Facit finns nu publicerat på https://ctf.crate.foi.se/facit.
Information
Crate-CTF är ett capture-the-flag-event som anordnas av Totalförsvarets Forskningsinstitut (FOI) i samarbete med Försvarsmakten och genomförs lördag den 16 november 2024 klockan 14:00-22:00. För mer information om eventet hänvisas till FOI:s externweb.
I samband med eventet kommer det anordnas en livestream med allt från detaljer kring poängställningen till spelutmaningar och bygge av retrodatorer. Var med, ställ en fråga eller två, eller bara lyssna på https://www.youtube.com/live/edTmaN4lILw.
På denna sida registrerar man sitt konto samt skapar ett lag att tävla med (eller går med i någon annans). När eventet startar kommer utmaningarna göras åtkomliga under 8 timmar via rubriken Utmaningar ovan. Svaren på utmaningarna (d.v.s. flaggorna) matas in för respektive utmaning, och om flaggan är korrekt tilldelas laget poäng. Det lag som har högst poäng när tiden är slut vinner! Om flera lag får samma poäng, vinner de som först nådde dit.
För teknisk support under eventet, se kontaktuppgifter nedan.
Verktyg
Det är upp till var och en vilken typ av verktyg som används för att lösa utmaningarna så länge reglerna följs. Det enda som behövs för att kunna läsa utmaningarna och skicka in svaren är en internetuppkopplad dator och en webbläsare. Flera av utmaningarna är dock interaktiva och kommunicerar över TCP/IP på specifika portar, och några kräver i praktiken enklare programmering/scripting för att kunna lösas. Man kommer långt med exempelvis netcat och Python, men med tillgång till en Linuxmiljö t.ex. Kali Linux, så inkluderas utöver dessa flera användbara verktyg. En Linuxmaskin kan virtualiseras med bland annat VirtualBox och VMware Workstation Player.
Utmaningarna
Det finns utmaningar inom kategorierna forensik, reversering, exploatering, webb, kryptografi, OSINT och övrigt.
Forensikutmaningar går ut på att läsa ut dold eller gömd information som finns i en fil eller ett nätverksflöde.
Utmaningar inom reversering kan exempelvis vara exekverbara binärfiler där det gäller att förstå och ändra programflöden för att slutligen kunna få ut en flagga.
Vid exploatering gäller det att först hitta och sedan utnyttja en eller flera sårbarheter i en applikation, för att på så vis ändra programflödet till sin fördel, och därmed få ut en flagga.
Webbutmaningar kan vara utformade på olika vis, men gemensamt är att de är kopplade till en viss webbtjänst.
Kryptografiska utmaningar fokuserar på bland annat slump, hash- och krypteringsalgoritmer och är ibland av mer matematisk karaktär.
OSINT-uppgifter (open source intelligence) går ut på att använda eller kombinera publikt tillgänglig information om till exempel en person eller plats för att lösa en uppgift.
Kategorin övrigt innehåller allt som inte platsar i någon av de andra kategorierna. Surprise, surprise!
Vissa utmaningar är märkta med texten uppvärmning i beskrivningen. Tanken är att dessa utmaningar lämpar sig bra att börja med för dig som kanske gör din första CTF. I övrigt är utmaningarna inte sorterade efter svårighetsgrad, utan det är upp till deltagarna att avgöra vilka utmaningar som är enkla respektive svåra. Om du fastnar på en utmaning kan det löna sig att pröva på en annan!
Poängsättning
Crate-CTF använder dynamisk poängsättning av utmaningarna. Det innebär att poängen man får för en utmaning justeras utifrån hur många lag som har löst utmaningen. Utmaningar med många lösningar ger färre poäng än utmaningar med få lösningar. Värt att notera är att poängsättningen även sker retroaktivt, vilket innebär att den slutgiltiga poängen du får för en utmaning kan minska i takt med att fler lag löser utmaningen.
Regler
- En deltagare får endast vara med i ett lag, men ett lag har ingen begränsning på antal deltagare (dela dock gärna upp i mindre lag)
- Det är inte tillåtet att dela flaggor eller ledtrådar till utmaningarna mellan lagen.
- Det är strängt förbjudet att göra något som kan förstöra eller påverka för andra lag, exempelvis attackera infrastrukturen eller hindra andra lag från att lösa utmaningar och skicka in flaggor.
- Undvik att använda automatiserade verktyg som skickar stora mängder data. Dessa behövs inte för att lösa utmaningarna. Om du känner dig tveksam ifall ett visst verktyg faller under den här kategorin, skicka gärna ett meddelande till administratörerna innan du kör det.