Un concurso de captura de la bandera (CTF) es un tipo especial de competencia de ciberseguridad diseñada para desafiar a sus participantes a resolver problemas de seguridad informática y/o capturar y defender sistemas informáticos. Por lo general, estas competiciones se basan en equipos y atraen a una amplia gama de participantes, incluidos estudiantes, entusiastas y profesionales. Una competencia de CTF puede tomar unas pocas horas, un día entero o incluso varios días.
Las competiciones de la CTF han pasado de sus humildes raíces a alcanzar el nivel deportivo, con miles de juegos y ligas individuales que se celebran cada año en todo el mundo, incluida la competencia anual DEF CON, uno de los eventos de la CTF más prestigiosos del mundo.
Cómo funciona una competencia CTF
Hay varias variaciones en el formato capturar la bandera. Los estilos más populares son jeopardy, ataque-defensa y una mezcla de los dos.
En un formato CTF de jeopardy, los equipos deben superar tantos desafíos de ciberseguridad como puedan de una selección determinada, poniendo a prueba sus habilidades y conocimientos en una amplia gama de categorías de seguridad informática de formas novedosas y creativas. Las tareas típicas están relacionadas con redes, programación, aplicaciones, dispositivos móviles, análisis forense, ingeniería inversa y criptografía. Por cada desafío que un equipo complete, se recompensa un número específico de puntos.
En una competición CTF de defensa-ataque, los equipos deben capturar y defender sistemas informáticos vulnerables, normalmente alojados en máquinas virtuales en una red aislada. Para ganar puntos, un equipo puede mantener la propiedad de tantos sistemas como sea posible mientras niega el acceso a los otros equipos competidores.
Finalmente, un CTF mixto es posiblemente el más desafiante para los participantes. Combinando estilos de peligro y defensa de ataque, los equipos exitosos deben dividir estratégicamente sus esfuerzos y jugar con las fortalezas de cada uno de sus miembros completando desafíos de seguridad mientras hackean simultáneamente los sistemas vulnerables de los objetivos, mantienen el acceso a estas máquinas y las defienden de sus competidores.
El ganador suele ser el equipo o individuo con más puntos al final del juego. Al igual que muchos eventos deportivos, los premios se otorgan comúnmente para el primer, segundo y tercer lugar. En interés de la integridad del concurso y el respeto por la plataforma del juego, las reglas básicas de la CTF se comparten con los participantes antes del evento. La violación de estas reglas puede resultar en restricciones o incluso en la eliminación de la competencia.
Detrás de escena en un evento de CTF
Se acerca a las 9 a.m. del noviembre. 24 en el Gran Salón de Baile del Hotel Ballsbridge en Dublín. Si bien la esperada competición no comienza oficialmente hasta dentro de una hora, varios equipos de ansiosos competidores abrazaron la fría mañana de invierno irlandesa y llegaron con mucha anticipación al lugar, con computadoras portátiles de confianza y conmutadores de red usados en la mano, listos para jugar.
El decadente salón de baile, con sus lámparas de araña y ricos muebles a menudo reservados para bodas y otras ocasiones formales, es el anfitrión de la competencia capture the flag de IRISSCON 2016. La competencia es un elemento básico de la conferencia anual de ciberseguridad, que es uno de los eventos más grandes de su tipo en Irlanda. La CTF atrae a competidores de todo el país. Algunos participantes son caras regulares en el circuito, mientras que otros están jugando por primera vez.
Un entorno en vivo
William Bailey, arquitecto de seguridad operativa de IBM en Irlanda, es uno de los organizadores de este evento CTF.
«Nuestro objetivo es demostrar y enseñar a los participantes técnicas prácticas de ataque y defensa en un entorno en vivo, donde el descubrimiento y la explotación de vulnerabilidades, así como la seguridad de los sistemas y la finalización de desafíos individuales, son recompensados», explicó.
Bailey y su colega Jason Flood son organizadores veteranos de la CTF, habiendo dirigido la competencia major IRISSCON durante los últimos años. Hoy en día, Flood y Bailey cuentan con el apoyo de un gran equipo de voluntarios dedicados de la división de ciberseguridad de IBM Ireland Lab. Todo el mundo ha estado trabajando duro en el hotel de Dublín desde las 5 a.m., preparando el lugar de celebración de la competición, cargando grandes equipos de servidores, pasando cables de red de computadoras por la sala e implementando su plataforma CTF personalizada desde la consola principal.
