משחקי ריגול: מדוע חשוב שצוות האבטחה ישתתף בתחרויות סייבר?

כן, טכנית, CTF או ”תפוס את הדגל” נחשב למשחק, אבל בפועל הוא מעניק למשתתפים בו הרבה יותר

מקור: Unsplash

מאת: תומר זית

משחקי CTF (“תפוס את הדגל” – Capture The Flag) בתחום הסייבר עלו בפופולאריות שלהם בשנים האחרונות. מדי שנה הם מושכים מספר רב של מומחים בתחום הפיתוח, ה-IT והסייבר, אשר מתמודדים בזמן קצוב עם תעלומות אבטחת מידע ואירועי סייבר, במטרה לתפוס “דגלים” באמצעות פתרון אתגרים ועל מנת להשיג את הציון הגבוה ביותר. לאחרונה עלתה המודעות לכך שמשחקי הסייבר הללו מסייעים בפיתוח כישורים חיוניים בתחום אבטחת המידע ולהתמודדות בזירת הסייבר בעולם האמתי. 

למה חשוב להשתתף בתחרויות CTF, איך ניתן להירשם ומה חשוב לדעת לפני שמתחילים?

משחק? כן, אבל לא רק

המשחק מלמד אותנו להתמודד עם אתגרים מורכבים בסביבה מוגנת ונשלטת. הוא חושף אותנו לתסריטים דמיוניים ומאפשר לנו לעוף על כנפי הדמיון ולנסות אסטרטגיות וטכניקות חדשות שאולי היינו חוששים ליישמן בחיים האמתיים. אם המשחק מתוכנן בקפידה, הוא יכול להוות חוויה לימודית יוצאת דופן וקרש קפיצה אדיר מבחינה מקצועית.

אני, למשל, התחלתי לכתוב אתגרים לתחרויות CTF לפני כארבע שנים ואני מנהל משחקי CTF קרוב לשלוש שנים. כאנשי מקצוע, אנו מתייחסים למשחקי ה-CTF בשיא הרצינות, כאירועי תקיפה אמיתיים. אנו מביאים את כל הידע המקצועי שלנו ומתכננים את המשחק תוך שילוב מצבי קיצון, שרוב השחקנים ייתכן ולא ייתקלו בהם בחיים האמיתיים.

אנו רואים במשחקי ה-CTF דרך לגשר על פערי הידע שקיימים בתחום אבטחת המידע. ארגונים רבים נעזרים בספקים חיצוניים וחברות ייעוץ המשלימות עבורם את הידע, מאחר שהללו באות עם ניסיון במגוון גדול יותר של אירועי תקיפה וטכנולוגיות חדשניות. תחרויות ה-CTF חושפות את המשתתפים לכל מה שחם בזירת הסייבר – סוגי תקיפות, סוגי הגנות, סוגים של אירועי תקיפה ועוד. לכן, ארגונים שמעוניינים לקדם את רמת אבטחת המידע בארגון שלהם ולוודא כי צוות אבטחת המידע שלהם נשאר מעודכן, צריכים לעודד את הצוותים שלהם להצטרף למשחקים.

איך אלגוריתם Base32 פועל ואיך לתקוף ב-Ruby

אבל בואו לא נישאר רק בתיאוריה. הנה כמה דוגמאות לאתגרי CTF, והדרך שבה הם מסייעים לאנשי מקצוע.

ב-CTF של BSides TLV האחרון לשנת 2021 בין אתגרי ה-CTF שבניתי, הוצג האתגר Inspector Gadget, שמטרתו הייתה למצוא גאדג’ט להתקפת Deserialization ב-Ruby. האתגר הזה מלמד כיצד ההתקפה עובדת ב-Ruby ואיך התוקפים מייצרים גאדג’טים למטרות זדוניות. באתגר Under-Construction יכולתם לבנות CSS Keylogger כחלק מהתקפת Style Injection. באתגר זה לומדים מה היכולות של התקפת Style Injection, ואיך תוקף יכול להשתמש בה כדי להדליף מידע מה-User Input החוצה עם קוד CSS.

