Crate-CTF - En tävling i cybersäkerhet

Antar du höstens utmaning? För fjärde året i rad arrangerar FOI cybersäkerhetstävlingen Crate-CTF, där kluriga uppgifter leder dig till dolda flaggor. Tävla individuellt eller samla dina vänner för att lösa uppgifterna tillsammans – är du intresserad av cybersäkerhet vågar vi garantera att du får en rolig eftermiddag. Tävlingen går av stapeln lördagen den 18 november 2023 kl. 14.00 – 22.00.

En CTF (Capture the Flag) är ett tävlingsinriktat övningsformat där deltagarna ges uppgifter inom cybersäkerhet och hantering av IT-system som ska lösas inom en viss tid. Crate-CTF bygger på det så kallade Jeopardy-formatet, där varje uppgift innehåller en egen flagga i form av en krypterad eller på annat sätt dold textsträng. Det gäller för deltagarna att med hjälp av den information som tillhandahålls, och med en god portion list och klurighet, hitta flaggan och därmed få poäng.

I Crate-CTF utmanar vi både nybörjare och avancerade tävlare. Uppgifterna är fördelade över olika kategorier.

Boka in lördagen den 18 november för att ta dig an uppgifterna – eller varför inte samla ihop några vänner och lösa klurigheterna tillsammans?

Hur man deltar

Crate-CTF genomförs lördagen den 18 november 2023 kl. 14.00 – 22.00 och deltagandet sker över internet, enskilt eller i grupp. För att kunna delta behövs tillgång till en dator med internetförbindelse. Du ansvarar själv för de verktyg du vill använda för att lösa uppgifterna.

För att delta i Crate-CTF behöver du registrera dig, och anmälan öppnar den 4 oktober. Under genomförandet kommer forskare från FOI att finnas tillgängliga för att hantera den tekniska plattformen. Forskarna kan också besvara eventuella frågor via Discord.

Kl. 14.00 den 18 november kommer utmaningarna att bli tillgängliga via CTF-plattformen enligt ovanstående länk (länken lägger vi ut den 4 oktober). Alla utmaningar innehåller den information som behövs för att lösa uppgiften. Det är sedan upp till dig att med hjälp av din kunskap, klurighet och en och annan sökning på internet hitta de gömda flaggorna. Alla flaggor inleds med cratectf följt av en hemlig del. När du har hittat en flagga, registrerar du HELA flaggan (alltså inklusive cratectf) via ditt konto på CTF-plattformen.

Vissa utmaningar inkluderar filer som du kan ladda ner och analysera på din dator. Andra utmaningar kräver att du interagerar med tjänster som publiceras av FOI. Trafiken till de publicerade tjänsterna kommer att spelas in enligt nedanstående information.

I samband med att du deltar kommer vi också att be dig besvara en enkät om hur du upplever cybersäkerhetsövningen. Enkäten är frivillig men kommer att vara mycket värdefull för vår kunskap om hur CTF-övningar kan arrangeras framgent.

Datainsamling

Crate-CTF 2023 finansieras inom verksamheten för cyberanläggningen Crate hos FOI. För att möjliggöra framtida forskning kommer data från genomförandet av Crate-CTF att samlas in och sparas. Insamlade data kommer enbart att användas av FOI.

De data som samlas delas in i två kategorier, dels den information som du som deltagare registrerar i CTF-plattformen, dels nätverkstrafik som spelas in under genomförandet av CTF:en.

I CTF-plattformen lagras den e-postadress du väljer att använda när du registrerar dig samt den IP-adress du registrerar dig ifrån. Genom att skapa ett konto på plattformen godkänner du hanteringen av personuppgifter i plattformen. Under genomförandet kommer den nätverkstrafik som genereras mot målservrarna som används som del av själva övningen att spelas in. Denna trafik kommer att innehålla IP-adresser som räknas som personuppgifter. Vidare kommer även den information som förmedlas via supportkanalen Discord att spelas in och lagras, detta gäller dock endast textkommunikation och inte ljudupptagningar.

Vi ber er att inte mata in personuppgifter i någon av de tjänster som används som mål under CTF:en eller i supportkanalen Discord. FOI är personuppgiftsansvarig för de uppgifter som samlas in. Insamlad data hanteras enbart av FOI. Alla data som samlas in, undantaget Discord, hanteras endast på FOI:s servrar i Sverige. För data relaterat till Discord hänvisar vi till Discords användaravtal. Data sparas så länge som myndighetens styrande dokument kräver på ett säkert sätt och delas inte med tredje part.