Es podria dir que són els e-sports de la
ciberseguretat, un CTF (Capture The Flag), captura la bandera, són competicions
que ens permeten posar a prova les habilitats sobre hacking mitjançant reptes
en diverses modalitats que haurem de resoldre per aconseguir un premi, la
bandera o “flag”.
Per a què serveixen?
Bàsicament serveixen per adquirir coneixement,
i a la vegada per posar a prova les nostres habilitats en hacking de manera
legal.
A vegades i cada cop més serveixen per
millorar el currículum vitae de cara a trobar una feina relacionada amb la ciberseguretat.
Tipus de reptes
Existeixen diferents categories:
- Web: Aquests tipus de reptes se centren a trobar vulnerabilitats en aplicacions web mitjançant diverses tècniques com força bruta, injecció SQL, Cross-site Scripting (XSS),...
- Criptografia: Solen ser reptes on se'ns oculta una informació xifrada o codificada no visible als ulls d´un no entès.
- Esteganografia: És la tècnica que ens permet ocultar informació dins altre informació, per exemple a primera vista veiem una fotografia però ocult pot tenir un missatge xifrat dins el propi arxiu.
- Enginyeria inversa: També conegut com Reversing, els participants han d´analitzar generalment un fitxer executable i trobar la flag o clau mitjançant la descompilació del fitxer.
- Test de penetració: El Pentest consisteix en una prova per comprometre xarxes o servidors aliens per tal de obtenir-ne l´accés mitjançant diferents tècniques aprofitant vulnerabilitats. L’accés al sistema es pot considerar en si mateix com la victòria d´aquesta modalitat i per demostrar-ho es poden deixar proves del accés com la modificació de diferents paràmetres i configuracions.
- Forense: Consisteix en analitzar i investigar algun tipus de dada com imatges de disc dur, bolcats de memòria o captures de tràfic de xarxa.
- OSINT (Open Source Intelligence): És una tècnica que consisteix en
investigar alguna cosa o algú mitjançant tota la informació disponible de
manera lliure a través de Internet, més que una categoria en si mateixa és
una tècnica d´investigació.
Com es participa?
Ens hem d´apuntar a les diferents competicions
de plataformes online, solen ser gratuïtes.
Un bon punt per estar al dia de totes les
competicions es CTFTime que aglutina sinó totes
bona part de les competicions a nivell mundial.
Algunes Plataformes CTF d´entrenament
Abans de llançar-nos a competir com a qualsevol
altre àmbit, ens hem d´entrenar.
Aquest és un petit recull de diferents
plataformes tant gratuïtes com de pagament, per començar en el mon dels CTF.
Publica un comentari a l'entrada