CTF (Capture The Flag) yarışmaları, siber güvenlik alanında bilgi ve beceri geliştirmek için düzenlenen oyunlaştırılmış ortamlardır. Ancak bu teknik oyunlar sırasında
yarışmacıların, organizatörlerin veya izleyicilerin güvenliği göz ardı edilmemelidir. Bu makalede, CTF yarışmalarında insanları korumaya yönelik
etik ilkeler, teknik sınırlar ve güvenlik uygulamaları ele alınmaktadır.
CTF Nedir? Kısaca Hatırlayalım
CTF yarışmaları genellikle şu kategorilere ayrılır:
- Jeopardy tarzı: Sorular çözülür (Web, Crypto, Reverse, Forensics vb.)
- Attack-Defense: Takımlar karşılıklı sistemleri savunur/saldırır
- King of the Hill / Red vs Blue: Sistem ele geçirme ve koruma temellidir
CTF yarışmaları
eğitim, takım çalışması ve bilgi paylaşımı için yapılır. Amaç bilgi kazanımıdır,
insanlara zarar vermek değil.
Neden İnsanları Korumak Gerekir?
CTF yarışmaları sırasında şu riskler ortaya çıkabilir:
- Yarışmacıların kişisel bilgilerinin ifşa olması
- Bilgisayarlarına zararlı yazılım bulaşması
- Gerçek sistemlere yanlışlıkla saldırı yapılması
- Psikolojik taciz, toksik davranışlar veya aşağılayıcı dil kullanımı
- Sosyal mühendislik üzerinden etik ihlaller
Bu nedenle
"etik sınırlar ve teknik güvenlik önlemleri", CTF organizasyonlarının temel parçası olmalıdır.
İnsanları Korumak İçin Alınabilecek Önlemler
1. 
Etik Kurallar (Code of Conduct)
Her yarışma öncesi katılımcılar şu temel etik ilkelere onay vermelidir:
- Gerçek sistemlere saldırmamak
- Yarışma dışı araçlar (fiziksel, sosyal mühendislik) kullanmamak
- Diğer yarışmacılara zarar vermemek veya tehdit etmemek
- Yarışma ortamındaki hiçbir kişisel bilgiyi paylaşmamak
Örnek: "CTF During Our Rules Apply" veya HackerOne CTF kuralları
2. 
İzole Edilmiş Ortam Kullanımı (Sandbox)
- Tüm servisler izole edilmiş VM’ler içinde çalıştırılmalıdır.
- Gerçek sistemler veya kullanıcı verileri kesinlikle yarışmada kullanılmamalıdır.
- Tüm bayraklar (flags), gerçek hayattan bağımsız, rastgele oluşturulmuş metinler olmalıdır.
3. 
Katılımcı Gizliliği
- Takım adları takma isim olabilir
- Kayıt formunda sadece zorunlu bilgiler alınmalıdır
- E-posta, IP adresi veya diğer kişisel veriler loglanmamalı veya şifreli tutulmalıdır
4. 
Zararlı Kodlara Karşı Önlem
- Yarışma sırasında gönderilen çözümler veya payloadlar taranmalıdır
- Reverse engineering veya binary konularında, kasıtlı virüs yerleştirilmemelidir
- Upload alanları sınırlı haklara sahip olmalıdır
5. 
Moderasyon ve Davranış Takibi
- Toxic davranışları, ırkçı, cinsiyetçi veya aşağılayıcı dili denetleyecek moderatörler atanmalıdır
- Katılımcılar birbirlerini şikayet edebilmelidir
- Yarışma sonrası feedback alınmalı ve ihlal varsa soruşturma yapılmalıdır
6. 
Hukuki ve Etik Sınırları Öğretmek
CTF yarışmaları aynı zamanda
etik hackerlık kültürünü aşılamak için önemli bir araçtır. Yarışmalar:
- Etik hacker nedir?
- Hangi eylemler suç sayılır?
- Bilgiye saygı ve sorumluluk nasıl sağlanır?
gibi konulara da zaman ayırmalı, mini eğitimler sunmalıdır.
Kaçınılması Gerekenler
| Eylem | Neden Yanlış? |
|---|
| Gerçek sunuculara bağlantı içeren görevler | Yarışmacılar istemeden suç işleyebilir |
| Sosyal mühendislik içeren görevler | İnsan güvenliğini tehlikeye atar |
| Yarışma platformuna zararlı kodlar yüklemek | Diğer katılımcıları etkiler |
| Açık isimli kullanıcı listesi yayınlamak | Kişisel gizliliği ihlal eder |
