En éste mi primer post, os hablaré acerca de cómo poner en práctica las habilidades de hacking de una persona. Para ello existen múltiples plataformas que permiten que cualquiera mediante una serie de desafíos con diferentes niveles de dificultad, obtenga una visión de su nivel en cuanto a habilidades de seguridad informática se refiere.
¿Qué son las competiciones “Capture The Flag”?
Capturar la bandera (CTF por sus siglas en inglés) son un tipo de competiciones de seguridad informática que se realizan de manera online, orientadas tanto para aprendices como para expertos en seguridad de todo el mundo. Abordan un amplio rango de aspectos de seguridad como:
- Criptografía
- Análisis binario
- Ingeniería inversa
- Explotación web
- Seguridad de dispositivos móviles
- etc.
Los estilos más comunes de juego en estas competiciones son dos aunque hay muchos más:
Jeopardy
En este juego existen diferentes desafíos dentro de un amplio rango de categorías con variación de puntos en cada uno de ellos. Los equipos ganan puntos por cada desafío resuelto, los cuales suelen incluir encontrar algún tipo de prueba (bandera) que demuestre que se ha resuelto el desafío, como por ejemplo un string de texto. Algunas de las categorías son web-exploits, forense, criptografía, etc.
Cuanto más difícil sea el desafío más puntos se consiguen con su resolución. Cuando la competición termina se hace la suma de puntos, la cual será la que determine la posición de cada jugador en el ranking.
Las competiciones más famosas en cuanto a este estilo son DEFCON y CSAW.
Attack-Defense
Estas competiciones suelen variar pero casi siempre incluyen una defensa de la red. A cada equipo se le proporciona un servidor/red y debe defenderlo contra ataques, los cuales pueden provenir de los organizadores de la competición o también de otros equipos participantes. Los puntos serán conseguidos cuanto mejor defiendas los servicios y la propia red. A veces en estas competiciones se espera que los participantes ataquen y defiendan a la vez. Para probar que se ha ganado la competición, el equipo ganador habrá de conseguir la contraseña root del servidor objetivo, ésta es considerada la bandera en la competición.
Una de las competiciones más famosas es CCDC.
Otros
Hay muchos otros tipos de juegos, aunque los más famosos son los dos anteriores. Por ejemplo, otra competición es la que se conoce como King of the Hill donde los equipos intentan ganar el control de un servidor vulnerable y mantenerlo en su propiedad frente a otros atacantes durante el máximo tiempo posible. Cuanto más tiempo se tenga el control del servidor, más puntos se consiguen.
También me gustaría comentar que además de estas plataformas online se pueden entrenar las habilidades en seguridad informática siguiendo las instrucciones de libros como “The Hacking Playbook 2” y de tutoriales en formato vídeo como los que se pueden encontrar en SecurityTube.
Aunque en estos casos tan solo se tiene que seguir los diferentes pasos para lograr el objetivo en práctica, los más curiosos intentan lograr el mismo objetivo tomando diferentes caminos y consiguiendo unos mejores resultados e incluso llegando más lejos que siguiendo las instrucciones, enriqueciendo así sus habilidades ante estos desafíos.
Para finalizar y como resumen, las personas interesadas en el mundo hacking tienen una oportunidad de probar todas sus técnicas en un entorno controlado debido a que en este tipo de competiciones las organizaciones establecen diversas reglas de juego para controlar el correcto funcionamiento de la competición. El incumplimiento de esas reglas son penadas con la exclusión del participante, por ejemplo conductas destructivas o ataques de Denegación de Servicio, entre otras.
Desde este post queremos animaros a participar en estas competiciones con el objetivo de desarrollar vuestras habilidades y a la vez de pasar un buen rato, además de conocer gente del mundillo haciendo que cualquier participante se empape de sabiduría.
Os dejo algunos links para más información, relacionados con CTF:
- En este link podréis encontrar diferentes competiciones en las que podréis participar.
- En este otro encontrareis una lista de links para practicar vuestras habilidades.
PD: Me encantaría que los lectores con experiencia en estas plataformas o en estas competiciones escriban su opinión para tener mejores referencias y enriquecer este post, con el objetivo de que salgamos todos beneficiados.
La entrada Capture The Flag aparece primero en Security Art Work.