLARI
CTF yarışmalarının genellikle ödülleri olmaktadır. Özellikle büyük organizasyonların kazananlarına güzel ödüller verilmektedir. Dünya çapında oldukça kaliteli CTF organizasyonları bulunmaktadır. Bunları aşağıda sıralayalım.
CTF Organizasyonu | Açıklama |
DEF CON CTF | Dünya çapında en prestijli CTF yarışmalarından biridir. Las Vegas’ta düzenlenir ve dünyanın en iyi ekipleri katılır. |
Pwn2Own | Hackerların belirli hedeflerde güvenlik açıklarını bulup istismar ettiği, genellikle cihaz ve yazılım güvenliği üzerine odaklanan bir yarışma. |
Google CTF | Google tarafından düzenlenen ve genellikle zorlu teknik görevler içeren bir CTF yarışması. |
CTFtime | Farklı CTF yarışmalarının takvim ve puanlama sistemini sunan bir platformdur. Dünyanın dört bir yanından çeşitli CTF’leri içerir. |
PlaidCTF | Carnegie Mellon Üniversitesi tarafından düzenlenen ve oldukça prestijli olan bir CTF yarışmasıdır. |
RuCTF | Rusya’da düzenlenen ve uluslararası katılımcılara açık olan büyük bir CTF yarışmasıdır. |
Ekoparty CTF | Güney Amerika’nın en büyük bilgi güvenliği konferansı olan Ekoparty’de düzenlenen bir CTF yarışması. |
0CTF/TCTF | Çin’de düzenlenen ve dünya çapında büyük ilgi gören CTF yarışmalarındandır. |
Hack.lu CTF | Lüksemburg’da düzenlenen ve Avrupa’nın önemli CTF yarışmalarından biri olan Hack.lu konferansında yer alır. |
Boston Key Party | ABD’de düzenlenen ve genellikle zorlu ve yaratıcı görevler içeren bir CTF yarışmasıdır. |
ASIS CTF | İran’da düzenlenen uluslararası bir CTF yarışmasıdır ve genellikle çok sayıda katılımcı çeker. |
SECCON CTF | Japonya’nın en büyük CTF yarışmalarından biri olan SECCON, genellikle yüksek teknik bilgi gerektiren görevler sunar. |
Yukarıda Dünya genelinde düzenlenen bazı CTF organizasyonlarını sıraladık. Ülkemizde de gün geçtikçe artarak devam eden CTF organizasyonları bulunmaktadır. Bunlardan bazılarına aşağıda değinelim.
CTF Organizasyonu | Açıklama |
---|---|
TÜBİTAK Siber Güvenlik CTF | TÜBİTAK tarafından düzenlenen, Türkiye’nin en büyük ve kapsamlı siber güvenlik yarışmalarından biridir. |
İTÜROBOT | İstanbul Teknik Üniversitesi’nin robotik ve siber güvenlik etkinlikleri kapsamında düzenlenen CTF yarışması. |
Havelsan CTF | Havelsan tarafından düzenlenen, hem öğrenciler hem de profesyoneller için tasarlanmış CTF etkinliği. |
CTFR (Cyber Talents Türkiye) | Cyber Talents tarafından Türkiye’de düzenlenen ve çeşitli siber güvenlik konularını içeren bir CTF yarışması. |
BSides Ankara CTF | BSides Ankara konferansı kapsamında düzenlenen ve çeşitli güvenlik konularında zorluklar içeren CTF yarışması. |
Hacktrick CTF | Türkiye’nin farklı üniversitelerinde düzenlenen ve genellikle hackathon ve siber güvenlik etkinlikleri kapsamında yer alan bir CTF yarışması. |
BilgeAdam CTF | BilgeAdam tarafından düzenlenen ve siber güvenlik meraklılarına yönelik CTF yarışmaları. |
ODTÜ CTF | Orta Doğu Teknik Üniversitesi’nin siber güvenlik topluluğu tarafından düzenlenen ve hem öğrencilere hem de profesyonellere açık CTF etkinliği. |
HAVELSAN Hacktrick CTF | HAVELSAN tarafından desteklenen ve farklı zorluk seviyelerinde görevler içeren bir CTF yarışması. |
Turkcell CTF | Turkcell tarafından düzenlenen ve geniş katılımcı kitlesine hitap eden bir CTF yarışması. |
Türkiye’de düzenlenen bu CTF organizasyonları ülkenin Siber Güvenlik gelişimine ve gençlerine yol gösteren, geliştiren ve bu kişilerin keşfedilmesini sağlayan çok önemli etkinliklerdir. Son yıllarda ülkemizde çok daha farklı CTF yarışmaları, organizasyonları bulunmaktadır. Bunların Siber Güvenlik alanına meraklı gençler tarafından değerlendirilmesi gerekmektedir.
Bu yazıda CTF Nedir, türleri nelerdir, kategorileri nelerdir sorularını cevapladık. Kendinizi sürekli geliştirmek ve güncel kalmak için bu yarışmalara katılabilirsiniz. Başka yazılarda görüşmek üzere.