Conhecendo Técnicas de Pentest através de Desafios

Conhecendo Técnicas de Pentest através de Desafios

E ai… Qual teu Papo?

CTFs são um dos meus hobbies favoritos. Curto muito a sensação de resolver um desafio particularmente difícil e ver todas as peças do quebra-cabeça se encaixarem. Eu gostaria que este post servisse como uma introdução ao CTF para os membros da comunidade aqui da 4Linux que talvez não saibam o que é.

Então, o que é CTF?

O CTF (Capture The Flag) é um tipo de competição de segurança da informação que desafia os competidores a resolverem uma variedade de tarefas, desde uma “caça ao tesouro na wikipedia” até exercícios básicos de programação, ou até mesmo invadir um servidor para roubar dados. Nesses desafios, o concorrente geralmente é solicitado a encontrar uma parte específica do texto que possa estar oculta no servidor ou por trás de uma página da Web. Este objetivo é chamado de bandeira (flag), daí o nome!

Como muitas competições, o nível de habilidade para CTFs varia entre os eventos. Alguns são voltados para profissionais com experiência em operar em equipes de segurança cibernética. Estes geralmente oferecem uma grande recompensa em dinheiro e podem ser mantidos em um local físico específico. Outros eventos têm como alvo o ensino médio e universitário, oferecendo às vezes apoio monetário à educação para aqueles que se destacam na competição!

CTFtime detalha os diferentes tipos de CTF. Para resumir, os CTFs do estilo Jeopardy fornece uma lista de desafios e pontos de premiação para indivíduos ou equipes que completam os desafios, os grupos com mais pontos ganham. Os CTFs com estilo de ataque/defesa concentram-se em atacar os servidores de um oponente ou defender o próprio. Esses CTFs são normalmente voltados para aqueles com mais experiência e são conduzidos em um local físico específico.

Os CTFs podem ser jogados individualmente ou em equipes, então sinta-se à vontade para chamar seus amigos!

Gostaria de enfatizar que os CTFs estão disponíveis para todos. Muitos desafios não exigem conhecimento de programação e são simplesmente uma questão de resolução de problemas e pensamento criativo.

Tipos de desafio

Os desafios de CTFs no estilo de perigo são tipicamente divididos em categorias. Vou tentar cobrir brevemente os mais comuns.

  • Criptografia – Geralmente envolve a descriptografia ou criptografia de um dado;
  • Esteganografia – Tarefa destinada a encontrar informações ocultas em arquivos ou imagens;
  • Binário – engenharia reversa ou exploração de um arquivo binário;
  • Web – Explorando páginas da web para encontrar a bandeira;
  • Pwn – Explorando um servidor para encontrar a bandeira;

Por onde eu começo Jota?

Se consegui despertar sua curiosidade, compilei uma lista de recursos que me ajudaram a começar a aprender. Veteranos do CTF, sinta-se livre para adicionar seus próprios recursos nos comentários abaixo!

Aprendendo

Recursos

Ferramentas (que eu uso com frequência)

  • binwalk – Analisar e extrair arquivos;
  • burp suite – Estrutura de teste de penetração da web repleta de recursos;
  • stegsolve – Passe vários filtros em imagens para procurar por texto oculto;
  • GDB – depurador binário;
  • A boa e velha linha de comando 🙂

Prática

Muitos dos CTFs “oficiais”, organizados por universidades e empresas são competições limitadas no tempo. No entanto, existem muitos CTFs que estão online 24 horas por dia, 7 dias por semana e podem ser usados ​​como ferramentas práticas e de aprendizado.

Aqui estão alguns que achei serem amigáveis ​​para iniciantes:

Conclusão

O CTF é um ótimo passatempo para aqueles interessados ​​em solucionar problemas e/ou segurança cibernética. A comunidade é sempre acolhedora e pode ser muito divertida enfrentar desafios com amigos.

 

Assista ao webinar realizado sobre “Conhecendo Técnicas de Pentest através de Desafios”

Obrigado pela leitura!

CURSOSCONSULTORIA    CONTATO

Anterior Darkmira Tour PHP 2019 - 4Linux presente em mais um evento de TI!
Próxima Novo curso de Asterisk da 4Linux, agora com FreePBX.

About author

Joatham Silva
Joatham Silva 8 posts

Joatham Pedro - Analista de Sistemas Federal, Analista de Segurança/Infraestrutura, Consultoria e Treinamento, Mestre em Sistemas em Computação, - C|EH - C|HFI - EMC - LPIC 3 - CLA - EXIN

View all posts by this author →

Você pode gostar também

Segurança

Analisando a Qualidade do Código com SonarQube

Dentro da ótica do DevOps e de como implementar agilidade com qualidade, temos os testes automatizados como um dos principais pilares para manter a essência do CI (Continuous Integration), porém

Segurança

Análise forense em imagens

O que de fato é imagem forense? Para ser direto, Image Forensics é um ramo específico da análise forense que lida com vários tipos de ataques. Alguns deles incluem: A autenticidade de

Segurança

Log de Linux com o SystemD/Journald

E ai, Qual teu papo? O objetivo deste bate papo e abordar sobre um componente do SystemD chamado Journald que atua na coleta e gerenciamento de entradas de registros diários de