#BGACTF2012 Ethical Hacking Yarışması Sonuç ve Çözüm Adımları

Güncelleme:1 Eylül 2012

Yarışmanın çözüm adımlarının anlatıldığı dökümana http://www.bga.com.tr/calismalar/BGACTF2012_Cozumleri.pdf adresinden erişim sağlanabilir.

Samsung Galaxy Tab10 hediyeli  Capture The Flag Ethical Hacking yarışması sonuçlandı. Yarışmaya toplamda yaklaşık 500 kişi katıldı ve bunlardan 40 civarı grup adı ile yarıştı.

Yarışma toplam 6 adımdan oluştu ve her bir adım bir sonraki ile bağlantılıydı. Gruplar en fazla 4. adıma kadar gelebildiler. 5. ve 6. adımlar çözülemedi. Çözülemeyen bu adımlar daha sonra yapılacak CTF lerde kullanacaktır.

Yarışmaya katılan herkese çok teşekkür ediyoruz. Gösterdikleri ilgiye ve performansa teşekkürler.

CTF’leri hazırlarken amacımız sadece bir alana yönelip, insanları zorlayacak bulmacalar değil. Bilişim güvenliğinin bir çok alanını kapsayan ve gerçek hayatta tecrübe ettiğimiz hataları CTF’e uyarlamak ve katılan herkesin zevk alarak yarışması ve sonucunda birşeyler öğrenmesi, paylaşmasıdır. Yoksa salt hackerları yarıştırmak veya sırf bazı şeyleri test ettirmek değil. Amacımız eğlenmek ve birşeyler öğrenmek. Gerçek anlamda çok öğretici olduğunu kendi adımıza söyleyebiliriz.


Katılan ve eğlenen herkese teşekkür ediyoruz. Bir sonraki CTF de görüşmek dileğiyle.

"0485a4567005dc53cce8d204cb747746" Hediyeli Capture The Flag (CTF) Yarışması

CTF Nedir?

CTF(Capture The Flag) geçmişi Roma dönemine dayanan uygulamalı, öğretici bir oyundur. Çeşitli tarih kitaplarında farklı milletlerin çocuklarını/gençlerini CTF  oyunlarıyla savaşa hazırladıkları yazmaktadır. CTF’de amaç öğrenilen savunma ve  saldırı tekniklerini pratiğe dökmektir.

Günümüzde bilişim dünyasında -özellikle   bilişim güvenliğinde- sık kullanılan bir  eğitici öğretim yöntemidir.
CTF’i güvenlik bakış açısıyla tanımlamak gerekirse: beyaz şapkalı hackerlar arasinda oynanan öğretici bir oyundur denilebilir. Yarışmaya katılan hackerlar belirlenen hedefe ulasmak ve bayrağı(hedef sistemlerde gizli metin dosyası , mesela /root dizini altında bayrak1.txt dosyası) önce kapmak için sistemlerdeki güvenlik açıklıklarını değerlendirilerek bayrağı elde etmeye  çalışırlar.


CTF oyunu iki çeşittir:

1)Sadece saldırı tekniklerinin kullanıldığı CTF

2)Hem saldırı hem de savunma tekniklerinin kullanıldığı CTF

Birinci çeşit CTF’de bir hedef vardır ve bu hedefin belirli zaman içerisinde ele geçirilmesine odaklanılmıştır. İkinci çeşit CTF’de bir grup saldırı teknikleri ile sistemi ele geçirmeye çalışırken diğer bir grup da savunma teknikleri ile bu grubun işini zorlaştırmaya odaklanmıştır. İkinci tip CTF çok daha öğretici ve zevkli olmasına rağmen pek rağbet görmemektedir.
CTF oyunları günümüz güvenlik etkinliklerinin vazgeçilmez bir parçası olmuştur. Bugün bilişim güvenliği alanında en ciddi sayılabilecek konferanslar(bkz: USENIX) bu tip yarışmaları yaparak etkinliğe farklı bir hava katmaya çalışmaktadır.

