Hacker တွေရဲ့ကစားကွင်း (သို့မဟုတ်) CTF

UNICODE

အခုနောက်ပိုင်း Information Security နယ်ပယ်မှာ Challenge တွေ Competition တွေတော်တော်များများပေါ်ပေါက်လာပါတယ်.. မြန်မာနိုင်ငံမှာလဲ Myanmar Cyber Security Challenge (MCSC) လိုပြိုင်ပွဲမျိုးတွေကို နှစ်တိုင်းကျင်းပနေပါပြီ.. ဒီလိုပြိုင်ပွဲတွေမှာအဓိက ပြိုင်ရတာကတော့ CTF (Capture the Flag) လို့ခေါ်တဲ့ Challenge မျိုးတွေပဲဖြစ်ပါတယ်

CTF ဆိုတာဘာလဲ? များသောအားဖြင့် System တခု ဒါမှမဟုတ် Server တခု ဒါမှမဟုတ် Website တခုရဲ့ Location တနေရာရာမှာ Text String တခုကိုဝှက်ထားမယ်.. ပြိုင်ပွဲဝင်တွေက အဆိုပါ Server, Website တွေကိုထိုးဖောက်ဝင်ရောက်ပြီး မြုပ်ထားတဲ့ Text String ကိုရှာပေးရမှာဖြစ်ပါတယ်

အဲ့ဒီ Text ကို Flag လို့လဲခေါ်တယ် ဒါကြောင့် Capture the Flag လို့ နာမည်တွင်တာဖြစ်ပါတယ်.. များသောအားဖြင့် အဆိုပါ Flag တွေရဲ့ Format က ဒီလိုပုံစံမျိုးရှိတတ်ပါတယ် ” Flag{some_texts_here} “. နာမည်အကြီးဆုံး CTF ပြိုင်ပွဲကတော့ နှစ်စဉ် Las Vegas မှာကျင်းပတဲ့ DEFCON ပဲဖြစ်ပါတယ်

CTF မှာတော့အဓိကအားဖြင့် ပုံစံ ၃ မျိုးတွေ့ရတတ်တယ်.. Jeopardy လို့ခေါ်တဲ့ Problem တွေ solve လုပ်ပြီး Flag ရှာရတဲ့ type ရယ်.. Attack-Defense လို့ Team အချင်းချင်း Attack ရော Defense ပါလုပ်ရတဲ့ CTF အမျိုးအစားရယ်နဲ့ အဲ့နှစ်ခုကိုရောထားတဲ့ Mixed type ရယ်ဆိုပြီးပဲဖြစ်ပါတယ်

Attack-Defense type ကိုအနည်းငယ်ထပ်ရှင်းပြချင်ပါတယ်.. Team တခုချင်းစီတိုင်းကို ယိုပေါက်တွေရှိနေတဲ့ Network တခုစီပေးထားပါတယ်.. အဲ့နောက်မှာတော့ ပြိုင်ပွဲစပြီဆိုတာနဲ့ အဆိုပါ Team member တွေက ကိုယ့် network ယိုပေါက်ကိုလဲ ပြင်ရမယ်, တခြား team ရဲ့ network ကိုလဲ ထိုးဖောက်ရမယ့် Exploit တွေလဲရှာရ, ရေးရမှာဖြစ်ပါတယ်.. ကျွန်တော်ကတော့ Jeopardy-style CTF တွေကိုပဲ ဖြေဖြစ်တာများပါတယ်

CTF မှာဒီလို Type တွေကွဲတဲ့အပြင် Category အလိုက်ပါထပ်ကွဲပါသေးတယ်

– Web Hacking လို့ဆိုရမယ့် Webpage တွေရဲ့ အားနည်းချက်ကိုသုံးပြီး Flag ရှာတာ
– Cryptography လို့ခေါ်တဲ့, Data တွေကို Encrypt လုပ်ထားတဲ့ Algorithm တွေကို Break လုပ်ရတာမျိုး
– Steganography လို့ခေါ်တဲ့ Image/Video ထဲမှာ ဝှက်ထားတဲ့ ဝှက်စာကိုဖော်တာတွေ
– Binary file တခုကို Reverse Engineering technique တွေနဲ့ exploit လုပ်တာတွေ
– Server တွေကိုထိုးဖောက်ထင်ရောက်ပြီး Flag ရှာတာတွေ (Pwn) စသဖြင့် အမျိုးမျိုးကွဲပြားပါတယ်

အဲ့တာတွေအပြင် Forensics လို့ခေါ်တဲ့ Cyber Crime တခုဖြစ်သွားတဲ့အပေါ် Investigation လုပ်ရင်း Flag ရှာတာမျိုးတွေလဲပါဝင်ပါတယ်

အချုပ်ပြောရရင် CTF ဆိုတာကတော့ Hacker တွေရဲ့ Skill တွေတက်အောင် ကစားတဲ့ Playground တခုပါပဲ.. သင်ကိုယ်တိုင် CTF ကိုစတင်ပြီးလေ့လာချင်တယ်ဆိုရင် လေ့လာလို့ရတဲ့ Resource တွေကိုအောက်မှာပေးထားပါမယ်

များများ practice လုပ်ရင် Information Security နယ်ပယ်က ပြိုင်ပွဲတွေဝင်ပြိုင်လို့ရနိုင်ပါတယ်.. မြန်မာနိုင်ငံမှာသာမက ကမ္ဘာ့ IT ဈေးကွက်မှာပါ Security Specialist တွေဟာ တခြား IT ပညာရှင်တွေထက် demand များနေတာဖြစ်လို့ သင်သာစိတ်ဝင်တစားလုပ်မယ်ဆိုရင် ဝင်ငွေကောင်းတဲ့ Security Professional တယောက်အနေနဲ့ပါရပ်တည်နိုင်လာပါလိမ့်မယ်လို့ပြောရင်းနဲ့ပဲ နိဂုံးချုပ်လိုက်ပါတော့မယ်။

Resources for Learning

http://ctfs.github.io/resources/

https://ctftime.org/writeups

https://cftime.org/

https://github.com/apsdehal/awesome-ctf

https://trailofbits.github.io/ctf/forensics/

Source : https://dev.to/atan/what-is-ctf-and-how-to-get-started-3f04

Pyae Heinn Kyaw