chivincent
就只是個宅正太(?)
大同資研
資訊安全讀書會
CTF
Capture The Fucking Flag
Capture the Flag
搶旗賽
主要有兩種模式
搶主辦單位的旗
搶競爭對手的旗
BBS 鄉民的正義
圖片取自新聞媒體
那身電競裝備是尛…
DEFCON CTF
CTF 題目分為以下幾種類型
- 逆向工程(Reverse)
- 網頁安全(Web)
- 弱點分析(Pwn)
- 密碼學(Crypto)
- 鑑識(Forensics)
- 混合(misc)
當然有其它的
這只是寫出常見的幾種類型
AIS3 Pre-Exam
https://url.fit/ZLQku
CTF 的幾項心得
那我該該不打 CTF?
打 CTF 的優點
- 練習漏洞意識
- 熟練攻擊技巧
- 瞭解如何防禦
- 認識很多大神(?
打 CTF 的缺點
- 部份情況過於刁鑽
- 基礎不足會感受到強烈挫折
中場休息
\owo/
逆向工程(Reverse)
使用工具/技巧
- IDA Pro
- OllyDBG
- WinDBG
- CheatEngine
- GDB
- ObjDump
- Qira
趨勢
1. Windows 平台題減少
可是現實生活中遇到 Windows 的逆向情況卻較多
2. ARM/MIPS 架構題變多
網頁安全(Web)
使用工具/技巧
- Fiddler、Wireshark
- 大量知識與技巧
- 通靈
趨勢
1. PHP 題減少
現實生活遇到 PHP 問題比例卻較高
2. 通常結合 pwn
可是現實生活在 Web 裡遇到 pwn 的機率……
3. 通常要會通靈
現實生活遇到 Web 問題的時候也大多是這樣啦……
弱點分析(pwn)
使用工具/技巧
- GDB
- ObjDump
- Qira
- IDA Pro
密碼學(Crypto)
使用工具/技巧
- 大量的密碼學知識
- Python Z3
趨勢
1. 通常是用現成的密碼學
或是做一些改變,但有跡可循
2. 需要大量的知識
結論
針對 CTF 競賽本身
- 對資安的意識會增強
- 卻不一定在現實世界有用
- 可以吸收一些新的知識與技巧
- 還有通靈的成功率(?
針對政府資安方針
- 不能只培養打 CTF 的人才
- 雖然 CTF 的 KPI 數字很漂亮 >_>
- 培育資安人才並非只有 CTF 一條路
- 雖然以入門而言是捷徑
針對企業的資安政策
- 新式攻擊模式的開發週期縮短
- 前年~去年:APT
- 去年~今年:勒索軟體
- 安全威脅不是視而不見就等於不存在
- 程式版本更新(Windows 例外【X】)
- 資安意識建立
針對教育界的資安概念建立
- 建立正確的觀念與做法
- 程式要寫好.寫滿
- 資結作業像在寫 pwn 題目一樣是怎樣…
大同資研資訊安全讀書會
By chivincent
