¿Qué es CTF?

Te explicamos que es un CTF.
¿Qué es CTF?

¿Qué es CTF?

·O también llamado CTF (Capture The Flag), es una competencia de seguridad de la información que desafía a los participantes a resolver varias tareas, desde búsquedas del tesoro de Wikipedia hasta ejercicios básicos de programación o hasta ingresar a servidores para robar datos.

En estos y otros desafíos, a los concursantes se les suele pedir que busquen un texto específico que puede estar oculto en el servidor o detrás de la página web. Este objetivo se llama bandera, ¡de ahí el nombre!

Como muchas competiciones, el nivel de habilidad de CTF varía de un evento a otro. Algunas están dirigidas a profesionales con experiencia en la operación de equipos de seguridad de redes. Por lo general, brindan una gran cantidad de recompensas en efectivo y se pueden almacenar en una ubicación física específica.

¿Cómo resolver CTF?

Tipos de desafío

Los desafíos de CTF generalmente se dividen en categorías. Intentaré cubrir brevemente los más comunes:

  • Criptografía: normalmente implica descifrar o cifrar una parte de los datos.
  • Esteganografía: tiene la tarea de encontrar información oculta en archivos o imágenes
  • Binario: ingeniería inversa o explotación de un archivo binario
  • Web: explotación de páginas web para encontrar la bandera
  • Pwn: explotar un servidor para encontrar la bandera

 

Aprendiendo

  • http://ctfs.github.io/resources/ - Introducción a técnicas CTF comunes como criptografía, esteganografía, exploits web (incompleto)
  • https://trailofbits.github.io/ctf/forensics/ - Consejos y trucos relacionados con los desafíos / escenarios típicos de CTF
  • https://ctftime.org/writeups - Explicaciones de soluciones a desafíos pasados ​​del CTF

 

Recursos

  • https://ctftime.org - rastreador de eventos CTF
  • https://github.com/apsdehal/awesome-ctf - Lista completa de herramientas y lectura adicional

 

Herramientas (que uso comun)

  • binwalk: analiza y extrae archivos
  • burp suite: marco de pruebas de penetración web repleto de funciones
  • stegsolve: pase varios filtros sobre las imágenes para buscar texto oculto
  • GDB: depurador binario
  • La línea de comando :)

 

Práctica

Muchos de los CTF "oficiales" organizados por universidades y empresas son concursos por tiempo limitado. Sin embargo, hay muchos CTF que están en línea las 24 horas del día, los 7 días de la semana, que pueden usarse como herramientas de práctica y aprendizaje. Aquí hay algunos que me parecieron amigables para los principiantes.

  • https://ctflearn.com: una colección de varios desafíos enviados por usuarios dirigidos a los recién llegados
  • https://oticalwire.org/wargames/: una serie de desafíos de estilo pwn cada vez más difíciles. (Comienza con la serie Bandit)
  • https://2018game.picoctf.com/ - CTF anual por tiempo limitado ahora disponible para usar como práctica

 

Conclusión

CTF es un gran pasatiempo para aquellos interesados ​​en la resolución de problemas y / o la seguridad cibernética. La comunidad siempre es acogedora y puede ser muy divertido afrontar desafíos con amigos.

No olvides seguirnos en redes sociales.

twitter: https://twitter.com/InformaticaSeg1

FB: https://www.facebook.com/InformaticaSegura-101821878074389/

Linkedin: https://www.linkedin.com/company/informatica-segura/