La popularidad de los Capture de Flag o CTF va en aumento. Estas pruebas de competición basadas en la ejecución de diversos retos informáticos se prodigan por la red y se organizan prácticamente en cada jornada o congreso de seguridad que se celebran en todo el mundo.
Su principal objetivo es el aprendizaje además de ser una forma de demostrar mediante la participación las competencias y capacidades que se tienen. Los CTF sirven de entrenamiento en seguridad informática a través de la ejecución de diversos ejercicios de diversas áreas.
Estudiantes, aficionados y profesionales que participan sacian sus ansias de conocimiento porque cada reto es un desafío personal, además algunas de estas competiciones están dotadas con premios o alguna pequeña recompensa económica para incentivar la participación.
Tras cada ejercicio resuelto en un CTF se desbloquea una flag o bandera que da una serie de puntos y así los mejores participantes, ya sea de manera individual o en grupo, se alzan con los premios aunque el aprendizaje se lo llevan todos y cada uno de ellos pues cada ejercicio es una forma de entrenar el pensamiento lateral.
Como ya indiqué en la charla ‘Ciberseguridad: Talento, trabajo y otras cosas del montón‘ que ofrecí a alumnos de Formación Profesional, hay que lanzarse a hacer cosas y participar en un CTF es bueno. Ese es el tipo de cosas que hay que resaltar en el currículum profesional, denota inquietudes y muestra actitud pues sirve para diferenciarse de otras personas con igual formación/experiencia pero que no aprovechan de igual modo estas oportunidades.
Alguien a quien le gusten especialmente los Capture de Flag, tanto organizarlos como enfrentarse a ellos como participante o entrenando a equipos entre sus estudiantes de FP para que se presenten, es Eduardo Sánchez (@eduSatoe) que compartió una charla sobre todo lo que envuelve a un CTF en el Hack&Beers especial TomatinaCON.
Eduardo es Ingeniero Informático con doble máster en Seguridad TIC (Sistemas y Redes / Servicios y Aplicaciones), profesor de Formación Profesional, CEO de AllPentesting y un especialista en ciberseguridad que se puede definir con esa expresión tan coloquial de ‘culo inquieto‘ pues además de todo eso es co-fundador de la comunidad Hack&Beers y del blog C43S4RS, Vicepresidente de la Asociación ANPHACKET, co-organizador del Congreso de Seguridad Qurtuba así como fundador de las Jornadas Security High School entre otras cosas.
A pesar de que grabar en el Hack&Beers que se hace la tarde previa a la Tomatina en un bar a pleno rendimiento en el mismo centro de Cheste es casi una tarea titánica porque el ruido ambiente lo complica todo muy mucho, la charla está disponible a continuación tanto en vídeo como en podcast con el mejor sonido posible y desde este enlace se puede acceder a la lista de reproducción completa con todas las charlas Hack&Beers disponibles hasta la fecha en Palabra de hacker.
CTF: tipos, plataformas y ejemplos de retos
En la ponencia Edu Sánchez explicó con detalle los diferentes tipos de CTF que existen y que se clasifican en:
- Jeopardy: conjunto de retos de diferentes tipos que otorgan una serie de puntos tras su resolución (encontrar la flag o bandera) en función del nivel de dificultad de cada ejercicio. La resolución de unos retos libera otros para seguir avanzando en la competición y cuando termina el tiempo estipulado, gana quien ha acumulado más puntos.
- Attack-Defense: cada equipo de participantes tiene un servidor/red con vulnerabilidades que debe proteger para que el equipo contrario no consiga acceder. Se dan puntos tanto de ataque como de defensa y gana el equipo que logre mejor puntuación.
- Mixted: Wargame, Hardware y otros.
Existen tanto plataformas de entrenamiento para ir ganando destreza y poder familiarizarse con la diversidad de ejercicios de las diversas áreas que conforman estas competiciones de seguridad informática como plataformas en las que organizar tu propio CTF.