Yarışmanın  Amacı:


CTF yarismasinin temel amacı proaktif güvenliğin faydalarının gösterilmesidir. Diğer bir ifadeyle önlem alınmayan basit güvenlik hatalarının sonuçlarının nelere malolacagini
uygulamalı olarak göstermektir.

Burada dikkat edilmesi gereken husus bu oyunun yıkıcı bir hacking anlayışından ziyade katılımcının teorik bilgilerini uygulamaya koyması ve çesitli sistemler  arasindaki güvenlik sorunlarini hizlica bulup degerlendirmesini sağlamaktır.
Türkiye genç nüfusu ile bilişim konusunda hızla yol almaktadır, bilişim dünyasının en stratejik konusu güvenlik olmasından dolayı gençlerin güvenlik alanına yönlenmesi, yönlendirilmesi önemlidir.

Katılımcılar için notlar:


  • İsteyenler gizli kimlikle katılabilir. Gizli kimlikle katılan yarışmacı grup birinci olursa hediyesi açıktan verilecektir.
  • Bir sistemde bayrağı bulmak için birden fazla açıklık olabilir .


Yarışmada yapılması yasak olanlar:


  • DDoS saldırıları yapmak yasaktır.
  • Bulunan açıklığın diğer yarışmacılar tarafından kullanılmaması için kapatılması yasaktır.
  • Ortamda bulunan diğer ağlara sızma girişimleri yasaktır.
  • Sistemlerde bulunan dosyaları ve /veya servisleri silme/değiştirme/manipüle etmek yasaktır.
  • Diğer yarışmacıları engelleyici bilgileri açıklama ve sisteme bunları yerleştirme yasaktır.
  • MITM saldırıları yasaktır.
  • Çözümü public ortamlarda paylaşmak yasaktır.


Bu kurallardan birini veya birkaçını ihlal eden katılımcı ve /veya katılımcılar yarışmadan diskalifiye edilecektir.

İpuçları ve Puan Durumu:

Puan durumunu bu linkten takip edebilirsiniz.

İpuçları ve diğer bilgilendirmeler için @bgakademisi twitter hesabından gerçekleşecektir. Yarışma takibi için #BGACTF2012 hashtag i kullanabilirsiniz.

Yarışmanın kazananı puanlama sistemine göre belirlenecektir. Her adım, zamana bağlı bir puan derecesine sahiptir ve belirtilen zaman içerisinde en yüksek puanı alan yarışmayı kazanmış sayılır. Yarışma sonrası kazanan takım için sponsorlarin sürpriz hediyesi olacaktır.
Yarışmaya anonim olarak katılabilir ve gerçek kimliğinizi kullanmayabilirsiniz. Ancak hediye kazanılması durumunda gerçek kimlik ile başvuruların yapılması gerekmektedir.

CTF Adımları:

Toplam 6 adımdan oluşmaktadır. İlk 2 adım gerçek hayatta pek karşılaşılmayacak senaryo çözümleri içermektedir. Geri kalan 4 adım birebir gerçek hayattan alınmış gerçek senaryolardır.

Yarışma Tarihleri:

Başlangış Tarihi: 19.04.2912
*Resmi Bitiş Tarihi: 19.05.2012

* Daha önceki bir tarihte katılımcıların performansına göre bitiş ilan edilebilir.

Puanlama:

Her adım toplam 100 puandır. 100 puanın 20 puanı adımların dökümante edilmesi, 80 puanı çözüm yöntemi ve hız için ayrılmıştır. Adım çözümünü gönderen ilk 5 kişi tam puan alacaktır. Daha sonra gönderenlere ise -10 puan düşülerek puan verilecektir.

Kayıt:

Takım adınızı ctf@hack2net.com  adresine mutlaka gönderiniz.

Yarışmaya Başlama Adresi:


http://85.95.238.171/


İletişim:

ctf@hack2net.com