UNICODE
အခုနောက်ပိုင်း Information Security နယ်ပယ်မှာ Challenge တွေ Competition တွေတော်တော်များများပေါ်ပေါက်လာပါတယ်.. မြန်မာနိုင်ငံမှာလဲ Myanmar Cyber Security Challenge (MCSC) လိုပြိုင်ပွဲမျိုးတွေကို နှစ်တိုင်းကျင်းပနေပါပြီ.. ဒီလိုပြိုင်ပွဲတွေမှာအဓိက ပြိုင်ရတာကတော့ CTF (Capture the Flag) လို့ခေါ်တဲ့ Challenge မျိုးတွေပဲဖြစ်ပါတယ်
CTF ဆိုတာဘာလဲ? များသောအားဖြင့် System တခု ဒါမှမဟုတ် Server တခု ဒါမှမဟုတ် Website တခုရဲ့ Location တနေရာရာမှာ Text String တခုကိုဝှက်ထားမယ်.. ပြိုင်ပွဲဝင်တွေက အဆိုပါ Server, Website တွေကိုထိုးဖောက်ဝင်ရောက်ပြီး မြုပ်ထားတဲ့ Text String ကိုရှာပေးရမှာဖြစ်ပါတယ်
အဲ့ဒီ Text ကို Flag လို့လဲခေါ်တယ် ဒါကြောင့် Capture the Flag လို့ နာမည်တွင်တာဖြစ်ပါတယ်.. များသောအားဖြင့် အဆိုပါ Flag တွေရဲ့ Format က ဒီလိုပုံစံမျိုးရှိတတ်ပါတယ် ” Flag{some_texts_here} “. နာမည်အကြီးဆုံး CTF ပြိုင်ပွဲကတော့ နှစ်စဉ် Las Vegas မှာကျင်းပတဲ့ DEFCON ပဲဖြစ်ပါတယ်
CTF မှာတော့အဓိကအားဖြင့် ပုံစံ ၃ မျိုးတွေ့ရတတ်တယ်.. Jeopardy လို့ခေါ်တဲ့ Problem တွေ solve လုပ်ပြီး Flag ရှာရတဲ့ type ရယ်.. Attack-Defense လို့ Team အချင်းချင်း Attack ရော Defense ပါလုပ်ရတဲ့ CTF အမျိုးအစားရယ်နဲ့ အဲ့နှစ်ခုကိုရောထားတဲ့ Mixed type ရယ်ဆိုပြီးပဲဖြစ်ပါတယ်
Attack-Defense type ကိုအနည်းငယ်ထပ်ရှင်းပြချင်ပါတယ်.. Team တခုချင်းစီတိုင်းကို ယိုပေါက်တွေရှိနေတဲ့ Network တခုစီပေးထားပါတယ်.. အဲ့နောက်မှာတော့ ပြိုင်ပွဲစပြီဆိုတာနဲ့ အဆိုပါ Team member တွေက ကိုယ့် network ယိုပေါက်ကိုလဲ ပြင်ရမယ်, တခြား team ရဲ့ network ကိုလဲ ထိုးဖောက်ရမယ့် Exploit တွေလဲရှာရ, ရေးရမှာဖြစ်ပါတယ်.. ကျွန်တော်ကတော့ Jeopardy-style CTF တွေကိုပဲ ဖြေဖြစ်တာများပါတယ်
CTF မှာဒီလို Type တွေကွဲတဲ့အပြင် Category အလိုက်ပါထပ်ကွဲပါသေးတယ်
– Web Hacking လို့ဆိုရမယ့် Webpage တွေရဲ့ အားနည်းချက်ကိုသုံးပြီး Flag ရှာတာ
– Cryptography လို့ခေါ်တဲ့, Data တွေကို Encrypt လုပ်ထားတဲ့ Algorithm တွေကို Break လုပ်ရတာမျိုး
– Steganography လို့ခေါ်တဲ့ Image/Video ထဲမှာ ဝှက်ထားတဲ့ ဝှက်စာကိုဖော်တာတွေ
– Binary file တခုကို Reverse Engineering technique တွေနဲ့ exploit လုပ်တာတွေ
– Server တွေကိုထိုးဖောက်ထင်ရောက်ပြီး Flag ရှာတာတွေ (Pwn) စသဖြင့် အမျိုးမျိုးကွဲပြားပါတယ်
အဲ့တာတွေအပြင် Forensics လို့ခေါ်တဲ့ Cyber Crime တခုဖြစ်သွားတဲ့အပေါ် Investigation လုပ်ရင်း Flag ရှာတာမျိုးတွေလဲပါဝင်ပါတယ်
အချုပ်ပြောရရင် CTF ဆိုတာကတော့ Hacker တွေရဲ့ Skill တွေတက်အောင် ကစားတဲ့ Playground တခုပါပဲ.. သင်ကိုယ်တိုင် CTF ကိုစတင်ပြီးလေ့လာချင်တယ်ဆိုရင် လေ့လာလို့ရတဲ့ Resource တွေကိုအောက်မှာပေးထားပါမယ်
များများ practice လုပ်ရင် Information Security နယ်ပယ်က ပြိုင်ပွဲတွေဝင်ပြိုင်လို့ရနိုင်ပါတယ်.. မြန်မာနိုင်ငံမှာသာမက ကမ္ဘာ့ IT ဈေးကွက်မှာပါ Security Specialist တွေဟာ တခြား IT ပညာရှင်တွေထက် demand များနေတာဖြစ်လို့ သင်သာစိတ်ဝင်တစားလုပ်မယ်ဆိုရင် ဝင်ငွေကောင်းတဲ့ Security Professional တယောက်အနေနဲ့ပါရပ်တည်နိုင်လာပါလိမ့်မယ်လို့ပြောရင်းနဲ့ပဲ နိဂုံးချုပ်လိုက်ပါတော့မယ်။
Resources for Learning
http://ctfs.github.io/resources/
https://github.com/apsdehal/awesome-ctf
https://trailofbits.github.io/ctf/forensics/
Source : https://dev.to/atan/what-is-ctf-and-how-to-get-started-3f04
Pyae Heinn Kyaw