- Plataformas de entrenamiento:
- CTF Time plataforma en la que se anuncian diferentes eventos donde hay CTFs y Write Ups.
- Root Me es un sitio de entrenamiento con diversos retos adaptados por niveles para probar las habilidades en hacking.
- Hack Me es un sitio web donde cada usuario puede colgar sus aplicaciones web vulnerables, un proyecto destinado a fines educativos o de investigación.
- Plataformas de organización de CTF disponibles a través de GitHub:
Los tipos de retos que conforman cada competición son muy variados. Hay ejercicios de criptografía, reversing, redes, forense informática, exploiting, seguridad web, esteganografía, OSINT entre otros.
La variedad de estos retos en los CTF hacen que los entrenamientos sirvan para ganar destrezas y capacidades incluso en áreas que no se dominan plenamente pero que a base de entrenar, cacharrear e intentar la resolución de los mismos llevan a aprender al menos nociones sobre esas áreas de la seguridad informática.
Como durante las Jornadas de Seguridad TomatinaCON, Edu junto a su equipo de colaboradores se encargaron de la planificación y organización de un CTF, en la charla desglosó algunos de los tipos de retos más comunes en estas competiciones mostrando algunos de los ejercicios que se crearon para la prueba. En concreto se centró en hablar de los retos relacionados con Criptografía, Web, Esteganografía y OSINT.
- Criptografía, es la ciencia que se dedica a ocultar mensajes secretos. ¿Dónde encontrar cientos de algoritmos de cifrado diferentes que pueden servir para entrenarse y para resolver retos basados en esta disciplina? Pues dCode es un buen lugar de referencia.
- Tecnologías Web. Cuando los desarrolladores de software y páginas web no controlan temas de seguridad se producen muchos errores que al descubierto vulnerabilidades y muchos retos se basan en dar con estos errores ofuscados que dan acceso a donde no se debería. De ahí la importancia que tiene la presencia de la seguridad desde el inicio tal y como explicó Jesús Hernández en la charla ‘Desarrollo de código seguro‘. Si necesitamos poder ver una web desde diferentes tipos de dispositivos una extensión que aconseja Edu para Chrome es User-Agent Switcher. Esta extensión disponible en el repositorio Chrome Web Store permite cambiar rápidamente entre user-agent de una forma muy sencilla y tal vez así dar con la vulnerabilidad que se está buscando para resolver un reto, además de ser una extensión de por si aconsejable para todos los desarrolladores, esta una vuelta de rosca a su posible utilidad en base a un CTF.
- Esteganografía. Son técnicas que ocultan mensajes u objetos dentro de otros para crear una ‘comunicación encubierta’ tal y como explicó José Aurelio García en el ‘Taller de esteganografía: ocultando mensajes y archivos en redes sociales‘ que está disponible en el canal y que complementa las herramientas que también indica Edu en su charla.
- File: Identifica el tipo de fichero, permitiendo así clasificar el archivo según su contenido.
- Exiftool: Permite acceder y manipular los metadatos de una gran variedad de formatos.
- Strings: Obtiene cadenas en ficheros.
- GHex: Editor binario para buscar información. Permite ver y editar un archivo binario en ascii y hexadecimal.
- Binwalk: Herramienta para buscar y analizar una imagen binaria dentro de archivos incrustados y códigos ejecutables. Se puede buscar así código malicioso, realizar ingeniería inversa y extracción de datos.
- Herramientas de estegoanálisis: Openstego, DeepSound, StegExpose, Steghide…
- OSINT, ejercicios de búsqueda de información en fuentes abiertas. Recomendable complementarlo con el ciberdebate ‘OSINT y hacking con buscadores‘ así como con la lista de herramientas disponibles tanto en el artículo ‘Qué es OSINT: fases, fuentes y herramientas‘ como en la charla ‘Herramientas en Python & OSINT para proyectos de seguridad‘.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
¿Tienes Telegram? Suscríbete al canal de Palabra de hacker: https://t.me/palabradehacker
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!