Capture the Flags, What They Mean for Security

With CTF, you get the ability to measure your skills.

kernel-panic

3 minute read

Capture the Flags, atau yang biasa disebut CTF, merupakan satu bentuk pelatihan keamanan cyber dengan persaingan produktif dan berfungsi sebagai latihan edukasi bagi peserta. Dalam CTF keamanan, para kontestan dapat ditugaskan untuk mengamankan mesin, melakukan atau bereaksi terhadap serangan, serupa dengan yang ditemukan di dunia nyata.

CTF pertama dikembangkan dan diselenggarakan pada tahun 1996 di konferensi keamanan cyber populer DEF CON. Topik CTF yang populer diuji pada DEF CON termasuk: reverse engineering, analisis protokol, pemrograman, dan kriptanalisis.

Ada dua gaya utama dalam kompetisi CTF: serangan/pertahanan dan bahaya.

Dalam kompetisi gaya serangan/pertahanan, masing-masing tim diberi mesin (atau jaringan kecil) untuk mempertahankan jaringan yang terisolasi. Tim dinilai pada kedua keberhasilan mereka dalam mempertahankan mesin yang ditugaskan dan kesuksesan mereka dalam menyerang mesin tim lainnya. Bergantung pada sifat permainan CTF tertentu, tim mungkin akan mencoba untuk mengambil bendera lawan dari mesin atau tim mereka mungkin mencoba menanam sendiri bendera mereka di mesin lawan mereka.

Kompetisi gaya bahaya biasanya melibatkan beberapa kategori masalah, yang masing-masing berisi berbagai pertanyaan dengan nilai dan tingkat kesulitan yang berbeda. Tim berusaha mendapatkan poin sebanyak-banyaknya dalam rentang waktu kompetisi (misalnya 24 jam), namun tidak saling menyerang satu sama lain. Alih-alih seperti balapan, permainan-permainan gaya ini mendorong meluangkan waktu untuk mendekati tantangan dan memprioritaskan jumlah kiriman yang benar selama waktunya.

CTF telah menjadi alat pelatihan yang berharga dengan mempertemukan para profesional keamanan cyber dari seluruh dunia dan memungkinkan mereka untuk saling melatih satu sama lain demi perbaikan (dan hak membual mungkin). Karena keamanan cyber merangkum begitu banyak bidang, sulit untuk menguji jika hanya mempunyai pengetahuan dari buku teks, namun harus juga pada pengalaman praktis dan pemecahan masalah situasional.

Dengan CTF, kamu bisa mendapatkan kombinasi dari unsur-unsur tersebut, dan juga kemampuan untuk mengukur kemampuan. Ini tidak hanya bagus untuk pelatihan sebagai individu, tapi juga dapat dimanfaatkan oleh organisasi saat ingin mempekerjakan bakat baru, atau memastikan talenta mereka saat ini apakah memenuhi persyaratan atau tidak.

Menurut Andrew Ruef , “Area fokus yang cenderung diukur oleh CTF adalah penemuan kerentanan, penciptaan eksploitasi, pembuatan toolkit, dan tradecraft operasional. Seorang profesional keamanan komputer modern harus menjadi ahli dalam setidaknya satu bidang ini dan idealnya dalam semuanya. Keberhasilan dalam kompetisi CTF menuntut agar para peserta menjadi ahli dalam setidaknya satu dan idealnya semua bidang ini. Oleh karena itu, mempersiapkan dan berkompetisi di CTF merupakan cara untuk secara efisien menggabungkan disiplin diskrit dalam ilmu komputer menjadi fokus pada keamanan komputer.

Entah serius untuk menilai kemampuan atau mencari kesenangan kompetitif, CTF bisa menjadi cara yang terjangkau untuk mencari pengalaman serta pengetahuan keamanan dan menguji keamanan.

Demikian pula, Thomas Bennett, Spesialis Keamanan Informasi di Alliance Data Systems, Inc. (ADS) mengatakan, “Kompetisi ini memungkinkan calon atasan dan rekan kerja untuk mengamati dan memvalidasi keterampilan teknis para peserta di lingkungan simulasi namun realistis. CTF berbasis tim juga memungkinkan calon atasan untuk melihat orang yang bekerja di lingkungan dengan tekanan tinggi dengan tim dan tugas delegasi.

Beberapa tips untuk sukses dalam CTF

  • Jangan takut untuk meminta petunjuk (di dalam portal CTF).
  • Baca write-up tantangan yang telah kamu hadapi.
  • Ingat, meski CTF adalah sebuah kompetisi, ini juga merupakan pengalaman belajar.
  • Cobalah untuk menjawab setiap pertanyaan, bahkan pertanyaan yang tidak kamu ketahui.
  • Google adalah temanmu, Gunakanlah!
  • Jangan overthink. Seringkali jawabannya tidak serumit yang kamu pikirkan.
comments powered by Disqus
IBX5A64AA703D3C9