El Back-End de los Capture the Flag CTF, charla de Edu Sánchez en Hack&Beers.

El Back-End de los Capture The Flag CTF con ejemplos de retos

La popularidad de los Capture de Flag o CTF va en aumento. Estas pruebas de competición basadas en la ejecución de diversos retos informáticos se prodigan por la red y se organizan prácticamente en cada jornada o congreso de seguridad que se celebran en todo el mundo.

Su principal objetivo es el aprendizaje además de ser una forma de demostrar mediante la participación las competencias y capacidades que se tienen y es que los CTF sirven de entrenamiento en seguridad informática a través de la ejecución de diversos ejercicios de diversas áreas. Estudiantes, aficionados y profesionales que participan sacian sus ansias de conocimiento porque cada reto es un desafío personal, además algunas de estas competiciones están dotadas con premios o alguna pequeña recompensa económica para incentivar la participación.

Tras cada ejercicio resuelto en un CTF se desbloquea una flag o bandera que da una serie de puntos y así los mejores participantes, ya sea de manera individual o en grupo, se alzan con los premios aunque el aprendizaje se lo llevan todos y cada uno de ellos pues cada ejercicio es una forma de entrenar el pensamiento lateral. Como ya indiqué en la charla ‘Ciberseguridad: Talento, trabajo y otras cosas del montón‘ que ofrecí a alumnos de Formación Profesional, hay que lanzarse a hacer cosas y participar en un CTF es bueno. Ese es el tipo de cosas que hay que resaltar en el currículum profesional, denota inquietudes y muestra actitud pues sirve para diferenciarse de otras personas con igual formación/experiencia pero que no aprovechan de igual modo estas oportunidades.

Alguien a quien le gusten especialmente los Capture de Flag, tanto organizarlos como enfrentarse a ellos como participante o entrenando a equipos entre sus estudiantes de FP para que se presenten, es Eduardo Sánchez (@eduSatoe) que compartió una charla sobre todo lo que envuelve a un CTF en el Hack&Beers especial TomatinaCON. Eduardo es Ingeniero Informático con doble máster en Seguridad TIC (Sistemas y Redes / Servicios y Aplicaciones), Profesor de Formación Profesional, CEO de AllPentesting y CSO de onBRANDING es un especialista en ciberseguridad que se puede definir con esa expresión tan coloquial de ‘culo inquieto‘ pues además de todo eso es co-fundador de la comunidad Hack&Beers y del blog C43S4RS, Vicepresidente de la Asociación ANPHACKET, co-organizador del Congreso de Seguridad Qurtuba así como fundador de las Jornadas Security High School entre otras cosas.

A pesar de que grabar en el Hack&Beers que se hace la tarde previa a la Tomatina en un bar a pleno rendimiento en el mismo centro de Cheste es casi una tarea titánica porque el ruido ambiente lo complica todo muy mucho, la charla está disponible a continuación tanto en vídeo como en podcast con el mejor sonido posible y desde este enlace se puede acceder a la lista de reproducción completa con todas las charlas Hack&Beers disponibles hasta la fecha en Palabra de hacker.

CTF: tipos, plataformas y ejemplos de retos

En la ponencia Edu Sánchez explicó con detalle los diferentes tipos de CTF que existen y que se clasifican en:

  • Jeopardy: conjunto de retos de diferentes tipos que otorgan una serie de puntos tras su resolución (encontrar la flag o bandera) en función del nivel de dificultad de cada ejercicio. La resolución de unos retos libera otros para seguir avanzando en la competición y cuando termina el tiempo estipulado, gana quien ha acumulado más puntos.
  • Attack-Defense: cada equipo de participantes tiene un servidor/red con vulnerabilidades que debe proteger para que el equipo contrario no consiga acceder. Se dan puntos tanto de ataque como de defensa y gana el equipo que logre mejor puntuación.
  • Mixted: Wargame, Hardware y otros.

Existen tanto plataformas de entrenamiento para ir ganando destreza y poder familiarizarse con la diversidad de ejercicios de las diversas áreas que conforman estas competiciones de seguridad informática como plataformas en las que organizar tu propio CTF.

