Desvendando o mundo dos CTFs: competições de segurança da informação

E ai… Qual teu Papo?

CTFs são um dos meus hobbies favoritos. Curto muito a sensação de resolver um desafio particularmente difícil e ver todas as peças do quebra-cabeça se encaixarem. Eu gostaria que este post servisse como uma introdução ao CTF para os membros da comunidade aqui da 4Linux que talvez não saibam o que é.

Então, o que é CTF?

O CTF (Capture The Flag) é um tipo de competição de segurança da informação que desafia os competidores a resolverem uma variedade de tarefas, desde uma “caça ao tesouro na wikipedia” até exercícios básicos de programação, ou até mesmo invadir um servidor para roubar dados. Nesses desafios, o concorrente geralmente é solicitado a encontrar uma parte específica do texto que possa estar oculta no servidor ou por trás de uma página da Web. Este objetivo é chamado de bandeira (flag), daí o nome!

Como muitas competições, o nível de habilidade para CTFs varia entre os eventos. Alguns são voltados para profissionais com experiência em operar em equipes de segurança cibernética. Estes geralmente oferecem uma grande recompensa em dinheiro e podem ser mantidos em um local físico específico. Outros eventos têm como alvo o ensino médio e universitário, oferecendo às vezes apoio monetário à educação para aqueles que se destacam na competição!

CTFtime detalha os diferentes tipos de CTF. Para resumir, os CTFs do estilo Jeopardy fornece uma lista de desafios e pontos de premiação para indivíduos ou equipes que completam os desafios, os grupos com mais pontos ganham. Os CTFs com estilo de ataque/defesa concentram-se em atacar os servidores de um oponente ou defender o próprio. Esses CTFs são normalmente voltados para aqueles com mais experiência e são conduzidos em um local físico específico.

Os CTFs podem ser jogados individualmente ou em equipes, então sinta-se à vontade para chamar seus amigos!

Gostaria de enfatizar que os CTFs estão disponíveis para todos. Muitos desafios não exigem conhecimento de programação e são simplesmente uma questão de resolução de problemas e pensamento criativo.

Tipos de desafio

Os desafios de CTFs no estilo de perigo são tipicamente divididos em categorias. Vou tentar cobrir brevemente os mais comuns.

• Criptografia – Geralmente envolve a descriptografia ou criptografia de um dado;
• Esteganografia – Tarefa destinada a encontrar informações ocultas em arquivos ou imagens;
• Binário – engenharia reversa ou exploração de um arquivo binário;
• Web – Explorando páginas da web para encontrar a bandeira;
• Pwn – Explorando um servidor para encontrar a bandeira;

Por onde eu começo Jota?

Se consegui despertar sua curiosidade, compilei uma lista de recursos que me ajudaram a começar a aprender. Veteranos do CTF, sinta-se livre para adicionar seus próprios recursos nos comentários abaixo!

Aprendendo

• http://ctfs.github.io/resources/ – Introdução às técnicas comuns de CTF, como criptografia, esteganografia, exploits da Web (Incompleto);
• https://trailofbits.github.io/ctf/forensics/ – Dicas e truques relacionados aos desafios / cenários típicos do CTF;
• https://ctftime.org/writeups – Explicações de soluções para os desafios passados ​​de CTF;
• https://www.vulnhub.com/ – Explicações de soluções para os desafios passados ​​de CTF;

Recursos

• https://cftime.org – Rastreador de eventos da CTF;
• https://github.com/apsdehal/awesome-ctf – Lista abrangente de ferramentas e leitura adicional;

Ferramentas (que eu uso com frequência)

• binwalk – Analisar e extrair arquivos;
• burp suite – Estrutura de teste de penetração da web repleta de recursos;
• stegsolve – Passe vários filtros em imagens para procurar por texto oculto;
• GDB – depurador binário;
• A boa e velha linha de comando 🙂

Prática

Muitos dos CTFs “oficiais”, organizados por universidades e empresas são competições limitadas no tempo. No entanto, existem muitos CTFs que estão online 24 horas por dia, 7 dias por semana e podem ser usados ​​como ferramentas práticas e de aprendizado.

Aqui estão alguns que achei serem amigáveis ​​para iniciantes:

• https://ctflearn.com – Uma coleção de vários desafios enviados pelos usuários voltados para os recém-chegados;
• https://overthewire.org/wargames/ – Uma série de desafios de estilo pwn progressivamente mais difíceis  (Comece com a série de bandidos);
• https://2018game.picoctf.com/ – CTF anual com limite de tempo, disponível para praticar.

Conclusão

O CTF é um ótimo passatempo para aqueles interessados ​​em solucionar problemas e/ou segurança cibernética. A comunidade é sempre acolhedora e pode ser muito divertida enfrentar desafios com amigos.

Assista ao webinar realizado sobre “Conhecendo Técnicas de Pentest através de Desafios”

Obrigado pela leitura!

CURSOSCONSULTORIA    CONTATO