Hoy vamos a hablar de las competiciones en ciberseguridad. Las más conocidas son del estilo Captura la Bandera o Capture the Flag (a partir de ahora CTF). Son un estilo de competición, generalmente en equipo, que se basa en diversas pruebas. Cada una de ellas nos da una serie de puntos en función de la dificultad (o de otros criterios). El objetivo de estos retos es vulnerar el sistema.
¿Qué tipo de pruebas se hacen?
Las pruebas se basan en conseguir banderas. Estas banderas son una secuencia de caracteres que suele empezar siempre de la misma forma (por ejemplo, precedida de la palabra FLAG). En cada competición los organizadores informan de cómo van a comenzar las suyas.
Las pruebas suelen ser de criptografía, ingeniería inversa, explotación web, forenses, etc. Pero uno se puede encontrar de todo, desde que te den una imagen y te pregunten a qué libro pertenece o te den un juego y te pidan que hagas “trampas” para conseguir un objetivo. El límite está en la imaginación del organizador.
Modalidades
Hay dos tipos de modalidad:
- Jeopardy
- Ataque y defensa
La primera modalidad se suele usar en concursos con mucha gente, ya que es más sencillo de montar. En cambio la segunda se usa en finales de eventos importantes donde hay pocos equipos y tienen que saber proteger su sistema además de atacar al del adversario. Un ejemplo lo encontramos en el Def Con, la conferencia más importante de ciberseguridad (junto con la BlackHat), entre cuyas actividades encontramos un CTF; las primeras fases son al estilo Jeopardy y las finales son estilo ataque y defensa.
Jeopardy
Es un modelo sencillo, hay pruebas, dan puntos al completarse y cuanto más puntos consiga tu equipo mejor. Los equipos no interactúan entre ellos.
Ataque y defensa
Es un modelo interesante, los equipos tienen las banderas y las tienen que proteger mientras que atacan al enemigo para robar las suyas. Hay un tiempo de calentamiento donde te dejan configurar la(s) máquina(s) para poder protegerse y poner parches de seguridad.
En otros casos, hay banderas y el objetivo es que tu equipo obtenga las banderas, mientras que intentáis que vuestros contrincantes no obtengan ninguna.
¿Por qué se realizan?
Para empezar es una forma de entrenamiento, te prepara para situaciones en las que normalmente no estás. Así mismo, son procesos de selección en empresas para formar sus equipos de ciberseguridad, que a veces llaman Tiger Team.
¿Cómo empezamos?
Lo primero es tener conocimientos de (básicamente) un poco de todo en la rama de la seguridad informática. El internet encontrarás muchos conocimientos que podrás ir aprendiendo. Pero lo mejor es ir viendo pruebas, o retos que hay en webs como CTFLearn o CTF All The Time o Exploit Exercises.
También hay que decir que existe una web que tiene información sobre todo lo que tiene que ver con CTFs que es CapTF.
¿Competimos?
Competir es lo que se necesita. Y a la vez es como se aprende. Hay todo tipo de CTFs desde clasificatorios para el DEF CON CTF hasta para principiantes como el picoCTF 2014. Este último esta abierto todo el año.
La mayoria de CTFs son publicados en CTFtime. La gran mayoría son online, con entrada gratuita y en inglés. Por lo tanto, no hay excusa para probrar vuestras habilidades, o ir aprendiendo algunas nuevas.
Herramientas
Claramente hay que tener herramientas, o crearlas tu mismo, porque hay banderas dentro de imágenes, dentro de códigos compilados, en los metadatos de los archivos, dentro de un servidor al que nos dan acceso pero hay que escalar privilegios, dentro de un servidor web donde nos dan el código que corre…
Como acabas de ver hay muchas combinaciones posibles y en este repositorio tienes una gran cantidad de herramientas que te podrán servir en el futuro.
Pequeña prueba
Como parte de esta entrada, desde Infseg organizaremos un pequeña prueba al estilo CTF para que probéis. Os avisaremos por twitter y actualizaremos la entrada. Confiamos en vosotros.