Selamlar,

Ben Muhammet Şahin ADİBAŞ, bu yazımda sizlere CTF (Capture The Flag) yarışmalarından bahsedeceğim CTF nedir, nasıl öğrenilir ve çözülür gibi konular için sizlere kaynak göstermeye, bir başlangıç noktası vermeye çalışacağım. Öncelikle ne olduğundan başlamak, daha iyi kavramamıza yardımcı olacaktır.



Öncelikli olarak Siber Güvenlik alanı ile ilgili yarışmaların başında geliyor diyebilirim, Türkçesi "Bayrağı Yakala" olan bu yarışmalarda bireysel veya takım halinde yarışmak mümkündür, yarışmacılara belirli bir süre verilir. Bu süreler 8 saat, 1 gün, 2 gün, 1 hafta gibi organizasyona bağlı olarak değişebilir. Bu süre içerisinde yarışmacılar verilen soruları çözerek yani CTF değimiyle flagleri yakalayarak puan kazanmaya çalışır, soruları en çok ve en hızlı şekilde çözenler ise scoreboard'da üst sıralarda yer alarak ödülü kazanma şansı yakalarlar.

Bu yarışmalarda genel olarak firmalar ve kurumlar işe alabilecekleri Siber Güvenlik uzmanlarını bulmaya çalışıyor.

Genellikle iki veya üç aşamalı olan bu yarışmalarda, öncelikle online yarışma yapılır bunun sonucunda belirli bir sıralamaya giren yarışmacılar final aşamasına erişir. Offline CTF'e davet edilirler.

CTF yarışmaları iki kategori olarak ayrılıyor:
Jeopardy: Belli bir zaman aralığında sorulan soruları cevaplamaya yöneliktir. Soruların zorluk seviyeleri, puanları birbirinden farklıdır. Yarışmaya katılan bireyler veya ekipler en çok puanı toplamaya çalışırlar.

Attack & Defence: Bu tür yarışmalarda her ekibe bir sistem tahsis edilmiştir. Ekipler hem kendi sistemini koruyup hem de karşı grubun sitemine sızmaya çalışırlar.

Sorulan sorulardan bahsedecek olursak her yarışmaya göre değişir, genel kategorileri Web, Mobil, Kriptoloji, Steganografi, OSINT, Forensics & Network, Reverse Engineering, Misc ve Pwning & Exploiting olarak söyleyebiliriz.



Web: Web sitelerindeki zafiyetleri kullanarak Flag bulmanız istenilir.

Mobil: Zafiyet içeren bir mobil uygulamanın APK’sı veya ilgili dosyaları verilir.

Kriptoloji: Şifrelenmiş bir şeyler verilir, çözülmesi istenir.

Steganografi: Eski Yunanca'da "gizlenmiş yazı" anlamına gelir ve bilgiyi gizleme (önemli: şifreleme değil) bilimine verilen addır. Sorularda da karşınıza içine bir şeyler gizlenmiş bazen bir resim bazen bir ses bazen başka bir şey verilir, eğlenceli bir kategoridir.

OSINT: Açık Kaynak İstihbaratı, Bu tarz CTF soruları aslında sizden istedikleri hedefe ya da verdikleri bilgiler doğrultusunda stalk yapmanızı istiyordur, yani bunu sadece sosyal medya olarak düşünmeyin bütün internet alemini düşünün (bazı yarışmalarda deep web dahil) flag her yerde olabilir. Bazen map de bir sokakta gezerken bazen bir mobesa izlerken bulabilirsiniz kendinizi :)) Sevdiğim ve çözerken oldukça eğlendiğim kategorilerden biridir.

Forensics & Network: Genelde dosya format analizleri, ağ paket analizleri, ağ incelenmesi, RAM imajları, bellek dökümlerinin incelenmesi gibi sorularla karşılaşabilirsiniz.

Reverse Engineering: Türkçeye “Tersine Mühendislik” olarak çevirebileceğimiz bir yazılımın ve donanımın nasıl çalıştığını anlamak için yapılan, kaynak kodlarına erişim olmamasına rağmen, sistem yapısını çözmesinden başlayarak ve kaynak kodu çıkarana kadar geçen evredir. Sadece bir yazılım olarak düşünmeyin, donanımlara da hatta her türlü makineye reverse engineering yapılabilir.

Misc: Türkçesi "ortaya karışık" anlamına gelir. Biraz kripto, biraz pwn, biraz reverse her şey içerebilir adı üstünde karmaşıktır.

Pwning & Exploiting: Genelde size bir sistem ve kaynak kodu verilir. Siz sistemdeki kodu anlayarak, sistemi analizlerini yaparak, zafiyetlerini tarayarak, çeşitli toollar yardımıyla ve yazdığınız kod parçacıklarıyla sistemi exploit etmeye çalışırsınız. 

Kendinizi CTF alanında geliştirmek bu tarz yarışmalara hazırlanmak için aşağıda linkini bıraktığım CTF sitelerinden sorular çözmeye çalışabilir, çözemediğiniz soruları veya takıldığınız noktaları internette araştırarak bilginize bilgi katabilirsiniz. Ayrıca bir diğer husus ise Geçmişte düzenlenen CTF yarışmalarında sorulan soruların Writeuplarını (Çözümlerini) okuyabilir, yeni yöntemler ve bakış açıları kazanarak kendinizi geliştirebilirsiniz.

Bazı CTF Siteleri:
- https://www.priviahub.com (Türk CTF Sitesi)
- https://www.hackthebox.eu
- https://ringzer0ctf.com
- https://www.root-me.org
- https://ctflearn.com


                STM CTF Offline Final Yarışmasından bir görüntü
 
Ülkemizde ve Dünya da bu tarz yarışmalar sürekli düzenleniyor, https://ctftime.org adresinden Dünya da düzenlenen CTF yarışmalarını takip edebilirsiniz. Siber Güvenlik kurum ve firmalarının, aşağıda yazdığım başlıca CTF yarışmalarının resmi sosyal medya hesaplarını takip ederek düzenlenecek olan yarışmalardan haberdar olabilirsiniz.

Ayrıca kendi oluşturuğum Telegram kanalıma gelerek Türkiye'de düzenlenen Siber Güvenlik etkinliklerinden haberdar olabilirsiniz. ( Katılmak için: https://t.me/siberetkinlik )

Türkiye de düzenlenen CTF yarışmalarına başlıca olarak;
- HACKİSTANBUL (Teknofest yarışmalarından biridir 2020 yılındaki adı HACKZEUGMA'dır.)
- STM CTF (STM Savunma Teknolojileri Mühendislik ve Ticaret A.Ş. tarafından düzenleniyor.)
- Siber Yıldız (BTK tarafından düzenleniyor.)
- Turkcell CyberCamp (Turkcell tarafından düzenleniyor.)
gibi yarışmaları örnek olarak verebilirim.

Bu yazımın burada sonuna geldim, okuğunuz için teşekkür ederim. Umarım size biraz da olsa faydalı bir şeyler sunmak konusunda başarılı olabilmişimdir herhangi bir sorunuz olursa Twitter hesabımdan Direct Message olarak yazabilirsiniz, Kişisel Blog sitemdeki diğer yazılarıma da göz atabilirsiniz.

Twitter: https://twitter.com/muhammetadibas
Blog: https://muhammetsahinadibas.com.tr

İyi Çalışmalar..