C1b3rWall Academy 2020 - Aprendiendo Hacking con CTF
¿Sabes tanta informática forense como un alumno de secundaria?
En posts anteriores hablamos de la apasionante charla práctica de Eduardo Sánchez sobre OSINT.
El mismo ponente nos invita al desafiante munto de los CTF (Capture The Flag = captura la bandera). Juegos y retos de hacking, criptografía, informática forense... donde los participantes se enfrentan entre ellos y a sí mismos; para superar las dificultades y triunfar.
He realizado muchos MOOC`s, pero recuerdo con especial cariño el Curso de Hacking Ético de la Universidad de Mondragón.
Ya comenté en su día cómo los "supervivientes" nos agrupamos en equipos de ocho personas, se nos asignó un servidor Debian real y tuvimos una semana para securizarlo a tope. Y otra semana para intentar capturar las banderas de los demás equipos.
Fue una lucha sin cuartel a base de asaltos a FTP´s, inyección, troyanos y backdoors, defacement... y todo lo que nuestras mentes calenturientas pudieron maquinar.
Éste motor se utilizó, por ejemplo, para implementar un reto CTF en la Tomatina.
Para una organización de un evento potente las citadas herramientas son muy socorridas.
Para retos ya prediseñados, Eduardo recomienda:
¿Pero que sucede si queremos disponer de unos retos asequibles a alumnos de ESO o FP? ¿Qué sucede si nuestros equipos están congelados y no podemos instalar programas, o el firewall impide determinadas acciones, o directamente las herrramientas comentadas superan nuestros conocimientos y limitación temporal?
En los últimos años he desarrollado wargames criptográficos, búsqueda de documentos en Ftp´s públicos, retos de hacking con inyección SQL en servidores reales o pruebas de informática forense; sin necesidad de instalar Autopsy o similares.
¿Soy un genio? En absoluto. Lo único que he hecho es utilizar materiales de cursos que he realizado o trabajos de los "grandes" como Flu-Project del amigo Pablo González.
Actualmente no mantengo activo el reto criptográfico, que requiere varias páginas webs con contraseñas, unidas entre sí mediante una narrativa de corte policiaco (ya comentaré el asequible método de programación web en próximos artículos). Es necesario tener un hosting y éste se desactiva si no tiene entradas frecuentes.
El reto Jedi, cuya imagen encabeza el artículo, le propuse en clase y tuvo mucha aceptación. Culminaba con una inyección SQL a un servidor de practicas de la Universidad de Mondragón en el que estaba instalado DVWA (Damm Vulnerable Web Application). Allí se obtenía la contraseña que abría los planos de la Estrella de la Muerte.
Lo que si tengo activo a fecha de publicación son los retos forenses. Uno basado en el excelente material de Flu-Project y otro de un MOOC de Informática forense y Ciberderecho de la Universidad de Extremadura.
Lo único que tuve que hacer fue sacar los ficheros del disco duro virtual y colgarlos en una carpeta compartida de GDrive; con alguna pequeña aportación personal para marear aún más la perdiz ;D
Se puede buscar por las distintas carpetas sin necesidad de software forense; aunque algunos formatos pueden dar problemas de apertura en Android y conviene guiar el reto con un dispositivo de apoyo.
Es un recurso muy agradecido en las pequeñas actividades que organizo en la Semana de la Ciencia o en jornadas de Puertas Abiertas de mi centro.
Por supuesto éste y otros materiales de la página están a vuestra disposición.
Y si os apasiona el mundo de la Informática Forense no podéis perderos este Webinar, dónde se enumeran los elementos imprescindibles del maletín del perito, se resalta la importancia de la cadena de custodia y se dan consejos para realizar las pericias de forma impecable.
Comentarios
Publicar un comentario