CTF, ¡el entrenamiento necesario!
Guía para iniciarse en ejercicios de ciberseguridad CTF (Capture The Flag) con plataformas, herramientas y recursos de aprendizaje recomendados.
Introducción
Esta nueva entrega va enfocada a las personas que están iniciándose en el área de la ciberseguridad defensiva. Tengo la suerte de ser amigo de algunos especialistas y he podido entender que no hay fórmula mágica, certificación o camino rápido para lograr las habilidades en tecnologías y técnicas que se requieren para ser un mejor profesional de ciberseguridad. ¡Hay que entrenar y duro!
Hoy presenté en el OWASP LATAM TOUR mi nueva charla referente a mi experiencia en Hack The Box y cómo el CTF me ha dado una nueva visión sobre problemas comunes.
¿Qué es un ejercicio de ciberseguridad?
Para este caso en particular, son ejercicios donde se vulneran máquinas reales preparadas para ello sobre entornos controlados, con técnicas de hacking ético, en un sentido amplio.
¿Para qué sirven los ejercicios de ciberseguridad?
Estos ejercicios son un importante mecanismo para mantenernos alerta y preparados ante ciberamenazas, mejorar las técnicas y entender cómo se gestan ataques reales. El objetivo principal de entrenar las técnicas ofensivas es mejorar nuestras defensas y proteger de mejor manera los activos de la organización.
¿Qué es un CTF?
Capture The Flag (en español, Captura la Bandera): una serie de desafíos informáticos enfocados en la seguridad, cada vez más populares en este sector. Con ellos pondremos a prueba nuestros conocimientos e incluso aprenderemos nuevas técnicas.
Los CTF se suelen dividir en las siguientes categorías:
- Análisis Forense [Forensics]: Imágenes de memoria, de discos duros o capturas de red con diferentes tipos de información.
- Criptografía [Crypto]: Textos cifrados mediante un criptosistema determinado.
- Esteganografía [Stego]: Imágenes, sonidos o videos que ocultan información en su interior.
- Explotación [Pwn]: Descubrimiento de vulnerabilidades en un servidor.
- Ingeniería Inversa [Reversing]: Inferir en el funcionamiento del software. Lo más común, binarios de Windows y Linux.
- Programación [PPC]: Desafíos en los que se requiere desarrollar un programa o script que realice una determinada tarea.
- Web: Descubrimiento de vulnerabilidades en una aplicación web.
- Reconocimiento [Recon]: Búsqueda de la bandera en distintos sitios de internet.
- Trivial [Trivia]: Diferentes preguntas relacionadas con la seguridad informática.
- Misceláneo [Misc]: Retos aleatorios que pueden pertenecer a distintas categorías sin especificar.
Si desea participar de un CTF, visite el sitio CTFTime.
¡Manos a la Obra!
Especificaciones técnicas de hardware mínimas:
- Cualquier equipo Laptop o PC, con un procesador desde i5
- Un disco duro de 250 Gigas idealmente
- Memoria ram sobre 4 gigas para OS nativos, sobre 8 gigas para virtualizar
- Una tarjeta Wireless que soporte modo monitor
Especificaciones técnicas de software recomendado:
- Kali Linux: Distribución basada en Debian para auditoría y seguridad informática. https://www.kali.org/downloads/
- Parrot Security OS: Distribución basada en Debian para pruebas de penetración. https://www.parrotsec.org/download-security.php
- OSX for Hackers and Pentesters: Distribución basada en macOS personalizada para hackers, creada por airwolfx86 de Chile.
Conocimiento mínimo necesario:
- Fundamentos y comandos de Linux
- Fundamentos de Networking
Recursos de aprendizaje:
- https://cybrary.it
- https://backtrackacademy.com/
- https://www.pentesteracademy.com/
- https://ethicalhackersacademy.com/
Plataformas OFF-Line para ejercicios de Ciberseguridad
- Metasploitable: Entorno de prueba seguro para pruebas de penetración. https://github.com/rapid7/metasploitable3
- Web Security Dojo: Para aprender y practicar técnicas de seguridad web. https://sourceforge.net/projects/websecuritydojo/
- DVWA: Aplicación web PHP/MySQL muy vulnerable para practicar. https://github.com/ethicalhack3r/DVWA
- OWASP Mutillidae II: Aplicación web deliberadamente vulnerable. https://sourceforge.net/projects/mutillidae/
- VulnHub: Cientos de máquinas listas para practicar. https://www.vulnhub.com/
- Pentester Labs: Sistemas vulnerables para comprender vulnerabilidades. https://pentesterlab.com/
Plataformas online para ejercicios de ciberseguridad
- Hack The Box: Plataforma en línea para probar habilidades de penetración. https://www.hackthebox.eu/ (Nota: debes hackear el registro de usuario para ser invitado)
- AttackDefense: Plataforma en línea con acceso gratuito a su laboratorio. https://public.attackdefense.com/