Que es un CTF | Tienes que capturarlas todas

bandera con escrito CTF sostenida por una mano en señal de victoria

Capturar la bandera(en inglés Capture The Flag CTF) es una competición generalmente amistosa que se basa en la seguridad de la información. Hay 3 tipos de CTF;

  1. Jeopardy
  2. Ataque-defensa
  3. Mixtos.

Los CTFs son usualmente diseñados para servir como una herramienta educacional dando experiencia a sus participantes; ya sea para generar diferentes ataques informáticos o para mejorar la seguridad de diferentes máquinas.

Jeopardy o CTF por retos

tablero del juego jeopardy; separado en filas y columnas, con encabezados de temas y en cada fila un valor en dolares

Jeopardy tiene un lista de retos, tareas o preguntas(cualquier nombre es valido) en un conjunto de categorías. Por ejemplo entre estas categorías están; Web, Forense, Criptografía, Reversing, etc. Cada equipo gana puntos por cada reto resuelto; los más complicados dan más puntos que los más simples.

Generalmente cuando se resuelve uno de estos retos se encuentra una flag(una prueba, un string especial, una bandera) que demuestra que se ha resuelto el problema.

En algunos casos es necesario hacer primero los retos simples para tener acceso a los retos complejos. Cuando se termina el tiempo gana el equipo cuya suma de puntos ganados en los retos sea la mayor.

 

CTF’s de Ataque y defensa

Imagen de un manual histórico de pelea de dos personas peleando con espadas.En ataque y defensa cada equipo tiene su red (o solo una máquina) con servicios vulnerables; tu equipo generalmente tiene tiempo para arreglar esas vulnerabilidades y desarrollar exploits (exploit una herramienta de software desarrollada para utilizar una vulnerabilidad en un sistema específico de computación). Luego del tiempo inicial los organizadores conectan a los participantes de la competición y comienza el juego de guerra; debes proteger tus propios servicios para ganar puntos de defensa y vulnerar la seguridad de tus oponentes para ganar puntos de ataque.

En algunos casos el objetivo es conseguir la contraseña de root del servidor objetivo, esta es considerada como la bandera.

Estos fueron los primeros tipo de CTFs que se jugaron como DEF CON CTF; que es uno de los CTFs más conocidos y con más prestigio.

 

CTF’s Mixtos

Un camarero removiendo un trago

Puede tener muchas variaciones puede ser una mezcla de ataque y defensa con retos especiales. Hay tipos como “King of the hill” donde varios equipos luchan para obtener el control de un servidor vulnerable y mantener este control. O CTFs donde se comienza por ataque y defensa y mientras esto ocurre se liberan retos o banderas especiales.

Comentarios finales

Un buen equipo para CTF tiene habilidades fuertes en todas las categorías mencionadas y en otras como seguridad móvil, análisis de binarios, etc.

Casi todos los CTFs tienen reglas generales como no hacer un ataque de denegación de servicio o no compartir las banderas con otros equipos.

En el futuro tendremos un post sobre como volverse bueno en los CTFs por ahora te tenemos un consejo; mucha práctica. Con respecto a la práctica en los próximos días vamos a publicar los solucionarios de algunos retos de CTFs y vamos a comenzar con los retos de la Dragon Jar Conference 2017, también puedes practicar en una de las paginas en los que nosotros lo hacemos.

Puedes unirte a nuestras redes sociales.

Facebook Twitter Slack  y por ahí se dice que tenemos un grupo secreto 👽 de whatsapp pero te tenemos que conocer primero, podemos hablar en slack :).

Y; puedes por favor compartir el post :P.

 

5 comments on “Que es un CTF | Tienes que capturarlas todasAdd yours →

Leave a Reply

Your email address will not be published. Required fields are marked *