CTFs. Otra perspectiva del hacking.

Por Derechodelared

Durante el fin de semana, un lector nos ha pedido información sobre los CTFs y hemos pensado que la mejor manera de responderle es mediante un pequeño artículo. De este modo, muchos podrán resolver dudas sobre estas competiciones.

Cuando hablamos del mundo hacker, solemos imaginarnos a una persona con capucha, tecleando a unas 100 veces por segundo e intentando introducirse en sistemas. Pero el hacking va mucho más allá y por ello hoy vamos a hablaros un poquito de los CTFs.

Muchos hemos oído hablar de CTFs, otros estamos hartos de pasar estas competiciones y de hacer un reto tras otro y otros no ubican esta actividad. Por ello, desde este artículo se tratará de dar respuestas a cuestiones muy básicas sobre las competiciones y veremos algunos retos que pueden ser muy interesantes.

¿Qué son los CTFs?

Los CTFs, en general, consisten en realizar una competición entre varios equipos con el objetivo de encontrar una "bandera", de este modo se pretende demostrar las habilidades para "hackear" un sistema.

Mediante estas actividades se pretenden demostrar habilidades de seguridad, de explotación web o ingeniería inversa.

A pesar, que lo más común es realizar estas competiciones en equipos, existe la posibilidad de realizar los retos de manera individual.

Una de las características fundamentales que podemos resaltar de los competidores, es su continua necesidad de aprendizaje para poder resolver los retos con el mayor número de habilidades posibles.

Clasificación general.

Cuando hablamos de tipologías, realmente los CTFs son muy variopintos, pero debemos destacar dos:

Modo Jeopardy. Esta modalidad consiste en actividades de piratería, las actividades están relacionadas con la explotación de vulnerabilidades y con desafíos asociados a programación. Tras completando cada actividad obtienes una "bandera" la cual está asignada a un cierto número de puntos. El equipo que obtenga mayor cantidad de puntos y banderas, en el menor tiempo posible, gana el reto. En estos retos se hace una clasificación de destrezas que cada equipo puede elegir:

Análisis forense.

Modo Attack-Defense. Por otro lado, encontramos la modalidad ataque-defensa. Esta consiste en que, los equipos participantes deben defender sus servidores ante un ataque y a la vez deben atacar los servidores de los otros equipos, de este modo se consiguen puntos.

Los 5 mandamientos de las competiciones de CTFs.

Para poder realizar una competición de este calibre la honestidad y la constancia se erigen como dos de las características fundamentales de los participantes. Por ello, desde Derecho de la Red os traemos las 5 reglas inquebrantables para realizar las competiciones de manera sana y ejemplar.

  1. No publicarás las soluciones de los retos.
  2. No publicarás la ubicación de las banderas.
  3. No buscarás soluciones en ningún buscador.
  4. No pedirás banderas online.
  5. Encontrarás la bandera por encima de todas las cosas.

Algunas webs de competiciones.

Los compañeros de WherisMyKeyboard, realizaron una clasificación muy interesante sobre algunos de los mejores sitios de hacking para practicar habilidades en CTFs. La clasificación se muestra a continuación.

CTFtime.

Es una web donde se registran los eventos sobre CTF y por tanto que te permite estar al día de las competiciones.

De dicho modo, al acceder a la página principal podemos ver la clasificación de los equipos y el país al que pertenecen. A continuación, veremos los próximos eventos, la fecha en la que se celebrará y la duración que tendrán. Además, veremos los eventos que están ocurriendo in situ y los pasados.

Sin embargo, no solo encontraremos información relacionada con eventos, sino que podremos acceder a ellos de manera directa.

A modo de ejemplo se muestran algunas de las competiciones.

Bibliografía: