Capture the Flag

From FdIwiki ELP
Jump to: navigation, search

Capturar la bandera, más conocido como Capture the flag o CTF por sus siglas en inglés, es un estilo de juego en el que dos equipos intentan atrapar una bandera y llevarla a un sitio determinado para ganar. [1]

En términos informáticos los CTF son competiciones de seguridad informática de manera online o presencial donde se enfrentan tanto como aprendices como expertos en ciberseguridad y tratan de resolver una serie de desafíos informáticos enfocados a la seguridad. Cuando alguien consigue resolver uno de esos retos recibe un flag que le permite obtener los puntos de la prueba.


Sobre los CTFs

Estas competiciones permiten poner a prueba nuestras habilidades de hacking mediante diferentes pruebas o retos que tendremos que resolver. Hay dos tipos de CTF[2]:

  • Jopardy: En este caso, se van liberando retos en diferentes categorías y los equipos tienen que resolverlos para obtener la codiciada bandera. La bandera suele tratarse de un string de texto que demostrará que el equipo ha sido capaz de completar el reto satisfactoriamente, un ejemplo seria: “flag{md5}” o “flag{3st0_3s_un_3j3mpl0}”.
  • Attack-Defense::Aquí cada equipo dispone de una red/servidor con servicios vulnerables. Los equipos deberán desarrollar exploits para lanzarlos contra el resto de participantes y parchear sus propios servicios para impedir que el resto de participantes exploten los suyos.


Participación

  • Online: competición pública a través de Internet dónde gente de todo el mundo puede participar. Ejemplo: CTF CCN-CERT [3]
  • Presencial: Participación de forma física en un determinado lugar, normalmente después de superar una fase online o fase abierta denominada quals. Ejemplo: CTF Cybercamp [4]

Categorías

  • Análisis Forense (Forensics): Lo más común; imágenes de memoria, de discos duros o capturas de red, las cuales almacenan diferentes tipos de información.
  • Criptografía (Crypto): Descrifrar textos cifrados con diferentes técnicas criptográficas. [5]
  • Esteganografía (Stego): Encontrar ficheros ocultos en imágenes, sonidos o vídeos. [6]
  • Explotación (Pwn): Descubrimiento de vulnerabilidades en un servidor.
  • Ingeniería Inversa ((Reversing): Obtención de información en el funcionamiento del un software (por ejemplo: binarios de Windows y Linux). [7]
  • Programación (PPC): También conocidos como PPC (Professional Programming & Coding), desafíos en los que se requiere desarrollar un programa o script que realice una determinada tarea.
  • Hacking Web: Descubrimiento de vulnerabilidades en una aplicación Web.
  • Reconocimiento (Recon): Búsqueda de la bandera en distintos sitios de Internet. Para resolverlo se ofrecen pistas, tal como el nombre de una persona.
  • Trivial (Trivia): Diferentes preguntas relacionadas con la seguridad informática.
  • Misceláneo (Misc): Retos aleatorios que pueden pertenecer a distintas categorías sin especificar.


Otros enlaces de interés

http://amanhardikar.com/mindmaps/Practice.html

https://ctftime.org/

http://captf.com/practice-ctf/

https://www.root-me.org/?lang=es/

https://www.hackthebox.eu/

http://overthewire.org/wargames/

https://www.defcon.org/html/links/dc-ctf.html

Herramientas para principiantes: http://resources.infosecinstitute.com/tools-of-trade-and-resources-to-prepare-in-a-hacker-ctf-competition-or-challenge/

Referencias

  1. https://es.wikipedia.org/wiki/Capturar_la_bandera
  2. http://s3lab.deusto.es/capture-the-flag-hacking-juego/
  3. http://atenea.ccn-cert.cni.es/
  4. https://cybercamp.es/competiciones/CTF_individual
  5. http://wikis.fdi.ucm.es/ELP/Criptograf%C3%ADa
  6. http://wikis.fdi.ucm.es/ELP/Esteganograf%C3%ADa
  7. https://es.wikipedia.org/wiki/Ingenier%C3%ADa_inversa