Capture The Flag

CTFEn éste mi primer post, os hablaré acerca de cómo poner en práctica las habilidades de hacking de una persona. Para ello existen múltiples plataformas que permiten que cualquiera mediante una serie de desafíos con diferentes niveles de dificultad, obtenga una visión de su nivel en cuanto a habilidades de seguridad informática se refiere.

¿Qué son las competiciones “Capture The Flag”?

Capturar la bandera (CTF por sus siglas en inglés) son un tipo de competiciones de seguridad informática que se realizan de manera online, orientadas tanto para aprendices como para expertos en seguridad de todo el mundo. Abordan un amplio rango de aspectos de seguridad como:

  • Criptografía
  • Análisis binario
  • Ingeniería inversa
  • Explotación web
  • Seguridad de dispositivos móviles
  • etc.

Los estilos más comunes de juego en estas competiciones son dos aunque hay muchos más:

Jeopardy

En este juego existen diferentes desafíos dentro de un amplio rango de categorías con variación de puntos en cada uno de ellos. Los equipos ganan puntos por cada desafío resuelto, los cuales suelen incluir encontrar algún tipo de prueba (bandera) que demuestre que se ha resuelto el desafío, como por ejemplo un string de texto. Algunas de las categorías son web-exploits, forense, criptografía, etc.

Cuanto más difícil sea el desafío más puntos se consiguen con su resolución. Cuando la competición termina se hace la suma de puntos, la cual será la que determine la posición de cada jugador en el ranking.

Las competiciones más famosas en cuanto a este estilo son DEFCON y CSAW.

Attack-Defense

Estas competiciones suelen variar pero casi siempre incluyen una defensa de la red. A cada equipo se le proporciona un servidor/red y debe defenderlo contra ataques, los cuales pueden provenir de los organizadores de la competición o también de otros equipos participantes. Los puntos serán conseguidos cuanto mejor defiendas los servicios y la propia red. A veces en estas competiciones se espera que los participantes ataquen y defiendan a la vez. Para probar que se ha ganado la competición, el equipo ganador habrá de conseguir la contraseña root del servidor objetivo, ésta es considerada la bandera en la competición.

Una de las competiciones más famosas es CCDC.

Otros

Hay muchos otros tipos de juegos, aunque los más famosos son los dos anteriores. Por ejemplo, otra competición es la que se conoce como King of the Hill donde los equipos intentan ganar el control de un servidor vulnerable y mantenerlo en su propiedad frente a otros atacantes durante el máximo tiempo posible. Cuanto más tiempo se tenga el control del servidor, más puntos se consiguen.

También me gustaría comentar que además de estas plataformas online se pueden entrenar las habilidades en seguridad informática siguiendo las instrucciones de libros como “The Hacking Playbook 2” y de tutoriales en formato vídeo como los que se pueden encontrar en SecurityTube.

Aunque en estos casos tan solo se tiene que seguir los diferentes pasos para lograr el objetivo en práctica, los más curiosos intentan lograr el mismo objetivo tomando diferentes caminos y consiguiendo unos mejores resultados e incluso llegando más lejos que siguiendo las instrucciones, enriqueciendo así sus habilidades ante estos desafíos.

Para finalizar y como resumen, las personas interesadas en el mundo hacking tienen una oportunidad de probar todas sus técnicas en un entorno controlado debido a que en este tipo de competiciones las organizaciones establecen diversas reglas de juego para controlar el correcto funcionamiento de la competición. El incumplimiento de esas reglas son penadas con la exclusión del participante, por ejemplo conductas destructivas o ataques de Denegación de Servicio, entre otras.

Desde este post queremos animaros a participar en estas competiciones con el objetivo de desarrollar vuestras habilidades y a la vez de pasar un buen rato, además de conocer gente del mundillo haciendo que cualquier participante se empape de sabiduría.

Os dejo algunos links para más información, relacionados con CTF:

PD: Me encantaría que los lectores con experiencia en estas plataformas o en estas competiciones escriban su opinión para tener mejores referencias y enriquecer este post, con el objetivo de que salgamos todos beneficiados.

Comments

  1. ¡Buena entrada, Pedro! Por aquí os dejo otra interesante que se escribió desde Incibe: https://www.incibe.es/blogs/post/Seguridad/BlogSeguridad/Articulo_y_comentarios/ctf_entrenamiento_seguridad_informatica

  2. Pedro Collado says:

    Excelente aportación! Os animo a que sigamos aportando enlaces y experiencias.

  3. Buen post para los no iniciados. Hay montones de recursos sobre CTF’s y algunos ya están contenidos en este artículo, pero destacaría la labor que algunos países hacen para formar a estudiantes y a no tan estudiantes en distintas temáticas. Algo que sinceramente creo deberíamos aprender. Por ejemplo, los laboratorios recientes de RPISEC para explotación binaria o la reciente competición ‘gracker’, más asequible para todos los niveles.

    https://github.com/RPISEC/MBE
    http://gracker.org

    Otro sitio es wechall.net, un meta-clasificador de este tipo de competiciones.

    Un saludo !
    @tunelko

  4. Pedro Collado says:

    Gracias Tunelko por tu aportación. Como bien dices este post es para los no iniciados, es verdad que hay un montón de recursos sobre CTF’s y cuando más investigas más estrechas el circulo a los recursos que por experiencia más te han gustado.

    En cuanto a la labor educativa no he querido entrar a hablar ya que el post es dedicado a la descripción de CTF, pero seguro que daría para otro post.

    Un saludo!!

  5. Diego Subero says:

    Estimados,

    Hablando de CTF, el 24 de Septiembre se va a ejecutar el Cyberex2015 organizado por INCIBE y La OEA donde habra una alta participacion de CSIRTs gubernamentales, privados y académicos de América y varios países Europeos. Seguramente sera una experiencia interesante y de mucho provecho

    les comparto el link:

    https://www.incibe.es/extfrontinteco/img/File/international_cyberex2015_esp.pdf

    Saludos,

  6. Pedro Collado says:

    Traigo nuevas, en el enlace siguiente hay un árbol muy bueno con diferentes links y nombres de laboratorios muy interesantes.

    http://amanhardikar.com/mindmaps/Practice.html

    Un saludo

  7. Muy buena entrada para aquellos que desconocen lo que son los CTF :)

    Como recomendación, diré que la clave de los CTFs es práctica, práctica y más práctica xD. La clave está en todo aquello que se aprende mientras se intenta encontrar el tan preciado flag, por lo que lo mejor es no ir a la solución directamente, sino dedicarse al máximo en encontrar la solución uno mismo.

    Ya que estamos, no está de más decir que en el blog hay algunos retos sobre esteganografía que creé hace un tiempecillo (https://www.securityartwork.es/author/rpaez/), donde en un post está la presentación del reto y en el siguiente la solución.

    Saludos y mucha suerte con los retos :D
    fikih888

  8. Thank you!! We will work hard to keep you updated!!

  9. Diego Subero (o quién tenga más información) Este ‘ciberejercicio’ del 24 de Septiembre donde se alojará ?
    Entiendo que es por equipos y estoy fuera de plazo. ¿Alguién tiene mas información?
    Gracias

    @tunelko