In English

Säkerhetstest • Artikel

5 CTF:er för dig som vill öva på att hacka

CTF:er är ett kul och effektivt sätt att träna upp sina kunskaper inom hacking och teknisk säkerhet. Här är fem tävlingar våra tekniska säkerhetskonsulter rekommenderar.

CTF (Capture-The-Flag) är en slags tävling som går ut på att hitta flaggor som har döljts i sårbara program eller webbplatser. Deltagaren eller laget som har hittat flest flaggor och därmed fått flest poäng när tävlingen är slut vinner. Tävlingarna arrangeras ofta i två olika format: attack och försvar, där deltagarna stjäl flaggor från varandra, eller jeopardystil där varje uppgift innehåller en egen flagga.

Att delta i CTF:er är ett bra och roligt sätt att lära sig mer om hacking. Här är fem tävlingar som passar både för dig som är nybörjare och för dig som redan är varm i kläderna.

PicoCTF

PicoCTF är en populär CTF-plattform som är perfekt för dig som har grundläggande kunskap om IT men är ny på att hacka. Utmaningarna börjar på en låg nivå (Hello World!), som sedan trappas upp ju längre du kommer. Plattformen är uppbyggd på ett pedagogiskt sätt med olika rum för att lära, öva och sedan testa dina kunskaper genom att tävla.

PicoCTF är utvecklad av gruppen PPP (Plaid Parliment of Pwning) från Carnegie Mellon University. Laget har historiskt sett vunnit flest av DefCons CTF:er, där de allra främsta inom området tävlar. Ett tips är att kolla in talket ”How The Best Hackers Learn Their Craft” av David Brumleys, som var med och byggde upp PPP.

Crate-CTF

En annan nybörjarvänlig tävling är Crate-CTF som Totalförsvarets forskningsinstitut (FOI) i Linköping arrangerar. Tävlingen bygger på Jeopardy-formatet, där varje uppgift innehåller en egen flagga. Momenten är uppdalde i kategorierna Exploatering, Kryptografi, Reversering, Forensik, Webb och Övriga. Flaggorna är bra och svårighetsgraden bekväm – dessutom är allt på svenska.

OverTheWire: Bandit

OverTheWire är en plattform som innehåller övningar inom flera olika områden, såsom webb, Linux och binär exploatering. Svårighetsgraden varierar från absolut nybörjarnivå till avancerad. OverTheWire tillhandahåller inte klassiska CTF:er, utan det som istället kallas ”wargames”. Till skillnad från CTF:er är wargames inte tidsbundna, vilket innebär att det finns gott om tid att sätta sig in i utmaningarna. Ett wargame som är som extra relevant för dig som vill lära dig grunderna inom hacking är Bandit, som går igenom de absoluta baskunskaperna som behövs för att kunna navigera i en Linux-terminal effektivt.

Säkerhets-SM

Säkerhets-SM är en nationell CTF som riktar sig mot gymnasieelever. Även deltagare som redan har slutat gymnasiet kan vara med, men får inte delta i själva tävlingen. CTF:en innehåller uppgifter inom områdena programmering, kryptografi, binär exploatering, reverse engineering, webbsäkerhet och forensik. Svårighetsgraden på uppgifterna varierar, men då lägstanivån är låg passar denna CTF även nybörjare. I år arrangeras kvalet den 25-27 mars och finalen går av stapeln 27-29 maj.

Midnight Sun

Varje år anordnar KTH CTF:en Midnight Sun. Tävlingen är uppdelad i två klasser, där de sju bästa lagen i varje klass kvalificerar sig till finalen i Stockholm. Ena klassen kallas Open class, där lag från hela världen kan delta, och den andra Student class, som är reserverad för lag från svenska universitet samt lag från Baltikum och EU-länder. I den sistnämnda klassen får även dem som vinner Säkerhets-SM också en plats i finalen.

Svårighetsgraden på Midnight Sun är av förklarliga skäl hög, och tävlingen avancerad även för de som har ägnat sig åt att hacka i flera år. Men även om du inte är på nivån för att tävla är Midnight Sun en spännande och inspirerande CTF att följa.

I år är Midnight Sun dessvärre inställd, men en bra övning är att läsa gamla lösningar på flaggor från tidigare tävlingar, som du hittar på CTFtime.org.

CTFtime.org

Ctftime.org är ingen CTF i sig, utan ett index för CTF:er och rankning. Där kan du kan hitta nya tävlingar med olika svårighetsgrad nästan varje vecka, men du kan också hitta olika lösningar till flaggor på tidigare CTF:er, vilket kan vara otroligt lärorikt.

Vill du lära dig att hacka på professionell nivå?

Har du ett stort intresse för teknisk säkerhet och kan se dig själv i rollen som penetrationstestare? I så fall tycker vi att du borde ta en titt på vårt populära traineeprogram för etiska hackare. Läs mer om om programmet och hur du anmäler dig här.