En el mundo del pentesting conocemos como CTF (Capture The Flag) los juegos instructivos que pone a pruebas nuestras habilidades de hacking por medios de retos de diferentes modalidades que tendremos que resolver para conseguir el premio,la «flag».
De que sirven?
- Adquirir conocimientos y experiencia en el entorno de la seguridad informática.
- Poner a prueba nuestras habilidades de hacking de forma legal y controlada.
- Lo más importante…. ¡Para divertirnos!
Tipos de CTF’s
Estas son las diferentes modalidades:
– Jeopardy: Retos de diferentes temáticas (Crypto, Web, Forense, Reversing, Exploting…) donde se ganan puntos cuando son resuelto según el nivel de dificultad. Gana el participante o equipo que más puntos tenga cuando se termine el tiempo de juego.
– Attack-Defense: Cada equipo tiene un servidor o una red de equipos con vulnerabilidades que deben de proteger mientras que intentan conseguir acceso al equipo contrario. En este reto hay puntos de ataque y puntos de defensa.
– Mixted: Wargame, hardware y otros.
Tipos de Retos
– Criptografía (Crypto): Podríamos definirlo como un procedimiento donde se oculta un mensaje secreto por medio de un cifrado o codificación para evitar que sea legible para una persona que no sepa descifrarlo.
– Web: Este tipo de desafíos se centran en encontrar y explotar vulnerabilidades en la aplicación web como pueden ser: Inyección SQL, Cross-Site Scripting (XSS), fuerza bruta, CRLF, CSRF….
– Esteganografía (Stego): Técnicas que ocultan mensajes u objetos dentro de otros, de forma que no se detecte su presencia y pasen inadvertidos.
– Ingeniería inversa (Reversing): Generalmente se analiza un archivo binario (BIN, EXE, ELF, APK…) ejecutable. Los participantes deben de encontrar la flag o clave mediante la descompilación del fichero.
– Explotación (Exploting): El objetivo de este reto es de construir nuestro propio exploit, normalmente para un binario que se ejecuta en un servidor o para una aplicación web. Generalmente se tiene acceso al código fuente de la aplicación a explotar.
– Forense (Forensic): Consiste en investigar y analizar algún tipo de dato, como pueden ser capturas de red (.pcap), volcados de memoria o de discos duros.
– Programación (Programming): En este tipo de desafíos tendremos que elaborar un programa o script para que haga una determinada tarea.
– OSINT (Open Source Intelligence): Estos retos son bastante escasos y rara vez nos la encontraremos en un CTF. Esta modalidad consiste en investigar algo o alguien por medio de fuentes de acceso público (foros, redes sociales, blogs, wikis, revistas, prensa…)
– Varios (Misc): Mezcla de retos de las diferentes categorías vistas anteriormente
Qué necesito para comenzar?
Recomendamos instalarse un sistema operativo basado en Linux, preferiblemente Kali Linux o ParrotOs, no necesariamente de sistema principal, lo pueden instalar como maquina virtual tales como VirtualBox o VMware, conociendo a los usuarios de mi país, se que intentaran hacerlo con el móvil y les dejo claro, se les hará MUY dificil completar juegos. Pero siempre puede intentarlo.
Qué es HackTheBox?
HackTheBox(wwww.hackthebox.eu) como su nombre indica(hackea la caja) es una plataforma donde conecta a miles de hackers de todo el mundo, en esta hay una red de máquinas listas para ser vulneradas de una manera totalmente legalm cuenta con un rancking el cual aumenta cuantas mas CTF completes, cuenta con un foro en el cual puedes comentar o pedir ayuda en cuanto a los desafios.
Las máquinas intentan simular en mayor o menor medida a un servidor real, con páginas web, servicios de administración como ssh o telnet, descarga y subida de ficheros a través de ftp, servidores de dominio Windows… Y para poder conseguir ser root tendrás que usar técnicas de escalación de privilegios, esteganografía, fuerza bruta, exploits, análisis de código.
En esta página nosotros, los miembros de BlackOut encargados de administrarlas subiremos CTF tanto de HackTheBox como de otras páginas similares para el aprendizaje de nuestros miembros y para el buen desarrollo de estos. BlackOut apoya el uso de estas series de páginas para el uso correcto y el buen aprendizaje de los miembros y demás personas interesadas en la seguridad informática.
