Ownwership

CTF: entrenament en ciberseguretat

El Capture the Flag (CTF) és una manera entretinguda d’endinsar-se en el món de la ciberseguretat i d’estar-ne al corrent. Es tracta d’una sèrie d'esdeveniments i proves que desenvolupen el costat més hack3r. Però, en què consisteixen?

Tots tenim a la ment alguna pel·lícula o sèrie en què una persona anomenada hacker accedeix als sistemes més segurs del món, després de mal escriure tres línies de codi, fer que saltin unes quantes finestres emergents i veure access granted parpellejant amb unes enormes lletres verdes. Ja sigui el sistema de defensa aeroespacial o el router del veí, no és tan simple. Arribar a aquest nivell (deixant de banda la ciència-ficció) costa molt més del que ens imaginem.

Com podem anar progressant en el món del hacking? No ens hem d’enganyar. No hi ha cap fórmula màgica ni cap camí fàcil per seguir. Per ser el millor, cal practicar. Això ningú no ho posa en dubte. I per ser un dels millors en matèria de ciberseguretat, un bon entrenament és “jugar” al CTF (Capture the Flag). Tant si s’és novell com expert.

El CTF es defineix com un ciberesport que no es practica a l’aire lliure. Entretingut, addictiu i, de vegades, amb una recompensa material. Què més se’n pot demanar? Són atributs que fan que dia rere dia el CTF vagi guanyant cada cop més popularitat entre les persones que s’endinsen en el món de la ciberseguretat. “Són pràctiques molt tècniques dutes a terme per empreses especialitzades en hacking ètic i per les quals competeixen de manera oberta, fet que els pot aportar la satisfacció de superar un repte molt gran, enfrontar-se a si mateixes i el prestigi de guanyar una competició d’aquest estil”, ha destacat Rasha Aljelani, cap de l’equip SecOps de BBVA IT España.

Dins del CTF es poden distingir les categories següents, cadascuna amb les seves regles i característiques pròpies:
● Anàlisi forense [Forensics] La més comuna: imatges de memòries, de discos durs o de captures de xarxa que emmagatzemen diferents tipus d’informació.
● Criptografia [Crypto] Textos xifrats mitjançant un criptosistema determinat.
● Esteganografia [Stego] Imatges, sons o vídeos que oculten informació a l’interior.
● Explotació [PWN] Descobriment de vulnerabilitats en un servidor.
● Enginyeria inversa [Reversing] Obtenir informació del funcionament del programari. La més comuna: binaris de Windows i Linux.
● Programació [PPC] També coneguts com a PPC (Professional Programming & Coding). Desafiaments en què es requereix desenvolupar un programa o un script que faci una tasca determinada.
● Web Descobrir les vulnerabilitats d’una aplicació web.
● Reconeixement [Recon] Cercar la bandera en diferents llocs d’Internet.

Per resoldre-ho s’ofereixen pistes, com el nom d’una persona o d’un lloc.
● Trivial [Trivia] Diferents preguntes relacionades amb la seguretat informàtica.
● Miscel·lani [Misc] Reptes aleatoris que poden pertànyer a diferents categories sense especificar.

Generalment el CTF té dos modes: Jeopardy, que es basa en la resolució d’una sèrie de reptes per capturar una bandera, i Atac-Defensa, que consisteix en què cada equip disposa d’una xarxa o d’un servidor al qual hauran d’afegir pedaços o fer-hi un explotador, en funció del seu torn. En alguns llocs, la barreja d’aquests dos modes pot donar lloc a un tercer, anomenat Mixt.

Els esdeveniments de CTF

Dins d’aquests entrenaments s’organitzen esdeveniments en què normalment es participa per equips. Cada membre de l’equip assumeix les tasques que domina millor dins de cada categoria per superar totes les proves amb més efectivitat i rapidesa que la resta.

De vegades, tot i que és poc freqüent a causa de la dificultat de les proves i el poc temps que tenen, es poden formar equips d’un sol jugador. Són casos excepcionals i molt estranys, ja que a la majoria dels equips hi ha membres amb molta experiència i bones habilitats.

Per als més joves, d’entre 8 i 16 anys, hi ha una modalitat de CTF especial perquè es puguin iniciar en el món de la ciberseguretat informàtica. És un complement ideal perquè vagin aprenent i posant en pràctica nous conceptes del món hacker en cada esdeveniment.

Tots els esdeveniments del CTF tenen lloc en entorns preparats a consciència per rebre atacs. Compten amb una seguretat bastant alta, tant en els servidors com en les aplicacions web, perquè els “jugadors” puguin esprémer al màxim les seves habilitats. Però que ningú no es pensi que el CTF és un trampolí per aconseguir hackejar la xarxa wifi del veí o l’Instagram d’algú conegut, sinó que es tracta d’aprendre i millorar les habilitats.

Convertir-se en un expert de la seguretat informàtica és una opció més que interessant. Sens dubte, és una de les professions més sol·licitades per les empreses i una de les que té més futur.