Πλατφόρμα εκμάθησης σε διάφορα θέματα κυβερνοασφάλειας μέσα από ένα Capture the Flag (CTF)

Σφενδουράκης, Μάριος; Sfendourakis, Marios

Πλατφόρμα εκμάθησης σε διάφορα θέματα κυβερνοασφάλειας μέσα από ένα Capture the Flag (CTF)

Αρχεία

SfendourakisMarios2025.pdf (2.38 MB)

Ημερομηνία

2025-07-15

Συγγραφείς

Σφενδουράκης, Μάριος

Sfendourakis, Marios

Εκδότης

ΕΛΜΕΠΑ, Σχολή Μηχανικών (ΣΜΗΧ), Τμήμα Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών

Επιβλέπων

Μαρκάκης, Ευάγγελος
Markakis, Evangelos

Περίληψη

Καθώς η τεχνολογία εξελίσσεται με γοργούς ρυθμούς τα τελευταία χρόνια όλο και περισσότερο αναγκαία είναι η ύπαρξη ασφάλειας των προσωπικών δεδομένων των ανθρώπων. Oι κακόβουλοι χρήστες είτε εκμεταλλεύονται ευπάθειες των ηλεκτρονικών συστημάτων, είτε χρησιμοποιούν τις ανθρώπινες αδυναμίες με σκοπό να βλάψουν τους χρήστες και να αποκομίσουν κέρδος από αυτούς. Το καίριο ζήτημα με το οποίο έρχεται αντιμέτωπη η σύγχρονη κοινωνία είναι η αδήριτη ανάγκη για μείωση των ποσοστών των θυμάτων ηλεκτρονικού εγκλήματος. Επομένως, η εκπαίδευση των χρηστών αποτελεί μια πρακτική λύση για να επιτευχθεί ο συγκεκριμένος στόχος. Αναλυτικότερα, υπάρχουν διαδικτυακοί διαγωνισμοί που έχουν ως σκοπό την εκπαίδευση των χρηστών σε θέματα κυβερνοασφάλειας υπό τη μορφή παιχνιδιού με όνομα Capture the Flag (CTF). Επίσης, οι συγκεκριμένοι διαγωνισμοί αποτελούνται από πληθώρα προκλήσεων (challenges), οι οποίες ανήκουν σε διαφορετικές κατηγορίες. Κάθε μια κατηγορία ενισχύει διαφορετικές δεξιότητες των χρηστών, και το κάθε challenge αποτελεί το εργαλείο για την ενίσχυση αυτή. Βασικός στόχος της εργασίας αυτής είναι η δημιουργία προκλήσεων μέσω της βοήθειας του docker. To docker αποτελεί μια τεχνολογία η οποία έχει αλλάξει τον τρόπο με τον οποίο αναπτύσσονται εφαρμογές τα τελευταία χρόνια. Η τεχνολογία αυτή παρέχει την δυνατότητα δημιουργίας containers τα οποία περιέχουν την απαραίτητη πληροφορία για την ανάπτυξη της εφαρμογής, επιτρέποντας στον χρήστη να περιηγηθεί σε ένα απομονωμένο περιβάλλον. Ακόμα, το πλαίσιο (framework) το οποίο θα φιλοξενήσει τις συγκεκριμένες προκλήσεις ονομάζεται CTFd και θα αποτελέσει την βάση πάνω στην οποία θα αναπτυχθεί ο CTF διαγωνισμός. Η επιλογή του προέκυψε μετά από την σύγκριση πολλών παρόμοιων frameworks με στόχο την εύρεση του πιο αποτελεσματικού. Επιπρόσθετα, το CTFd παρέχει πολλαπλές λειτουργίες και περιβάλλον φιλικό προς τον χρήστη, γεγονός που το καθιστά κατάλληλο για την υλοποίηση του συγκεκριμένου CTF. Το κίνητρο για την εκπόνηση της πτυχιακής εργασίας ήταν η ανάπτυξη προκλήσεων κυνερνοασφάλειας, οι οποίες θα χρησιμοποιηθούν στο open-source CTF framework από το Ελληνικό Μεσογειακό Πανεπιστήμιο για την εκπαίδευση των φοιτητών σε θέματα κυβερνοασφάλειας. Συνοψίζοντας, σκοπός της πτυχιακης αυτής, είναι να ωθήσει τους φοιτητές του πανεπιστήμιου σαν πρώτο στάδιο να ασχοληθούν περισσότερο με τον τομέα της κυβερνοασφάλειας, είναι η δημιουργία προκλήσεων βασισμένες στο μάθημα Ασφάλεια Δικτύων.
Gamification of lectures and training is exponentially growing as an educational method in the latest years. Capture the flag (CTF) is a challenging game in which users aim to find and capture various kinds of flags. Specifically, most CTF games related to cyber security, such as binary analysis CTF and cryptography CTF , aim to entertain and train users about basic and/or advanced topics of computer and network security. Current methodology gives the opportunity to users to study about their subjects in a modern way and to improve their skills by gradually climbing through various difficulty levels. In [1], the authors describe the pedagogical aspects and the benefits for users participating in CTF challenges. However, they do not report any methodology to develop such pedagogical CTF challenges. Moreover, the authors in [2] compare some of the existing CTF solutions and they conclude by defining two specific CTF categories. The 1st category is the Jeopardy CTF and the 2nd is the Attack-Defence CTF. Both CTF categories focus on teaching people about Linux commands, web security, binary exploitation, and other forms of cryptography and cyber-security. Moreover, the Jeopardy CTF category specifically targets general knowledge, including all aspects of cyber security, which is achieved through a series of specific questions and answers on each cyber-security category. On the other hand, the Attack-Defence CTF category teaches the users in real-time about possible vulnerabilities that a system may encounter and various ways to improve security on such systems. This thesis aims to develop a platform that will combine both types of CTFs in cyber-security. Hence, the CTF challenge will start with tasks of an easy level of difficulty, which will increase progressively. First, the users will be prompted with a bunch of Jeopardy CTF challenges, and they will have the opportunity to learn about various cyber-security topics, such as Networking, Remote Code Execution (RCE), Reverse shell and more. Following, an Attack-Defence CTF challenge will be initiated as the final challenge. The users will be split in 2 groups, namely: the defenders’ group and the attackers’ group. The two groups will have to compete against each other, to finish the CTF challenge in a specific amount of time. This will provoke users to work as a team and it will enhance their communication and team-working skills on both groups. Finally, an evaluator (i.e., a professor) will be able to observe the whole learning progress of the users and prevent any cheating or plagiarism behaviour. The proposed platform will be evaluated in a real-world environment by selecting random users from the university to participate in the CTF challenges.

Λέξεις-κλειδιά

Κυβερνοασφάλεια, Cybersecurity

URI

https://apothesis.hmu.gr/handle/123456789/11352

Συλλογές

Πτυχιακές εργασίες / Bachelor Theses

Πλήρης σελίδα τεκμηρίου