A pesar del comienzo temprano, la emoción y la energía en la habitación son palpables. El zumbido se reanuda en armonía con el flujo constante de diversos jugadores que llegan al lugar, alineándose con los esfuerzos de preparación finales del equipo organizador. Un total de 17 equipos, cada uno compuesto por cuatro jugadores, se registraron previamente para el evento. Tanto los jugadores nuevos como los experimentados estarán expuestos a nuevas herramientas, tecnologías y métodos de ataque y defensa.
«Diseñamos la plataforma para que todos los jugadores puedan usar de manera efectiva herramientas de ataque de la vida real, e incluso los jugadores experimentados puedan encontrar nuevas técnicas para explotar estos sistemas, todo dentro de un entorno aislado», dijo Bailey. «Estamos abarcando técnicas de ataque y defensa en un entorno seguro y gamificado, puntuando a los jugadores en su capacidad para completar desafíos, descubrir y explotar fallas de seguridad, así como para cerrar las brechas de seguridad que encuentran en sistemas vulnerables.»
Un Silencio inquietante
A las 10 a. m. Con los competidores listos y esperando en las mesas redondas de su equipo asignado, las luces se atenúan drásticamente para establecer la escena dramática. Después de una breve sesión informativa y un resumen de las reglas de la casa de Flood, comienza oficialmente la competencia IRISSCON CTF.
Un silencio inquietante desciende sobre el gran salón de baile del hotel mientras el CTF se pone en marcha, interrumpido solo por la charla ocasional del equipo y el zumbido constante y rítmico de la banda sonora de música electrónica del evento. Mirando a su alrededor, un trance se ha apoderado de los jugadores, que están profundamente inmersos en el juego. El ambiente, aunque inicialmente de naturaleza jovial, adquiere rápidamente un carácter mucho más serio.
Un marcador gigante se proyecta en la pared, un punto de fijación central que detalla el éxito de cada conquista y victoria a lo largo del día y muestra a los 10 mejores equipos de acuerdo con sus puntos acumulados. Los ojos de los jugadores de vez en cuando miran nerviosamente hacia arriba, evaluando cómo les va a sus esfuerzos contra otros en la tabla de clasificación.
Juego a juego
Además de los desafíos independientes, los equipos reciben puntos explotando y manteniendo el control de sistemas informáticos vulnerables desde un bote de 25 máquinas virtuales, que ejecutan una mezcla de sistemas operativos Windows y Linux, en la red CTF aislada. Por cada sistema que un equipo capture y posea con éxito, al tiempo que impide el acceso de otros equipos, recibirá un punto por minuto de propiedad. Cada sistema informático vulnerable se asigna visualmente a un país específico en el globo giratorio 3D del marcador CTF. Un país se ilumina en la pantalla cuando un equipo reclama la máquina correspondiente.
Un equipo, en un golpe de genio técnico y estrategia de defensa despiadada, cortó el acceso a sus máquinas desactivando Secure Shell (SSH). Esto hizo difícil para su competencia capturar y disputar la propiedad de estos sistemas informáticos, incluso si lograron descubrir los exploits que de otro modo habrían proporcionado una puerta trasera para acceder.
Durante la hora del almuerzo, la plataforma CTF se apaga temporalmente para acomodar un descanso para comer bien merecido para todos. Aún así, muchos equipos permanecen plantados en sus estaciones, discutiendo cautelosamente sus estrategias en meros susurros. Al igual que los jugadores de fútbol en un vestuario durante el medio tiempo, estos competidores de la CTF están profundamente absortos en su deporte, examinando la posición de sus equipos y planeando adaptarse en consecuencia.
Un patrocinador de la compañía amablemente proporciona una mesa de bocadillos y refrescos en la esquina del salón de baile, un refuerzo de energía muy necesario para mantener la concentración y el enfoque de los jugadores en niveles óptimos durante todo el día. Más tarde, durante una pausa para el café, un número de curiosos asistentes a la conferencia no involucrados en el CTF entran a la sala de competencia. Un caballero modesto entre la multitud solicita en silencio que se le notifique de los equipos ganadores para que «sepa a quién contratar».»
Tirando del enchufe
Finalmente, después de casi seis horas de intensa competencia, el enchufe se tira de la plataforma. Hay una exhalación masiva y colectiva, como si todos dentro del salón de baile hubieran estado conteniendo la respiración todo el día. El CTF ha terminado y el marcador cuenta la espectacular historia de un ganador destacado.
El equipo del primer lugar, que superó el primer puesto después de un feroz tramo final del juego, está más allá del éxtasis, por no mencionar solo un poco agotado mentalmente. Estos cuatro jugadores reciben un generoso aplauso de sus compañeros y vales de regalo considerables como recompensa por su rendimiento ganador.
