الـCTF مفتاحك لاحتراف الـCyber Security

Oct 21, 2019


لو أنت مطور هتبقى عايز تتأكد إن موقعك خالي من أي أبواب مفتوحة للضيوف غير المدعوين -يعني الهاكرز- وللأسف كتير من المطورين الشباب مش عندهم الخبرة الكافية، إلا إذا كانوا بدأوا فعلياً في مواجهة مشاكل الاختراق وتعرضوا لبعضها ووجدوا ليها حلول، إنما لو كنت طالب مثلاً أو مبتدىء وعايز تحترف في مجال الـCyber Security، فمع الأسف برده هتواجهك نفس المشكلة، ومش هتلاقي فرص للتدريب وتعلم المجال. وكان شىء عظيم إننا نشوف مسابقة صغيرة قدرت تجمعلك كل المشاكل دي بس في هيئة لعبة، هتخليك تحاكي الواقع وتكون علاقات بخبراء في المجال وتكتسب Techniques جديدة.

مبدئياً كده إيه مفهوم الـCTF، وإزاي كانت بدايته وإيه أسباب ظهوره؟

مفهوم الـCTF:

الـCTF هو اختصار (Capture The Flag) وهو نوع مميز من مسابقات الأمن المعلوماتي، واللي بيتحدى المنافسين في إنهم يحلوا مجموعة من الـTasks بداية من الـTreasure Hunt على الـWikipedia للـBasic Practices في الـProgramming، للجزء الأخطر الـHacking ومحاولة سرقة البيانات، واللي بيكون فيها Text مستخبي، وبيحاول المتسابقين إنهم يلاقوه، وساعات بيكون على الجهاز أو في صفحة موقع، والـText ده هدف في حد ذاته وبنسميه الـFlag. 

طيب إزاي كانت بداية مسابقات الـCTF؟

بدأت مسابقات الـCTFعام 1996 في مؤتمر اسمه Defcon وده أكبر مؤتمر بيتعمل في الولايات المتحدة الأمريكية في مجال الـCyber Security كل سنة، وبعدها أخدت مسابقات الـCTF الطابع العالمي وده لأن معيار النجاح ملهوش نهاية، غير سهولة الاشتراك فيها عن طريق منصات الإنترنت.

ومن أهم الأسباب لظهور مسابقات الـCTF هو احتياج الشركات سواء كانت كبيرة أو صغيرة لحماية الـSystems بتاعتها من الـHackers وتأمين بياناتها، بسبب زيادة نسبة الاختراق في السنوات الأخيرة، فظهرت الحاجة لعدد من المؤهلين عشان يقدروا يشتغلوا في المجال ده؛ فكانت الـCTF بتمثل أداة محفزة لخلق كوادر في مجال الـCyber Security.

طب إيه هي القواعد والمعلومات الضرورية اللي لازم تعرفها عن الـCTF قبل ما تفكر تشترك فيها عشان تكون مستعد كويس؟

أولاً مسابقات الـCTF ليها أنواع كتير، وتحديات مختلفة، بتتطلب ردود فعل مختلفة، وخطوات معينة تمشي عليها كل مرة.

ومن أهم أنواع الـCTF:

– الـJeopardy Style   

 – الـWar Games

– الـCCDC

– الـAttack and Defense

تعالى معايا نوضح كل نوع، وامتى نستخدمه..

1. الـJeopardy Style:

وده أول نوع واللي هيعتمد على حل مجموعة متنوعة من المهام، عشان تجمع نقط والمهام دي هتبقى على أشكال: (Web, Forensic, Crypto, Binary)، والقواعد هنا هتبقى كالتالي؛ إن مع كل تاسك هيتحل هتجمع نقط، وكل ما التاسك يصعب النقط هتزيد، وكل ما تحل تاسكات أكتر، هتجمع نقط أكتر وهتتأهل للمرحلة اللي بعدها، وفي نهاية اللعبة، هيفوز الفريق صاحب أكبر عدد من النقط . 

(مثال على النوع  ده مسابقة Defcon CTF Qualifier).

2. الـWar Games:

واللي بيميزها التسلسل في المستوى، فبتلاقي إن كل لما تعدي Challenge بيجيلك الأصعب منه شوية.

3. الـCCDC) Collegiate Cyber Defence Competition):

وهنا مهمتك إنك تأمن برامج خاصة بشركات، والنوع ده بيعتمد على الـRed Team أكتر، واللي بيهتم بالـHacking والـOffensive Security، وده غير الـBlue Team، اللي بيهتم بالـProtection والـDefensive Security.

4. الـAttack and Defense:

النوع ده باختصار بيقول إن كل فريق مسؤول عن موقع فيه ثغرات كتير، بيتيح لباقي الفرق اختراقه من خلالها، وهما معاهم وقت محدد عشان يحاولوا يأمنوا موقعهم؛ يعني الفريق بيكسب نقط بحماية موقعه، زي بالظبط ما بيكسب نقط لمحاولة اختراق وعمل هجمات ناجحة على الفرق الباقية، والفريق الفائز هو اللي هيجمع أكبر عدد من النقط.

ودي باختصار الأنواع، طيب إيه هما الـChallenges اللي دايماً بتواجهك في مسابقات الـCTF؟

دول يعتبروا أشهر الـChallenges اللي بتواجهك:

1. الـWeb Security: 

ده زي Site بيوصلك عن طريقه Authentication، مثلاً على هيئة إنك مطلوب منك تدخل User وPassword ومهمتك إنك تتخطاهم بأي طريقة عشان توصل للـFlag.

2. الـDigital Forensics: 

عبارة عن Partition بتحاول ترجعه لأصله، بحيث تطلع من عليه ملف ممسوح مثلاً أو صورة مخفي عليها بيانات، وكل ده عشان تلاقي الـFlag المطلوب.

