Attack & Defend CTF: Gamified Cybersecurity
Cyber Security
Client company:Defenced
Tim van Antwerpen
Rob Boorsma
Luca Gram
Marijn de Jong
Salah Moustafa
Pim Sanders
Project description
Dit onderzoek heeft zich gericht op het ontwerpen, uitvoeren en overdragen van een Attack & Defend Capture the Flag (CTF), een gamified leerervaring voor Fontys ICT-studenten om kennis over cybersecurity te vergroten. Het project bouwt voort op eerdere successen met een jeopardy-stijl CTF en richt zich op meer geavanceerde technieken, namelijk het aanvallen en verdedigen van systemen, en het patchen van kwetsbaarheden.
De volgende onderzoeksvraag is gebruikt:
Hoe kan een Attack & Defend stijl CTF opgezet, uitgevoerd en overgedragen worden, zodat Fontys ICT-studenten op een gamified manier meer over cybersecurity kunnen leren?
Context
In semester 4 Cybersecurity hadden twee studenten, Tim van Antwerpen en Pim Sanders, een idee om een eigen jeopardy-stijl CTF op te zetten voor de studenten in dat semester om hun kennis te laten maken met een gamified versie van Cybersecurity en om ze te helpen leeruitkomsten aan te laten tonen voor dat semester. Na het succes van dit project was het plan ontstaan om verder te bouwen op het idee van dit project door middel van een Attack & Defend CTF.
Dit thema streeft af van de traditionele CTF in de zin dat het een wedstrijd tussen 2 (of meer) teams is met als doel om flags (vaak een reeks karakters) van de tegenstander te veroveren. De teams hebben een identieke infrastructuur met zwakheden erin waar andere teams gebruik van kunnen maken om deze flags te veroveren. Wanneer een flag succesvol is veroverd, of wanneer een aanval succesvol is afgeslagen, worden er punten toegekend aan het team. Aan het einde van de aangewezen speeltijd is het team met de meeste punten de winnaar.
Het uiteindelijke doel als team is om, terwijl de zwakheden opgelost moeten worden voordat er flags worden gestolen door een rivaliserend team, ook nog bij andere teams flags te stelen. Hierbij is er (vaak) sprake van scheidsrechter, vaak de organisatie zelf, die een overkoepelende rol speelt om ervoor te zorgen dat alles binnen de regels verloopt.
Results
Hoewel de daadwerkelijke uitvoering van de CTF niet is gelukt vanwege technische en organisatorische beperkingen, heeft het project de volgende resultaten opgeleverd:
- Infrastructuur: een functionerende gameserver, attackserver en defendserver
- Challenges: een aantal challenges die, na verdere uitbreidingen, gebruikt kunnen worden oms studenten te leren over verschillende kwetsbaarheden.
- Overdraagbaarheid: documentatie en richtlijnen voor toekomstige groepen om voort te bouwen op de geleverde systemen.
Voor volgende iteraties van dit project is het belangrijk dat er meer goed werkende challenges zijn, zodat de CTF ook gespeeld kan worden door de studenten.
Ondanks dat de CTF niet volledig is gerealiseerd, biedt het project belangrijke onderdelen en inzichten voor toekomstige iteraties. Met aanvullende ontwikkeling kan dit platform een goede leerervaring bieden voor studenten in cybersecurity.