¡Hola a todos! En esta segunda entrada del blog hablaremos de los términos CTF, wargames y boot2root. Aunque no signifiquen exactamente lo mismo, todos ellos tienen una finalidad común dentro del mundo del hacking: se trata de actividades que permiten aumentar las habilidades de una persona dentro de la ciberseguridad mientras pasa un rato divertido, todo ello dentro de un entorno controlado y de manera legal. Son como una especie de juegos que permiten poner a prueba tus habilidades y lo que es mejor: aumentarlas.
Las siglas CTF provienen de las palabras Capture the flag (Capturar la bandera, en castellano). Un CTF es una competición con duración limitada que enfrenta a diferentes equipos. Dentro de la competición existen diferentes actividades que, tras ser completadas, permitirán obtener una bandera o flag, que no es más que un código, que podrá ser validada en un marcador para obtener la puntuación asociada tras su completitud. El equipo que más puntos consiga resultará ganador de la competición. Existen tres tipos de CTF’s:
- Jeopardy. Dentro de este tipo de CTF, por lo general, existen diferentes categorías en las que se engloban diferentes retos: Explotación web, Análisis forense, Criptografía, Reversing, Esteganografía, Exploiting, entre otros. Según su dificultad, cada reto tendrá una puntuación asociada. Generalmente, cada persona dentro del equipo suele estar especializada dentro de un área; aunque en ocasiones también se organizan CTF’s de este tipo para participar de manera individual.
Como ejemplos de CTF’s al estilo Jeopardy tenemos el CTF individual organizado por INCIBE en el CyberCamp 2018 o en la DEF CON 2017. - Attack-defense. En esta otra variante cada equipo tiene una red de ordenadores u ordenador con servicios vulnerables. El objetivo de cada equipo es proteger sus servidores donde están alojadas las banderas mediante parches y desarrollar exploits para atacar los servidores del equipo contrario y robar así sus banderas. Los servicios tienen que estar en continuo funcionamiento y las banderas deben estar en su lugar correspondiente, cosa que debe ser comprobada y validada por los organizadores del evento. Se obtendrán puntos de ataque y puntos de defensa en función de cuántas veces se haya atacado y defendido con éxito, respectivamente.
Como ejemplo tenemos el CTF de la anterior DEF CON 2018. - Competiciones mixtas. Como su nombre lo indica, se trata de un amalgama entre el estilo Jeopardy y el attack-defense donde se mezclan ambos formatos en diferentes eventos.
Figura 1: Equipo compitiendo en el CTF de la DEF CON 2018
Ahora es el turno de los Wargames. Suele existir bastante confusión entre los CTF’s y los Wargames. La principal diferencia entre ellos es que los Wargames no están limitados por tiempo y no son tan competitivos. Comparten el mismo tipo de retos que los CTF’s al estilo Jeopardy y, al igual que en algunos CTF’s de esta competencia, para pasar al siguiente nivel o reto es necesario superar el anterior.
Como ejemplo de Wargames, los cuales recomiendo, tenemos los que ofrecen en Overthewire: Bandit, por el que aconsejan empezar; Natas, sobre vulnerabilidades web; etc. Para poder participar hay que acceder a través de SSH al servidor que alberga el Wargame y empezar a completar los niveles. Otro ejemplo son los disponibles en exploit-education: Nebula, Protostar, etc. En este caso, en cambio, se debe descargar la imagen del sistema del Wargame y debe ser levantado, por ejemplo, en una máquina virtual para poder proceder a completarlos.
Por último, hablaremos de los retos boot2root, que en castellano significa encender-para-rootear. El objetivo de estos retos es, a partir de una máquina con servicios vulnerables, encontrar esas debilidades, atacarlas y hacerse con el control total del sistema, obteniendo así los máximos privilegios (de hay la palabra rootear, ya que root es el superusuario o usuario administrador con máximo nivel de privilegios en un sistema GNU Linux). El objetivo de estas máquinas es conseguir, por lo general, dos banderas o flags: una de usuario y otra de root tras conseguir los máximos privilegios del sistema.
Estas máquinas pueden simular entornos reales de producción y en otros casos pueden ser menos realistas y estar más orientados a juegos lógicos que te hagan utilizar un pensamiento lateral para poder tener éxito.
Una de las grandes fuentes donde poder encontrar este tipo de máquinas es Vulnhub, que permite la descarga de una inmensidad de máquinas vulnerables. Simplemente se debe descargar la imagen de la máquina, importarla en un virtualizador de sistemas como Virtualbox y empezar a atacarla desde nuestro sistema.
Otra gran plataforma es HackTheBox (HTB). En esta ocasión, tras conseguir el código de acceso para registrarnos, esta plataforma ofrece, entre otras cosas, una red de máquinas vulnerables a las que poder atacar individualmente. Por cada máquina que completemos, obteniendo sus respectivas flags, obtendremos una serie de puntos que nos permitirán ascender de rango dentro de HackTheBox.
Figura 2: Logo de HTB
Como podemos ver, las posibilidades para adquirir conocimientos y
aumentar nuestras habilidades en ciberseguridad de forma legal y dentro
de entornos controlados son inmensas. Personalmente, los boot2root son
el tipo de retos que más me gustan ya que te permiten aumentar tus
habilidades como pentester. ¿Cuáles son tus preferidos? ¿Destacarías
algún otro tipo de reto? ¡Déjamelo en los comentarios!
Referencias:
https://www.incibe-cert.es/blog/ctf-entrenamiento-seguridad-informatica
https://ctftime.org/ctf-wtf/
https://www.vulnhub.com/
https://hackthebox.eu/
Referencias:
https://www.incibe-cert.es/blog/ctf-entrenamiento-seguridad-informatica
https://ctftime.org/ctf-wtf/
https://www.vulnhub.com/
https://hackthebox.eu/
Comentarios
Publicar un comentario