ב-CTF שלי ב-BSides 2020 הוצג אתגר שנקרא Basis32, ובו למדו איך האלגוריתם של Base32 עובד והיה צריך לתרגם אותו לעברית. האתגר הזה לימד את המשתתפים להסתכל על אלגוריתמים קיימים, להבין אותם ולשכתב אותם. 

מריק ומורטי ועד סנייק

מה נוכל למצוא במשחקי CTF? משחקי CTF כוללים סיפורי תעלומת סייבר מז’אנרים שונים, החל ממשחקי “ריק ומורטי” דרך משחקי סנייק וכלה באתגרי אימוג’י. אך מעבר לסיפורי המסגרת המשעשעים (בחלקם), כל משחקי ה-CTF כוללים תסריטים סבוכים של אירועי סייבר ואתגרים יוצאי דופן שיש לפתור תחת דד ליין ברור והגבלת זמן.

קרדיט: Vera Mens, Michael Maltsev, Artur Avetisyan

דוגמאות למשחקי CTF 

השחקן יכול לבחור להיות מהצד התוקף, מהצד המתגונן או משני הצדדים במקביל. השחקנים מחולקים לקבוצות וצוותים, בהם צוותי הגנה וצוותי תקיפה, כשהחלוקה בין הצוותים משתנה בין משחק למשחק. לדוגמה, ניתן לתכנן משחק של מקצוענים נגד מתחילים – מנטורים מול שחקנים חדשים. המטרה בחלוקה מעין זאת היא חלילה לא לגרום למתחילים להתייאש ולהפסיד, אלא להפך, להתקדם מקצועית וללמוד את כל הצדדים באירוע תקיפה. 

סגנון הלימוד במשחקי CTF הוא אוטודידקטי ולכן הוא מעמיק. השחקן מתמודד, לעיתים מצליח, לעיתים טועה, ובעיקר לומד מניסיון. בנוסף, השחקנים מחויבים להגיע לסוף האתגר, אי אפשר להפסיק אותו באמצע, דבר שמחייב אותם לנצל את המשחק עד תומו וללמוד ממנו את המרב.

ימים שלמים של משחק

רוב המשתתפים בתחרויות משחקים לתוך הלילה, אפילו עד השעות הקטנות. כשמתחילים לשחק, אי אפשר להפסיק. ישנן תחרויות CTF שנמשכות שעות ספורות וישנן כאלו שנמשכות ימים שלמים.

מי יכול להשתתף? משתתפים במשחקי CTF מתכנתים, אנשי QA, מנהלי אבטחת מידע, אנשי PT, צוותי רד טים ועוד. כל מי שעוסק בתחום אבטחת המידע ואוהב את הצד הטכני יוכל להנות וללמוד מהמשחק.

ישנם אנשי מקצוע בתחום שנמנעים מלהשתתף במשחקים מחשש להיכשל או מחשש שהשם והמוניטין שלהם ייפגעו כתוצאה מביצוע פחות ממושלם במשחק. אולם, חששות אלו אינם מוצדקים. בסופו של דבר, המשתתפים במשחקים יודעים שאינם יכולים לפתור כל אתגר ולנצח בכל משחק, אך חשוב וכדאי להשתתף. אגב, אפשר בקלות לפתור את החששות הללו על ידי משחק קבוצתי. משתתפים שמגיעים כקבוצה של אנשי מקצוע מתחומים שונים למשחק CTF הם בעלי יתרון משמעותי, הם לומדים אחד מהשני ומפיגים חששות.

איך משתתפים במשחקי CTF? תחרויות CTF מתקיימות במסגרת כנסי סייבר או במקביל להם. מידי שנה מתקיימים בין שניים לארבעה משחקי CTF גדולים בישראל, לצד הרבה תחרויות קטנות יותר במוסדות אקדמיים ובמסגרת אירועים של חברות פרטיות. 

המשחקים המרכזיים מתקיימים במסגרת כנסי BlueHat  של מיקרוסופט, AppSec-il ו-BSidesTLV. כל כנס מאופיין בקהל יעד מסוים ולפיו האתגרים מתוכננים. לדוגמה AppSec-IL מתמקד יותר בנושאים של OWASP שהם Cloud, Mobile ובעיקר Web; BlueHat מתמקד יותר בחולשות במערכות הפעלה, דפדפנים, טלפונים ניידים ועוד. לכן חשוב שמשתתף יבחר את הכנס והמשחק המתאים לפי סט הכישורים שבהם הוא רוצה להתחזק.

