¿Qué es un CTF?
Puedes estar empezando en la CiberSeguridad, o quizás ya eres un experto. En cualquier caso, las competiciones de “Captura la Bandera” (CTF) son una gran forma de aprender nuevas habilidades, entrenar las que ya tienes, o ponerte a prueba, siempre desde la diversión.
Un CTF consiste en una serie de retos de seguridad informática, en los que los equipos compiten entre sí para resolver más retos y conseguir más puntos.
Existen diferentes tipos de competiciones CTF. Citech CTF 2018 es una competición por equipos tipo “jeopardy”. Esto quiere decir que habrá una serie de retos divididos en varias categorías y con dificultad creciente. Por supuesto, los retos más difíciles otorgarán más puntos a quien los resuelva. Y quien los resuelva primero obtendrá puntos adicionales.
Al ser una competición por equipos, cada equipo sumará los puntos de todos sus integrantes, y el equipo que más puntos consiga será el ganador. También habrá un premio para el jugador individual que más puntos consiga.
¿En qué consiste un reto?
Un reto se puede presentar de muchas formas, pero siempre con el mismo objetivo: obtener una clave secreta o “bandera” (flag). Encontrar la bandera es la prueba de que has resuelto el reto.
Por supuesto, para encontrar la bandera necesitarás aplicar diferentes técnicas de hacking, programación, criptoanálisis, etc. Y ten en cuenta que estás en una competición. El tiempo es importante, por lo que los ataques de fuerza bruta no suelen resultar rentables. Por otro lado, en la mayoría de los retos será totalmente inútil intentarlo por fuerza bruta.
¿Y cómo saber que lo que has encontrado es la bandera? No te preocupes. Las banderas se han elegido para distinguirse perfectamente. Cuando la encuentres, no tendrás ninguna duda.
¿Qué tipos de retos hay?
Tradicionalmente, los retos de un CTF se suelen agrupar en al menos estas categorías:
- Criptografía (y esteganografía). Textos cifrados, mensajes ocultos. La especialidad de la seguridad de la información que lleva siglos practicándose.
- Exploiting. Descubrimiento, y explotación, de vulnerabilidades en un servidor.
- Hacking Web. Descubrimiento y explotación de vulnerabilidades en una página web.
- Forensics. Búsqueda de información en imágenes de memoria, discos duros, capturas de red, o cualquier otro tipo de evidencia informática.
- Reversing, o Ingeniería Inversa. Inferir conclusiones respecto al funcionamiento de un software, y aprovecharse de ellas.
- Programación. Se trata de desarrollar un programa o script que realice una determinada tarea.
Evidentemente, hay retos que combinan varias técnicas y/o habilidades, y otros que son especiales en si mismos y difíciles de definir en una categoría. La seguridad informática, ofensiva y defensiva, se trata en muchas ocasiones de pensar “out of the box”, y por eso nos gustan las sorpresas 😉
¿Cómo será la competición?
La competición será presencial durante la celebración de Citech, el sábado 28 de abril, y durará casi toda la jornada. Se informará a los equipos de todos los detalles.
Todos los equipos participantes serán obsequiados con un abono para que todos sus componentes puedan asistir a Citech los cuatro días.
Para todos los equipos, y por supuesto para los ganadores, tenemos más sorpresas preparadas.
¿Cómo puedo jugar en Citech CTF?
La inscripción en Citech CTF es totalmente gratuita. Pueden inscribirse equipos de entre 1 y 5 componentes.
En la siguiente página tenéis el formulario de registro:
Simplemente tendrá que rellenarlo el capitán del equipo, incluyendo los datos de todos los componentes. En realidad, sólo se necesitan dos datos de cada componente, un alias o nickname, y una dirección de correo electrónico para ponernos en contacto.
También os pediremos un nombre para el equipo. ¡Echadle imaginación!
¿Qué necesito para jugar?
Cada participante necesita un ordenador, siendo lo más habitual utilizar un portátil. No es obligatorio utilizar un sistema operativo en concreto. Puedes utilizar aquel con el que te encuentres más cómodo, así como las herramientas que prefieras.
La mayoría de los jugadores prefieren utilizar máquinas virtuales, o arrancar desde un Live USB. De esta manera se puede aislar del resto de cosas que tengamos en el portátil, y evitar riesgos innecesarios con las webs en las que realicemos búsquedas o las herramientas que utilicemos.
Algunos incluso utilizan un disco duro formateado e instalado especialmente para la competición, conteniendo las herramientas que más les gusta. La elección es tuya.
En la fase final habrá mesas para todos los equipos clasificados. En cada mesa dispondréis de tomas de corriente, tomas de red para conectar a la plataforma de retos y a internet, y para quien no tenga tarjeta de red por cable, habrá una Wifi específica para el CTF. Todo ello gracias a Fortinet.
¿Algún consejo más para los que empezamos?
Lo primero. Esto es un juego. Habrá retos que te parezcan demasiado fáciles, y otros en los que quizás te atasques. La mente clara y despejada es una ventaja. Si te atascas, prueba con otro reto o descansa un poco.
Salvo que seas un experto, no es competitivo apuntarse solo. Cuando formes tu equipo, es buena idea que cada componente se especialice en un tipo concreto de retos. De esa manera cada uno aportará lo que mejor se le de.
También podéis afrontar retos en colaboración, pues a veces de esa forma surge más fácil la idea feliz que lleva a la solución.
Finalmente, por supuesto, busca en internet. Para eso está. No necesitamos saberlo todo de memoria, y a veces aunque la solución no esté ahí, podemos encontrar cosas que nos den pistas o iluminen nuestra imaginación.