Capture the Flag ou CFT é uma modalidade de competição entre hackers desafiados a desvendar os problema sobre Segurança da Informação, dessa forma esses desafios de segurança cibernética e um esporte mental, no qual os concorrentes devem explorar ou defender uma vulnerabilidade em um sistema ou aplicativo, para obter ou impedir acesso a um sistema de computador. O primeiro CFT foi desenvolvido e hospedado em 1996 na quarta edição da DEFCON em Las Vegas, para quem não sabe o DEFCON é a maior conferência de segurança cibernética dos Estados Unidos e foi oficialmente iniciada em 1993 por Jeff Moss.
O CTF geralmente envolve uma captura logica da bandeira, podendo ser baseado em um pentesting, autenticação baseada em conhecimento, ataques a URL, engenharia reversa de software, quebra de senhas, code injection, cross-site scripting, SQL injections, explorações, falsificação de endereços IP, forense e outras técnicas de hackers.
O CTF pode ser praticado em equipes ou individualmente, ele pode acontecer em três formatos diferentes. O primeiro é chamado de “Jeopardy-Style”, onde o jogador individual ou em time, precisa resolver o desafio de segurança da informação para pode capturar as flags que valem pontos de acordo com a complexidade que têm ganha quem tiver a maior pontuação, às vezes são online e servem como qualificatórias para as finais do segundo formato. Chamado de “Attack/Defense”, que é dado aos jogadores um ambiente cheio de falhas e vulnerabilidades que terão que ser descobertas e corrigidas em um determinado período de tempo, se o prazo encerra os jogadores passam à tentativa de invasão do ambiente adversário ao mesmo tempo em que protegem o próprio, também são realizadas on-site, onde acontece maior parte das competições nacionais e internacionais, como a DEFCON. Existem também CTFs “híbridos”, misturando os dois formatos e podendo ser feitos de diversas formas diferentes. Atualmente existem competições em diversos eventos, no mundo todo, dos quais participam estudantes, interessados e profissionais de segurança da informação, além de competições criadas por escolas e universidades. Empresas de tecnologia que utilizam o Capture the Flag como forma de treino e contratação de novos funcionários. Um exemplo é a Ernst & Young, que criou um CTF em seu site para processo de seleção. Google e Facebook também têm suas próprias competições.
O CFT avalia também as formas gamificada, habilidades como vulnerabilidades da rede, criptografia e programação, entre outros. O CTF pode explorar também conhecimento que vão além de uma área específica, exigindo o domínio de matemática, linguística, história e outros.
Resumindo tudo, CFT são competições que envolvem diversas competências dos profissionais, estudantes e entusiastas para a resolução de desafios relacionados à segurança da informação, com o objetivo de capturar a bandeira e pontuar. As competições de CTF geralmente são projetadas para servir como um exercício educacional para dar aos participantes experiência em segurança de máquina, além de conduzir e reagir aos tipos de ataques encontrados no mundo real.