5 טיפים חשובים למתחילים

  1. לקרוא את האתגר לעומק ולא להתייאש. ה-CTF  הוא סיפור שכולל רמזים חבויים רבים. חשוב לקרוא את האתגר יותר מפעם אחת על מנת להבין את הסיפור והרמזים החבויים בו. רמזים אלו כוללים נתונים שיכולים להיות משמעותיים, לדוגמה לגבי סוג האפליקציה, התשתית או האתר שנפרץ.
  2. ללמוד את האפליקציה ולחפש בה רמזים. לאחר קריאת האתגר לעומק חשוב ללמוד את האפליקציה שבמוקד האתגר. בעיקר כשמדובר באתגרי WEB, אפליקציות WEB או אפליקציות סלולאריות, יש ללמוד מה האפליקציה עושה לפני שתוקפים אותה. ניתן למצוא רמזים בתגובות, בהודעות שגיאה, בהודעות כלליות, בנתונים על משתמשים ועוד. חלק מהרמזים יהיו בסיפור המסגרת מחוץ לאפליקציה וחלק יהיו בתוך האפליקציה.
  3. לבחור את האתגר הנכון. האתגר הראשון שתבחרו יקבע את הקצב. יש שחקנים שאוהבים לבחור את האתגר הקשה ואחריו את האתגרים הקלים יותר. אישית, אני אוהב להתחיל עם אתגר קליל שייתן לי את הדרייב להמשיך, ומשם להתקדם ברמת הקושי. אם משהו יכול לגרום לכם להתייאש – שימו אותו בצד.
  4. הכנה. חשוב להתאמן ולהתכונן למשחקי ה-CTF. ניתן להתאמן באתרים בעלי סביבות סגורות כמו HackTheBox, VulnHub, TryHackMe, PentesterLab, PortSwigger Academy ועוד. באתרים אלו ניתן לפתור אתגרים ללא הגבלת זמן ובזמן הפנוי, ניתן להתרשם מסוגים שונים של אתגרים ולפתור אותם. 
  5. למידה. לאחר כל תחרות, מתפרסמים האתגרים עם הפתרונות של הצוותים השונים. חשוב מאוד לקרוא את הפתרונות ולהבין את שרשרת התקיפה, כמו כן חשוב לקרוא כמה פרסומים שונים (write-ups) מכיוון שלפעמים הפתרונות הם שונים בין כל צוות. נתון זה מעניין הן לפותרים והן לכותבים, שלפעמים מוצאים דרכי פתרון שהם בעצמם לא חשבו עליהן. לדוגמה:

השתתפות של פעם בשנה בתחרות CTF תעלה את רמת האבטחה בארגון באופן משמעותי. ביום אחד של משחקים ניתן ללמוד באופן מרוכז תכנים שהיו נלמדים בחיים האמתיים לאורך זמן רב מאד. המשחקים חושפים את המשתתפים לוקטורים חדשים, להתקפות ולטכנולוגיות חדשות שלא היו נתקלים בהם בשגרת העבודה הרגילה. מעבר לכך, המשחקים מפתחים חשיבה יצירתית ועבודת צוות. היכולות הללו משפרות את יכולת ההתמודדות עם התקפות עתידיות בארגון.

הכותב הוא מנהל צוות מחקר סייבר בחברת F5 העולמית

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

4 תגובות על "משחקי ריגול: מדוע חשוב שצוות האבטחה ישתתף בתחרויות סייבר?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
תומר
Guest

שימשיכו לשחק בכאילו אתגרים אמיתיים כמו שיש ב CTF בזמן ש NSO וחברותיה מזמברות לכולם את הצורה בשושו, בלי משחקים

ספיקו המקורי
Guest

base32 זה אלגוריתם? טוב לדעת

uri
Guest

תומר ימלך

Benny
Guest

כמה חבר׳ה מהפקולטה למדמ״ח בטכניון מרימים CTF בקרוב אחרי שנה הפסקה. שווה לעקוב

wpDiscuz

תגיות לכתבה: