Thật khó để tưởng tượng rằng ngành an toàn thông tin đã trở nên phổ biến đến thế nào. Ai cũng có ít nhất một người bạn là hacker, các chuyên gia an ninh mạng xuất hiện trên báo hàng tuần, còn talk show về bảo mật thì diễn ra đều đặn hơn cả tần suất cô Hằng live stream trên Youtube.
Mới đây, ba bạn trẻ Hùng, Thành và Tiến, đến từ những công ty hàng đầu về infosec đã cùng nhau tắt mạng xã hội mấy ngày để tham gia một cuộc thi CTF quốc tế, với tổng giải thưởng dù không quá lớn nhưng cũng không nhỏ. Tất nhiên không có bất ngờ nào xảy ra, vì chúng ta đều biết những con người này chỉ không thắng nếu họ không muốn chơi.
Trò chơi của giới hacker
CTF, hay Capture The Flag không phải là khái niệm xa lạ với những ai đã và đang làm việc trong ngành an toàn thông tin, thậm chí nhiều người còn gọi đây là Trò chơi của giới hacker.
Có hai hình thức phổ biến trong một cuộc thi CTF là Jeopardy và Attack/Defense. Hai hình thức này có điểm chung là các đội chơi tìm cách khai thác những lỗi bảo mật được xây dựng bởi đội ngũ ra đề, từ đó đọc được (Capture) một dữ liệu bí mật (Flag) và ghi điểm. Tuy nhiên với Attack/Defense, bên cạnh việc tấn công, các đội chơi cũng đồng thời phải tìm cách ngăn chặn việc lỗi trên hệ thống của mình bị khai thác bởi đội chơi khác.
Ở cuộc thi mà nhóm bạn trẻ của chúng ta vừa tham gia, ban tổ chức có một hệ thống rất nhiều máy chủ và một vài trong số đó sẽ chứa Flag. Nhiệm vụ của người chơi là bằng mọi cách đọc được các Flag này.
“Trong hầu hết trường hợp, việc tiếp cận các máy chủ mục tiêu sẽ phải thông qua những máy chủ trung gian, và tùy cách bố trí Flag của ban tổ chức mà việc xâm nhập sẽ khó hay dễ, gồm ít hay nhiều bước.
Ngoài ra, điểm khác biệt của cuộc thi này so với các cuộc thi CTF thông thường nằm ở chỗ đây là một hệ thống đang hoạt động thật, nên những máy chủ này có thể có lỗi hoặc không. Nói cách khác, chúng ta có đề bài mà chưa chắc đã có đáp án”, Tiến giải thích.
“Một khó khăn nữa là ban tổ chức yêu cầu các đáp án này phải khác nhau. Tức là nếu ai đó tìm ra một lỗ hổng cho phép đọc được toàn bộ Flag trên các máy chủ mục tiêu, thì phần thưởng cũng chỉ tương đương với việc đọc được 1 Flag. Đây là một thách thức, nhưng đồng thời cũng là động lực để cuộc chơi trở nên hấp dẫn hơn”, Hùng bổ sung thêm.
Nói về kỹ thuật mà nhóm đã sử dụng, Hùng xin phép không chia sẻ cụ thể do nặng về chuyên môn và nhiều khả năng là bạn đọc không hiểu, nhưng bật mí rằng nhóm của mình “đã có một màn trình diễn rất đẹp mắt”, trừ việc đôi lúc quên tắt Unikey trước khi nhập lệnh.
Một thứ đã lâu rồi không chơi
Ít ai biết rằng, dù tên tuổi không được nhiều người để ý đến, nhưng đây không phải lần đầu tiên mà ba chàng trai này đi thi và giành giải.
Thành tâm sự, cùng với Hùng, anh Tiến và các thành viên khác của team BabyPhD, nhóm đã có nhiều đêm thức trắng để chơi CTF từ những năm 2013, 2014. Ngày ấy, dù giải thưởng chỉ mang giá trị tinh thần, nhưng ai cũng chơi đến quên ăn quên ngủ. Tiếc là theo thời gian khi phong trào đi xuống, các hoạt động liên quan đến CTF của nhóm cũng không diễn ra thường xuyên nữa.
“Nhờ có cuộc thi này mà mọi người có cơ hội ngồi lại với nhau, và chơi một thứ đã lâu rồi không chơi”.
Khi được hỏi về dự định sắp tới, ba chàng trai tỏ ra ngạc nhiên, cho biết sẽ tiếp tục những gì trước giờ đã và đang làm, đó là nghiên cứu, đào sâu thêm về an toàn thông tin, vì công việc này từ lâu đã trở thành một sở thích.
“Giải thưởng lần này chỉ là một trong rất nhiều thành tích mà nhóm đã đạt được, nên ảnh hưởng gần như không có. Bọn mình là những người làm về kỹ thuật, chủ yếu vẫn tập trung vào phát triển chuyên môn, lâu lâu nếu thu xếp được để chơi CTF cùng nhau thì tốt. Nói chung là trước cuộc thi hay sau cuộc thi vẫn như vậy, không thay đổi gì”, Thành khẳng định.
MSV