Capture The Flag (CTF)
De Wikipedia, a enciclopédia encyclopedia
Capture the Flag (CTF), no âmbito da tecnologia, é uma modalidade de competição entre hackers desafiados a desvendar problemas sobre Segurança da Informação, sendo esses desafios de segurança cibernética e esporte mental no qual os concorrentes devem explorar ou defender uma vulnerabilidade em um sistema ou aplicativo, para obter ou impedir o acesso a um sistema de computador.
As referências deste artigo necessitam de formatação. |
Este artigo é órfão, pois não contém artigos que apontem para ele. |
Um CTF geralmente envolve uma captura lógica da bandeira, podendo ser baseado em pentesting, autenticação baseada em conhecimento, ataques a URL, engenharia reversa de software (principalmente JavaScript, Adobe Flash e linguagem de montagem), quebra de senhas, code injection, cross-site scripting, SQL injections, explorações, falsificação de endereços IP, forense e outras técnicas de hackers.[carece de fontes?]
Praticado em equipes ou individualmente, o CTF pode acontecer em três formatos distintos. No primeiro deles, chamado de "Jeopardy-Style", o jogador individual, ou o time, precisa resolver desafios de segurança da informação (para capturar as chamadas “flags”) que valem pontos de acordo com a complexidade que têm. Ganha quem, no final, obtiver a maior pontuação. As vezes são online e servem como qualificatórias para as finais do segundo formato, chamado de "Attack/Defense". No "Attack/Defense", é dado aos jogadores um ambiente (normalmente uma rede de computadores) cheio de falhas e vulnerabilidades que terão de ser descobertas e corrigidas em um determinado período de tempo, encerrado o prazo, os jogadores passam à tentativa de invasão do ambiente adversário ao mesmo tempo em que protegem o próprio. São realizadas on-site (offline), onde ocorre as maiores competições nacionais e internacionais, como a DEF CON.[1] Existem também CTFs “híbridos”, misturando os dois formatos e podendo ser feitos de diversas formas diferentes.[2]
O CTF avalia, de forma gamificada, habilidades como vulnerabilidade da rede, criptografia e programação, entre outras. O CTF pode explorar também conhecimentos que vão além de uma área específica, exigindo o domínio de matemática, linguística, história etc.[3]
Em resumo, são competições que envolvem diversas competências dos profissionais/estudantes/entusiastas para a resolução de desafios relacionados à infosec (segurança da informação), com o objetivo de capturar a bandeira (normalmente um código) e pontuar. As competições de CTF geralmente são projetadas para servir como um exercício educacional para dar aos participantes experiência em segurança de máquina, além de conduzir e reagir aos tipos de ataques encontrados no mundo real.[4]