#share: Bộ sách học kiểm thử bảo mật với CTF mức độ Beginer

browser extension security

Bài viết chia sẻ với các bạn một nền tảng kiểm thử, bảo mật an ninh mạng với hình thức CTF – Capture the Flag. Trong bài viết còn chia sẻ bộ sách ở mức cơ bản dành cho các bạn mới tham gia.

CTF – Capture the Flag là gì?

CTF (Capture the Flag) là một cuộc thi kiến thức chuyên sâu về bảo mật máy tính, được tổ chức theo mô hình trò chơi chiến tranh mạng, tập trung vào hai kỹ năng tấn công và phòng thủ mạng máy tính của người chơi.

Wikipedia

Các thí sinh được đưa ra một loạt các thử thách để kiểm tra khả năng sáng tạo, kỹ thuật (và googling) của họ và khả năng giải quyết vấn đề. Các thách thức thường bao gồm một số loại và khi giải được, mỗi loại sẽ mang lại một chuỗi giá trị(được gọi là cờ) được gửi đến dịch vụ chấm điểm trực tuyến. CTF là một cách tuyệt vời để học một loạt các kỹ năng bảo mật máy tính trong một môi trường hợp pháp, an toàn, được lưu trữ và chơi bởi nhiều nhóm bảo mật trên khắp thế giới để vui chơi và thực hành.

Trong một cuộc thi CTF, các đội tham gia CTF sẽ được cấp một máy chủ (hoặc một mạng máy chủ) đã cài đặt sẵn nhiều chương trình chứa các lỗ hổng bảo mật. Nhiệm vụ của đội chơi là tìm ra các lỗ hổng đó, tấn công các máy chủ của các đội khác để ghi điểm, đồng thời phải nhanh chóng vá các lỗ hổng trên máy chủ của đội nhà, để tránh bị tấn công bởi các đội khác.

Cuộc thi an ninh mạng theo hình thức CTF thì khá phổ biến. Ở Việt nam hiện tại cũng có diễn đàn Whitehat.vn thường xuyên tổ chức các cuộc thi dạng này hàng năm. Tuy nhiên, đối với nhiều người thì CTF vẫn còn quá mới. Và các cuộc thi đình đám trên mạng (trên thế giới như DefCon) là quá sức với chúng ta. Vậy thì hãy đến PicoCTF để học và thực hành từ cấp độ Beginer. Thực ra là từ cấp độ học sinh đã có thể tự tham gia được rồi.

PicoCTF là gì?

picoCTF là một trò chơi bảo mật máy tính cấp độ dành cho người mới bắt đầu. Bao gồm một loạt các thử thách trong đó người tham gia phải làm bất cứ điều gì cần thiết để giải quyết thách thức. Các thách thức đều được thiết lập với mục đích bị dễ bị tấn công hoặc có chứa lỗ hổng bảo mật. Cho phép người chơi được tham gia môi trường tấn công hoặc kiểm thử hợp pháp.

PicoCTF

Cuộc thi năm 2018 được tổ chức từ ngày 28 tháng 9 năm 2018 đến ngày 12 tháng 10 năm 2018. Người chiến thắng sẽ được xác định sớm, chờ xác minh đủ điều kiện theo các quy tắc của cuộc thi.

Khi tham gia cuộc thi này, người chơi/ đội chơi có cơ hội dành giải thưởng:

  • 1st place: $5,000 + paid trip to CMU for the top team!
  • 2nd place: $2,500
  • 3rd place: $1,500
  • 4th place: $500
  • 5th place: $500
  • 6th-10th place: $250

Để tham gia bạn cần phải thỏa mãn các điều kiện cơ bản sau: (tham khảo luật của PicoCTF)

  • ít nhất 13 tuổi;
  • nếu dưới 18 tuổi, có sự đồng ý của cha mẹ hoặc người giám hộ hợp pháp;
  • thành lập một nhóm hoặc có tối đa 4 người tham gia khác;
  • có tài khoản picoCTF hợp lệ được tạo thông qua https://picoCTF.com

Hành trang về bảo mật cơ bản trước khi lên đường

Trước khi tham gia cuộc thi, chúng ta cần trang bị những kiến thức cơ bản về kiểm thử, bảo mật. Trên trang chủ của cuộc thi cũng cung cấp cho chúng ta những tài liệu ở mức cơ bản. Được chia theo các loại vấn đề:

  • General Skills: Cung cấp kiến thức cơ bản về cửa sổ lệnh. Cách hoạt động của các lệnh liên quan đến kiểm thử bảo mật như SSH, Netcat. Hướng dẫn sử dụng Terminal, các kiểu dữ liệu: Number, Binary, Little Endian and Big Endian…
  • Cryptography: Trình bày các kỹ thuật mã hóa từ cổ điển đến hiện đại. Hash và hệ thống khóa công khai. Diffie-Hellman Key Exchange và RSA. Ngoài ra tài liệu cũng đề cập đến tính toán học trong việc mã hóa. Nhắc lại về một số kỹ thuật tấn công mạng thường dùng: Password Cracking, Brute Force and Dictionary Attacks, Breaking Ciphers, Man In The Middle Attack…
  • Web Exploitation: Cơ chế làm việc của mạng máy tính, cách hoạt động của các website và HTTP cũng như kiểu tấn công Injection khá phổ biến.
  • Forensics: Trình bày về hệ thống tập tin và thư mục trên các hệ điều hành.
  • Binary Exploitation
  • Reversing: Các bước dịch ngược mã nguồn phần mềm. Tìm hiểu qua về Assembly và python trong việc học kiểm thử và bảo mật.

Lưu ý cuối cùng

Bài viết này chia sẻ cho các bạn một nền tảng thực hành kiến thức bảo mật. PicoCTF là nơi để các bạn tiếp cận với bảo mật, an ninh mạng. Có điều kiện để tiếp cận với các môi trường kiểm thử, các lỗ hổng phần mềm. Để từ đó giúp các bạn rèn luyện kỹ năng an ninh mạng tốt hơn. Tôi không cổ xúy cho các bạn đem kiến thức thực hành được để làm điều phạm pháp. Hãy sống có suy nghĩ và vì xã hội tốt đẹp hơn.

  • Đừng quên link để đăng ký tham gia: https://2018game.picoctf.com/account

Download tài liệu học bảo mật với CTF mức độ Beginer

Bộ tài liệu gồm 6 quyển, được chia theo các kỹ năng khi các bạn tham gia chơi CTF trên PicoCTF.

Ngoài ra còn quyển Ultimate Hacking Challenge: Train on dedicated machines to master the art of hacking (Hacking The Planet) cũng khá hay.

Ultimate Hacking Challenge

Chúc các bạn tham gia vui vẻ và học được nhiều điều bổ ích!

Nguyễn Trung Hiếu

Một blogger ... cùi bắp! Đơn giản: tôi muốn ghi lại những gì xảy ra xung quanh, cả công việc lẫn cuộc sống và chia sẻ với các bạn đọc. Nếu bạn cảm thấy bài viết có nhiều điểm không chính xác, hãy comment và chia sẻ để tôi còn được học hỏi từ những góp ý của bạn. Email: hieunt.dcn@gmail.com