Desvendando o mundo dos CTFs: competições de segurança da informação

Desvendando o mundo dos CTFs: competições de segurança da informação

E ai… Qual teu Papo?

CTFs são um dos meus hobbies favoritos. Curto muito a sensação de resolver um desafio particularmente difícil e ver todas as peças do quebra-cabeça se encaixarem. Eu gostaria que este post servisse como uma introdução ao CTF para os membros da comunidade aqui da 4Linux que talvez não saibam o que é.

Então, o que é CTF?

O CTF (Capture The Flag) é um tipo de competição de segurança da informação que desafia os competidores a resolverem uma variedade de tarefas, desde uma “caça ao tesouro na wikipedia” até exercícios básicos de programação, ou até mesmo invadir um servidor para roubar dados. Nesses desafios, o concorrente geralmente é solicitado a encontrar uma parte específica do texto que possa estar oculta no servidor ou por trás de uma página da Web. Este objetivo é chamado de bandeira (flag), daí o nome!

Como muitas competições, o nível de habilidade para CTFs varia entre os eventos. Alguns são voltados para profissionais com experiência em operar em equipes de segurança cibernética. Estes geralmente oferecem uma grande recompensa em dinheiro e podem ser mantidos em um local físico específico. Outros eventos têm como alvo o ensino médio e universitário, oferecendo às vezes apoio monetário à educação para aqueles que se destacam na competição!

CTFtime detalha os diferentes tipos de CTF. Para resumir, os CTFs do estilo Jeopardy fornece uma lista de desafios e pontos de premiação para indivíduos ou equipes que completam os desafios, os grupos com mais pontos ganham. Os CTFs com estilo de ataque/defesa concentram-se em atacar os servidores de um oponente ou defender o próprio. Esses CTFs são normalmente voltados para aqueles com mais experiência e são conduzidos em um local físico específico.

Os CTFs podem ser jogados individualmente ou em equipes, então sinta-se à vontade para chamar seus amigos!

Gostaria de enfatizar que os CTFs estão disponíveis para todos. Muitos desafios não exigem conhecimento de programação e são simplesmente uma questão de resolução de problemas e pensamento criativo.

Tipos de desafio

Os desafios de CTFs no estilo de perigo são tipicamente divididos em categorias. Vou tentar cobrir brevemente os mais comuns.

  • Criptografia – Geralmente envolve a descriptografia ou criptografia de um dado;
  • Esteganografia – Tarefa destinada a encontrar informações ocultas em arquivos ou imagens;
  • Binário – engenharia reversa ou exploração de um arquivo binário;
  • Web – Explorando páginas da web para encontrar a bandeira;
  • Pwn – Explorando um servidor para encontrar a bandeira;

Por onde eu começo Jota?

Se consegui despertar sua curiosidade, compilei uma lista de recursos que me ajudaram a começar a aprender. Veteranos do CTF, sinta-se livre para adicionar seus próprios recursos nos comentários abaixo!

Aprendendo

Recursos

Ferramentas (que eu uso com frequência)

  • binwalk – Analisar e extrair arquivos;
  • burp suite – Estrutura de teste de penetração da web repleta de recursos;
  • stegsolve – Passe vários filtros em imagens para procurar por texto oculto;
  • GDB – depurador binário;
  • A boa e velha linha de comando 🙂

Prática

Muitos dos CTFs “oficiais”, organizados por universidades e empresas são competições limitadas no tempo. No entanto, existem muitos CTFs que estão online 24 horas por dia, 7 dias por semana e podem ser usados ​​como ferramentas práticas e de aprendizado.

Aqui estão alguns que achei serem amigáveis ​​para iniciantes:

Conclusão

O CTF é um ótimo passatempo para aqueles interessados ​​em solucionar problemas e/ou segurança cibernética. A comunidade é sempre acolhedora e pode ser muito divertida enfrentar desafios com amigos.

 

Assista ao webinar realizado sobre “Conhecendo Técnicas de Pentest através de Desafios”

Obrigado pela leitura!

CURSOSCONSULTORIA    CONTATO

Anterior Participe do Darkmira Tour 2019 e aprenda sobre PHP com a 4Linux
Próxima Torne-se um especialista em PBX-IP com o curso prático da 4Linux

About author

Joatham Silva
Joatham Silva 11 posts

Joatham Pedro - Analista de Sistemas Federal, Analista de Segurança/Infraestrutura, Consultoria e Treinamento, Mestre em Sistemas em Computação, - C|EH - C|HFI - EMC - LPIC 3 - CLA - EXIN

View all posts by this author →

Você pode gostar também

Segurança

Avaliando a Segurança em Ambientes Kubernetes com Kubeaudit

Essa é a segunda parte falando de segurança em ambientes Kubernetes. Caso você ainda não tenha visto a Parte 1, fique a vontade para clicar no link abaixo: No post

DevOps

Melhore a segurança do seu ambiente Kubernetes com práticas eficazes

A ampla utilização do Kubernetes (K8S) em ambientes produtivos traz uma alerta, de como esses ambientes estão sendo usados em relação as configurações e boas práticas de segurança da informação.

Segurança

Como Implementar a Análise de Qualidade de Código com DevOps e SonarQube

Dentro da ótica do DevOps e de como implementar agilidade com qualidade, temos os testes automatizados como um dos principais pilares para manter a essência do CI (Continuous Integration), porém