Para muchos competidores, los grandes premios son una bendición bienvenida, pero material. Podría decirse que el verdadero premio es la invaluable experiencia, el desarrollo profesional, el conocimiento y los contactos de la industria que los competidores de CTF pueden ganar, independientemente de si su equipo ocupa el primer o el último lugar. Para los ganadores, la gloria y el reconocimiento de pares recibidos es un bono adicional.
Beneficios en el mundo real
¿Busca comenzar una carrera en ciberseguridad o elevar el perfil de su industria? Una competencia de CTF es un gran lugar para comenzar. Estos eventos a menudo son observados de cerca y a los que asisten reclutadores y directivos con la esperanza de detectar talentos en ciernes y buscar a profesionales existentes.
Buscando trabajo o no, un CTF es una de las mejores maneras de desafiar su experiencia dentro de un entorno seguro, indulgente y colaborativo, ya sea que sea estudiante, entusiasta o gurú de la seguridad. Además de los claros beneficios de desarrollo técnico, los CTF también ofrecen a los participantes una gran oportunidad de trabajar en sus habilidades interpersonales, como la comunicación, el trabajo en equipo, la gestión del tiempo, la resolución de problemas y la adaptabilidad.
A pesar del entorno competitivo, la ocasión también tiene un fuerte elemento social. Ofrece a los jugadores la oportunidad de reunirse en la vida real para establecer contactos, compartir conocimientos y crear vínculos sobre objetivos, experiencias e intereses comunes. Pero si eres el tipo de persona a la que le gusta ir por el oro, muchos CTF, a través del patrocinio y la financiación, ofrecen premios generosos.
Finalmente, los CTF son beneficiosos para los investigadores y académicos de seguridad que pueden usar los datos de ataque y el tráfico de red generado durante las competiciones como estudios de caso para ayudar a modelar, predecir y prevenir incidentes de seguridad del mundo real.
Cómo participar
Las competiciones CTF se llevan a cabo en una variedad de formas, tamaños y formatos en todo el mundo cada año. La popularidad de estos eventos está aumentando a medida que el interés en la ciberseguridad y el hacking ético entra rápidamente en la corriente principal.
Normalmente, los eventos CTF funcionan con un dispositivo propio (BYOD), lo que significa que los jugadores que deseen jugar tendrán que traer su propia computadora portátil para participar. Sin embargo, es posible ejecutar un CTF con la configuración adecuada y el permiso para utilizar la infraestructura existente, como una escuela secundaria, universidad, oficina o incluso un laboratorio de computación público.
Si está interesado en participar en una competencia de CTF, realice una búsqueda rápida en línea o chatee con un profesional de seguridad de TI local o un profesor de informática para encontrar un evento cerca de usted. Hay mucha información y plataformas en línea para ayudar a los posibles participantes a prepararse, entrenar e incluso encontrar un equipo para un próximo evento de la CTF. La Guía de campo de CTF es un recurso brillante para comenzar.
Los primerizos no deben prepararse en exceso ni preocuparse demasiado. Los juegos CTF son eventos inclusivos con ambientes abiertos y acogedores. Si no tienes un equipo con el que jugar, se te asignará uno antes de la competición o el día de la misma.
Cómo organizar un evento CTF
Para aquellos que organicen un CTF, asegúrese de comunicar claramente a la competencia las reglas y límites adecuados antes del evento. Por ejemplo, a los participantes generalmente se les prohíbe atacar la red del lugar anfitrión, realizar ataques de denegación de servicio o violar los dispositivos de otros competidores.
Los jefes de seguridad de la información (CISO) deberían considerar la posibilidad de alentar de manera proactiva al personal a asistir a concursos de la CTF como parte de su desarrollo profesional. Esto les permitiría perfeccionar sus habilidades de equipo rojo, unirse como equipo y mantener su ventaja en la industria.
Mejor aún, considere invertir en su propia competencia de estilo CTF dentro de su organización. Invite a su base de empleados, estudiantes locales y entusiastas de la seguridad a participar. Estas iniciativas constituyen una base eficaz para una estrategia más amplia de educación y sensibilización en materia de ciberseguridad. Las competiciones de CTF pueden ayudar a su equipo de seguridad a mantenerse en su mejor juego, promover su empresa y proporcionar canales confiables y medibles para atraer nuevos talentos.
Lea el Informe X-Force: El papel de los Ejercicios CTF en la Planificación de Respuesta a Incidentes de Seguridad