Facebook kunngjorde i går at Facebook CTF-plattform (Capture the Flag) er gjort tilgjengelig som åpen kildekode. Capture the Flag er i denne sammenheng en spesiell type informasjonssikkerhetskonkurranser hvor deltakerne både skal sikre en datamaskin mot angrep og samtidig angripe konkurrentenes maskiner.
Slike konkurranser arrangeres ofte i forbindelse med hackerkonferanser, men også i undervisningsøyemed, side de innenfor trygge og lovlige rammer gir deltakerne øvelse i å håndtere ulike typer angrep som også blir brukt i den virkelige verden.
For skoler og foreninger
Facebook opplyser at selskapet har arrangert slike konkurranser på college-nivå siden 2013, men at selskapet i økende grad har konsentrert seg om å bruke CTF-plattformen til å la yngre barn oppdage informatikk og IT-sikkerhet.
Ifølge selskapet er det svært begrenset med slik teknologi tilgjengelig for skoler, studenter og veldedige organisasjoner på grunn av høy pris og høye tekniske krav.
Derfor er noe av målet ved åpen kildekode-utgivelsen av Facebook CTF å gjøre det mulig for alle større og mindre grupper, med høyst forskjellige kunnskapsnivåer, å kunne arrangere egne konkurranser eller andre arrangementer med mål om å gjøre deltakerne dyktigere innen blant annet IT-sikkerhet.
Plattformen består av blant annet funksjonalitet som spillkart, lagregistrering og poenggivning. Men Facebook tilbyr et lite forråd med utfordringer som umiddelbart kan bli tatt i bruk. Dette er dog bare tilgjengelig på forespørsel, for å begrense muligheten for juks under konkurransene.
Utfordringene spenner over temaer som omvendt utvikling, forensisk IT, kryptografi og sikkerheten til webapplikasjoner.
Nyttig erfaring under jobbintervjuer
Forfatteren av kunngjøringen, Gulshan Singh, er programvareutvikler i Facebooks trusselinfrastruktur-team.
– Ikke bare har CTF-er muligheten til å gi opplæring flere tekniske ferdigheter enn du vil få i et gjennomsnitt studieprogram innen informatikk. De kan også hjelpe deg med å få tilgang til sikkerhetsbransjen, skriver Singh.
– Da jeg begynte å se etter fulltidsstillinger, oppdaget jeg at jobbintervjuer innen sikkerhet har mye felles med CTF-utfordringer, noe som gjorde det enklere for meg å demonstrere mine tekniske ferdigheter, forteller han. Årsaken var at han allerede under studietiden ble introdusert for denne typen tester eller konkurranser.
– For eksempel lærte jeg om RSA-kryptering under mine informatikkurs, men CTF-ene lærte meg hvordan det kan knekkes dersom det ikke er skikkelig implementert, noe som skjer hele tiden i den virkelige verden. Det er veldig morsomt å lære den offensive siden av sikkerhet. Men ved å lære om disse feilene blir du også en bedre forsvarer, skriver Singh.
Facebook CTF er tilgjengelig på GitHub. Programvaren er lagd for å kjøres på Ubuntu 14.04. Kildekoden er utgitt med Creative Commons Attribution-NonCommercial 4.0 International-lisens.
- Norge taper milliarder: «Slike saker er umulig å oppklare, blir de fortalt. Pengene er tapt uansett»
Stort behov
IT-sikkerhet får stadig mer oppmerksomhet. IT brukes på stadig nye områder, datamengdene vokser og løsningene blir hele tiden mer komplekse. Dette gjør det både vanskeligere å sikre systemene, samtidig som kriminelle aktører hele tiden forsøker å få tilgang til de samme systemene.
En utfordring er at etterspørselen etter IT-sikkerhetsspesialisert synes å være større enn tilgangen globalt, en situasjon som er ventet å bli betydelig forverret i årene som kommer. En prognose som FrostSullivan kom med for et drøyt år siden, spås det at det globalt vil være 1,5 millioner ubesatte IT-spesialiststillinger globalt i 2020.
- Leste du denne? Bedrifter øver på brann, men ikke på IT-angrep