3. الـBinary Reversing: 

وهنا بتلاقي برنامج بترجعله الـSource Code، والـSource Code باختصار هو مجموعة من الأوامر والتعليمات اللي مكتوبة بلغة من لغات البرمجة؛ وده بيأهلك إنك تحل المشكلة وتلاقي الـFlag.

4. الـPacket Analysis:

هنا بيظهرلك File Pcap بصيغة الـ(Wireshark)؛ وده برنامج بيستخدم لتحليل الشبكات وبيصنع ملفات الـPcap، واللي بتحدد حالة الشبكة، ودورك هنا إنك تحلل المشاكل اللي بتحصل للشبكة من خلال مجموعة Calls أو Passwords، عشان تفك الشفرة وتلاقي الـFlag.

5. الـCryptography:

وده Challenge خاص بالأكواد، والمطلوب هنا إنك تفك الأكواد وتدور على Calls أو Passwords؛ عشان تعرف تلاقي الـFlag.

6. الـMiscellaneous:

دي أسئلة متنوعة بتعتمد على ذكائك وقوة طرق بحثك في إنك تلاقي إجابة للأسئلة دي؛ عشان يظهرلك الـFlag.

بعد كل المعلومات اللي عرفتها دي أكيد بتتخيل نفسك بتنافس في الـCTF صح؟

اللي عايزينك تعرفه إنه مش حلم إنك تتأهل في المسابقات دي والدليل على كده فوز الفريق المصري (EGFR 33KS) بالمركز الأول على مستوى العالم في مسابقة Trend Micro-Capture The Flag، واللي كانت في اليابان، ونافس فيها الفريق مع فرق من 7 دول مختلفة من ضمنهم اليابان وكوريا الجنوبية وروسيا، وكمان لاعب من الفريق المصري (إبراهيم مسعد) اتصنف كأحسن لاعب في المسابقة.

لو عايز توصل للمستوى اللي يأهلك للتميز في المسابقات دي؛ لازم تركز في النصايح اللي جاية واللي من خلالها هتقدر تعلى بمستواك في الـCTF:

1. اختار نوع المسابقة:

زي ما اتكلمنا فوق إن الـCTF في منها أنواع كتير، زي الـJeopardy Style، والـAttack and Defense مثلاً، فأنت دورك هنا إنك تختار كويس النوع المناسب لمستواك ومهاراتك في البداية.

2. كون فريق ناجح:

مهما كنت محترف لوحدك كـHacker، النوع  ده من المسابقات بيتطلب مهارات كتير جداً، ودي صعب تتوجد فيك لوحدك لو لسه مبتدىء، ده غير ضيق الوقت وصعوبة التحديات اللي هتقابلك؛ عشان كدة تكوين فريق ناجح بيكمل بعضه، يعتبر من أكتر الحاجات اللي هتساعدك إنك تتأهل.

3. اتدرب لوحدك:

التدريب مع نفسك بيطور مهاراتك بسرعة وبيزود فرص نجاحك في مجال الـCyber Security عموماً، وفيه مواقع كتير تقدر تساعدك تتدرب مع نفسك زي: (Over the wireSmash the stack)

4. اتدرب مع فريقك:

فيه أسباب كتير بتأيد أهمية إنك تتدرب مع فريقك؛ فمثلاً فكرة إنكم تدرسوا مميزات وعيوب بعض وتشتغلوا عليها، كمان لأنه يعتبر فرصة للتحفيز، والتشجيع والجو اللي هيديكم ثقة مطلوبة جوا المسابقة.

5. تابع الأخبار:

ضروري إنك تكون عارف آخر أخبار مسابقات الـCTF، وتحاول إنك تحضر أي مؤتمر ليه علاقة بالـCyber Security، ومش بس كده حاول إنك تقرب أكتر من الـCTF Community وكل الـBloggers والـ Experts اللي في المجال.

وفي النهاية، لازم تعرف إن احتراف الـCyber Security محتاج صبر ودقة، وإن الـCTF مفتاحك لاحترافه، مش بس لأنها هتدربك وتعلمك وتديك خبرة، كفاية إنك بتتنافس مع محترفين عندهم نفس تحدياتك.


Technology



مقالات ذات صلة





الـWeb Design قصاد الـWeb Development – ازاي الاتنين بيكملوا بعض؟

Oct 26, 2018

Section |  Technology

تقريبًا مفيش ساعة بتعدي علينا من غير ما نستخدم الإنترنت، سواء كان من خلال تطبيقات الـAndroid أو مواقع الـWeb، وأكيد سألت نفسك ازاي الصفحات دي بتشتغل عشان تطلع بالشكل ده قدامنا.مثلاً: لما بتدخل على الـFacebook….

...اقرأ المزيد


الـCTF مفتاحك لاحتراف الـCyber Security

Oct 21, 2019

Section |  Technology

لو أنت مطور هتبقى عايز تتأكد إن موقعك خالي من أي أبواب مفتوحة للضيوف غير المدعوين -يعني الهاكرز- وللأسف كتير من المطورين الشباب مش عندهم الخبرة الكافية، إلا إذا كانوا بدأوا فعلياً في….

...اقرأ المزيد


عصفورين سرعة التصفح والـSEO بحجر واحد اسمه الـAMP

Feb 21, 2018

Section |  Technology

فريق الـIT أو الـInformation Technology بنختصره دائماً في صورة “شرطة الهاكرز”. لكن الحقيقة الـJob Description بتاعته بتختلف من شركة لشركة حسب طريقة وحجم تعاملاتها. وفي بعض الاماكن بينحصر دور الـIT كـDesigners أو Developers….

...اقرأ المزيد