CTF TUY QUAN TRỌNG NHƯNG KHÔNG PHẢI TẤT CẢ
Written By: Vincent Nguyen - Co Founder at khoaamita.com
CTF viết tắt của Capture The Flag (Việt Nam mình hay gọi là chơi cướp cờ). Đây là một game dạng thách đố và bạn sẽ thấy dạng game này rất nhiều trong đời sống hàng ngày từ các trò chơi vận động cho đến các câu đố về chuyên môn trong các ngành như IT, kiểm toán, v.v
Trong ngành bảo mật, dạng game CTF được sử dụng như một thao trường nhằm giúp các bạn mới vào ngành hoặc các bạn đã đi làm và muốn học thêm các cách thức khai thác lỗ hổng chuyên sâu hoặc chỉ đơn giản là để giải trí sau giờ làm.
Chơi CTF bên cạnh việc luyện kỹ năng nó còn luyện cho bạn cả tư duy của một người làm bảo mật. Bạn hay nghe trong ngành security có câu "Try harder" nhưng điều đó không có nghĩa là bạn cứ cắm đầu mà try và không cần biết và không cần hiểu mình đang try cái gì. Để biết nên try harder cái gì, bạn cần phải tự học, tự tìm tòi, tự tìm đáp án, không được bỏ qua bất cứ thông tin hay khả năng khai thác nào đồng thời phải hiểu mình đang làm gì và phải tuyệt đối tránh "học vẹt".
Khi chơi CTF nếu bạn bị bí, hãy cố gắng thử mọi khả năng bạn biết, nếu vẫn không thành công thì mới than khảo lời giải và cố gắng hiểu và thực hành lại lab đó đồng thời thử tìm xem ngoài cách giải đã được hướng dẫn, liệu có cách giải nào khác hay không?
CTF quan trọng vậy, nhưng nó không phải tất cả. Khi đi làm pentest, nó sẽ rất khác với khi chơi CTF. Với tất cả CTF labs, bạn đã biết chắc có ít nhất một cách cho phép bạn kiểm soát toàn hệ thống. Ngoài đời thật không đơn giản như vậy, là một pentester bạn phải trả lời những câu hỏi sau:
- (1) Hệ thống có dính lỗ hổng bảo mật không? Đây là điều khác hoàn toàn với CTF.
- (2) Nếu có, server nơi dính lỗ hổng có nằm trong scope của hợp đồng không?
- (3) Nếu có, mức độ nghiêm trọng của lỗ hổng đó theo dự đoán là như thế nào? điều gì xảy ra nếu bạn khai thác thành công hay khai thác thất bại?
Ý thứ 3 rất quan trọng vì có những lỗ hổng khai thác lỗi từ memory của hệ thống. Khi bạn khai thác những lỗ hổng kiểu này, nhiều khả năng hệ thống sẽ bị treo và buộc phải khởi động lại server để khắc phục; và đối với các công ty đặc biệt là công ty thương mại điện tử, việc server của họ bị treo hay phải khởi động lại là một thảm hoạ đối với họ. Do đó bạn phải nắm rất rõ điều khoản hợp đồng bao gồm những điều bạn được phép và không được phép làm để tránh rắc rối pháp lý về sau.
Thêm nữa, khi đi làm, phần lớn thời gian bạn sẽ phải pentest một mạng với vài servers và vài chục users, số lượng users và servers sẽ tăng theo quy mô của công ty, nên việc thu thập và phân tích dữ liệu để tìm xem server nào có lỗi bảo mật sẽ tốn rất nhiều thời gian. Nó khác biệt hoàn toàn với CTF, bạn chỉ có 1 server và biết chắc server này có lỗi để khai thác.
Phần nhiều các lỗ hổng trong doanh nghiệp sẽ là:
- Sử dụng mật khẩu mặc định hoặc mật khẩu quá dễ đoán hay quá dễ phá
- Không cập nhật vá lỗi
- Phần mềm không bản quyền, hết hạn bản quyền, phần mềm crack
- Quản lý mật khẩu và người dùng quá lỏng lẻo
- Tin tưởng các nội dung hoặc dữ liệu được upload lên server mà không có giải pháp kiểm tra lại hoặc filter quá dễ để bypass
- Tư duy của người đứng đầu doanh nghiệp khi dựa hoàn toàn vào quy định pháp luật để bảo vệ hệ thống công ty mình. Nhưng họ lại quên rằng, tội phạm mạng sống ngoài vòng pháp luật và không coi pháp luật ra gì. Chưa kể, liệu công ty có đủ khả năng truy vết, thu thập chứng cứ phạm tội bỏ sót của tội phạm trên hệ thống của mình sau khi bị tấn công hay không?
Phía trên là một vài chia sẻ của mình về chuyện chơi CTF và chuyện làm nghề pentest. Tụ chung lại, các bạn chơi CTF là điều rất tốt, nhưng hãy nên nhớ đi làm rất khác với đi chơi, nên khi làm pentest hãy cố gắng khiêm tốn, cởi mở để học hỏi những điều mới chứ đừng bảo thủ ôm khư khư các kinh nghiệm mình đã có trong CTF nhé.
Chúc các bạn học tốt,
Vincent Nguyen
Các bạn có thểm tham khảo các chuyên đề thực tế đi sâu từng nhánh trong Cyber Security:
Link online Cyber Security Class 24/24 anytime anywhere :
https://dao-tao-legal-hacking.khoaamita.com/