  • Plataformas de entrenamiento:
    • CTF Time plataforma en la que se anuncian diferentes eventos donde hay CTFs y Write Ups.
    • Root Me es un sitio de entrenamiento con diversos retos adaptados por niveles para probar las habilidades en hacking.
    • Hack Me es un sitio web donde cada usuario puede colgar sus aplicaciones web vulnerables, un proyecto destinado a fines educativos o de investigación.
  • Plataformas de organización de CTF disponibles a través de GitHub:

Los tipos de retos que conforman cada competición son muy variados. Hay ejercicios de criptografía, reversing, redes, forense informática, exploiting, seguridad web, esteganografía, OSINT entre otros. La variedad de estos retos en los CTF hacen que los entrenamientos sirvan para ganar destrezas y capacidades incluso en áreas que no se dominan plenamente pero que a base de entrenar, cacharrear e intentar la resolución de los mismos llevan a aprender al menos nociones sobre esas áreas de la seguridad informática.

Como durante las Jornadas de Seguridad TomatinaCON, Edu junto a su equipo de colaboradores se encargaron de la planificación y organización de un CTF, en la charla desglosó algunos de los tipos de retos más comunes en estas competiciones mostrando algunos de los ejercicios que se crearon para la prueba. En concreto se centró en hablar de los retos relacionados con Criptografía, Web, Esteganografía y OSINT.

  • Criptografía, es la ciencia que se dedica a ocultar mensajes secretos. ¿Dónde encontrar cientos de algoritmos de cifrado diferentes que pueden servir para entrenarse y para resolver retos basados en esta disciplina? Pues dCode es un buen lugar de referencia.
  • Tecnologías Web. Cuando los desarrolladores de software y páginas web no controlan temas de seguridad se producen muchos errores que al descubierto vulnerabilidades y muchos retos se basan en dar con estos errores ofuscados que dan acceso a donde no se debería. De ahí la importancia que tiene la presencia de la seguridad desde el inicio tal y como explicó Jesús Hernández en la charla ‘Desarrollo de código seguro‘. Si necesitamos poder ver una web desde diferentes tipos de dispositivos una extensión que aconseja Edu para Chrome es User-Agent Switcher. Esta extensión disponible en el repositorio Chrome Web Store permite cambiar rápidamente entre user-agent de una forma muy sencilla y tal vez así dar con la vulnerabilidad que se está buscando para resolver un reto, además de ser una extensión de por si aconsejable para todos los desarrolladores, esta una vuelta de rosca a su posible utilidad en base a un CTF.
  • Esteganografía. Son técnicas que ocultan mensajes u objetos dentro de otros para crear una ‘comunicación encubierta’ tal y como explicó José Aurelio García en el ‘Taller de esteganografía: ocultando mensajes y archivos en redes sociales‘ que está disponible en el canal y que complementa las herramientas que también indica Edu en su charla.
    • File: Identifica el tipo de fichero, permitiendo así clasificar el archivo según su contenido.
    • Exiftool: Permite acceder y manipular los metadatos de una gran variedad de formatos.
    • Strings: Obtiene cadenas en ficheros.
    • GHex: Editor binario para buscar información. Permite ver y editar un archivo binario en ascii y hexadecimal.
    • Binwalk: Herramienta para buscar y analizar una imagen binaria dentro de archivos incrustados y códigos ejecutables. Se puede buscar así código malicioso, realizar ingeniería inversa y extracción de datos.
    • Herramientas de estegoanálisis: Openstego, DeepSound, StegExpose, Steghide
  • OSINT, ejercicios de búsqueda de información en fuentes abiertas. Recomendable complementarlo con el ciberdebate ‘OSINT y hacking con buscadores‘ así como con la lista de herramientas disponibles tanto en el artículo ‘Qué es OSINT: fases, fuentes y herramientas‘ como en la charla ‘Herramientas en Python & OSINT para proyectos de seguridad‘.

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast


¿Quieres recibir todas las novedades por newsletter?

Nombre Correo electrónico He leído la Política de Privacidad y acepto expresamente los términos y condiciones.


Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

AVISO LEGAL – PRIVACIDAD – COOKIES

Yolanda Corral
Soy licenciada en Periodismo. Periodista y formadora freelance especializada en seguridad digital, alfabetización digital, TICs, redes sociales y contenidos digitales. Cuento con un máster en Community Management y siempre estoy en continuo aprendizaje. Fundadora y organizadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Dime qué necesitas y lo doy todo. ¡Conectemos en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario pero antes debes atender a esta información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar y moderar los comentarios realizados en la web. Legitimación: Contar con tu consentimiento expreso. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y suprimir tus datos tal y como puedes ver detalladamente en la Política de privacidad de esta web así como en el aviso legal. ¡Gracias!

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.