Crate-CTF - En tävling i cybersäkerhet

FOI arrangerar årligen cybersäkerhetstävlingen Crate-CTF, där kluriga uppgifter leder dig till dolda flaggor. Den senaste tävlingen gick av stapeln den 26 november 2022.

En CTF (Capture the Flag) är ett tävlingsinriktat övningsformat där deltagarna ges uppgifter inom cybersäkerhet och hantering av IT-system som ska lösas inom en viss tid. Crate-CTF bygger på det så kallade Jeopardy-formatet, där varje uppgift innehåller en egen flagga i form av en krypterad eller på annat sätt dold textsträng. Det gäller för deltagarna att med hjälp av den information som tillhandahålls, och med en god portion list och klurighet, hitta flaggan och därmed få poäng.

I Crate-CTF utmanar vi både nybörjare och avancerade tävlare. Uppgifterna är fördelade i kategorierna Exploatering, Kryptografi, Reversering, Forensik och Webb.

Hur man deltar

Deltagandet sker över internet, enskilt eller i grupp. För att kunna delta behövs tillgång till en dator med internetförbindelse. Du ansvarar själv för de verktyg du vill använda för att lösa uppgifterna. När det går att registrera sig för tävlingen publicerar vi en länk på denna sida.

Under genomförandet kommer forskare från FOI att finnas tillgängliga för att hantera den tekniska plattformen. Forskarna kan också besvara eventuella frågor via Discord.

Alla utmaningar innehåller den information som behövs för att lösa uppgiften. Det är sedan upp till dig att med hjälp av din kunskap, klurighet och en och annan sökning på internet hitta de gömda flaggorna. Alla flaggor inleds med cratectf följt av en hemlig del. När du har hittat en flagga, registrerar du HELA flaggan (alltså inklusive cratectf) via ditt konto på CTF-plattformen.

Vissa utmaningar inkluderar filer som du kan ladda ner och analysera på din dator. Andra utmaningar kräver att du interagerar med tjänster som publiceras av FOI. Trafiken till de publicerade tjänsterna kommer att spelas in enligt nedanstående information.

I samband med att du deltar kommer vi också att be dig besvara en enkät om hur du upplever cybersäkerhetsövningen. Enkäten är frivillig men kommer att vara mycket värdefull för vår kunskap om hur CTF-övningar kan arrangeras framgent.

Datainsamling

Crate-CTF 2022 finansierades av Myndigheten för samhällsskydd och beredskap (MSB) och FOI. För att möjliggöra framtida forskning samlades data från genomförandet av Crate-CTF in. Denna data sparas. Insamlade data kommer enbart att användas av FOI.

De data som samlas delas in i två kategorier, dels den information som du som deltagare registrerar i CTF-plattformen, dels nätverkstrafik som spelas in under genomförandet av CTF:en.

I CTF-plattformen lagras den e-postadress du väljer att använda när du registrerar dig samt den IP-adress du registrerar dig ifrån. Genom att skapa ett konto på plattformen godkänner du hanteringen av personuppgifter i plattformen. Under genomförandet kommer den nätverkstrafik som genereras mot målservrarna som används som del av själva övningen att spelas in. Denna trafik kommer att innehålla IP-adresser som räknas som personuppgifter. Vidare kommer även den information som förmedlas via supportkanalen Discord att spelas in och lagras, detta gäller dock endast textkommunikation och inte ljudupptagningar.

Vi ber er att inte mata in personuppgifter i någon av de tjänster som används som mål under CTF:en eller i supportkanalen Discord. FOI är personuppgiftsansvarig för de uppgifter som samlas in. Insamlad data hanteras enbart av FOI. Alla data som samlas in, undantaget Discord, hanteras endast på FOI:s servrar i Sverige. För data relaterat till Discord hänvisar vi till Discords användaravtal. Data sparas så länge som myndighetens styrande dokument kräver på ett säkert sätt och delas inte med tredje part.