¡CTF, el entrenamiento necesario!

Introducción

Esta nueva entrega va enfocada para las personas que están iniciándose en el área de la Ciberseguridad defensiva. Tengo la suerte de ser amigo de algunos especialistas, y he podido entender, que no hay fórmula mágica, certificación o camino rápido para lograr las habilidades en tecnologías y técnicas que se requieren para ser un mejor profesional de Ciberseguridad. Hay que entrenar y duro!.

Hoy presente en el OWASP LATAM TOUR, mi nueva charla referente a mi experiencia en Hackthebox y como el CTF me ha dado una nueva visión sobre problemas comunes.

Presentación OWASP Latam Tour by @blogdelciso

OWASP Latam Tour 2019, CTF … by on Scribd

¿Qué es un ejercicio de Ciberseguridad? para este caso en particular, son ejercicios donde se vulneran maquinas reales preparadas para ello sobre entornos controlados, con técnicas de hacking ético, en un sentido amplio y quizás en otro capitulo podemos llevarlos al Red-Team y Blue-Team.

¿Para que sirven los ejercicios de ciberseguridad?

Estos ejercicios son un importante mecanismo para mantenernos alerta y preparados ante ciberamenazas, mejorar las técnicas, entender como se gestan ataques reales: https://blogdelciso.com/2019/01/31/que-es-el-cyber-kill-chain/

El objetivo principal de entrenar las técnicas ofensivas, es para mejorar nuestras defensas, y proteger de mejor manera los activos de la organización.

¿Qué es un CTF?  Capture The Flag (en español, Captura la Bandera), una serie de desafíos informáticos enfocados a la seguridad, cada vez más populares en este sector. Con ellos pondremos a prueba nuestros conocimientos, e incluso aprenderemos nuevas técnicas.

Los CTF se suelen dividir, generalmente, en las siguientes categorías:

  • Análisis Forense [Forensics]: Lo más común; imágenes de memoria, de discos duros o capturas de red, las cuales almacenan diferentes tipos de información.
  • Criptografía [Crypto]: Textos cifrados mediante un criptosistema determinado.
  • Esteganografía [Stego]: Imágenes, sonidos o vídeos que ocultan información en su interior.
  • Explotación [Pwn]: Descubrimiento de vulnerabilidades en un servidor.
  • Ingeniería Inversa [Reversing]: Inferir en el funcionamiento del software. Lo más común, binarios de Windows y Linux.
  • Programación [PPC]: También conocidos como PPC (Professional Programming & Coding), desafíos en los que se requiere desarrollar un programa o script que realice una determinada tarea.
  • Web: Descubrimiento de vulnerabilidades en una aplicación Web.
  • Reconocimiento [Recon]: Búsqueda de la bandera en distintos sitios de Internet. Para resolverlo se ofrecen pistas, tal como el nombre de una persona.
  • Trivial [Trivia]: Diferentes preguntas relacionadas con la seguridad informática.
  • Misceláneo [Misc]: Retos aleatorios que pueden pertenecer a distintas categorías sin especificar. (Incibe)

Finalmente si desea participar de un CTF, visite el sitio CTFTime

¡Manos a la Obra!

Esto es película, ¡Sí, es Mr. Robot!

Geektyper.com

Esto es realidad, un día cotidiano de pruebas.

OSX-Pentester

Primero es importante señalar, que no se necesitan grandes máquinas o servidores para realizar ejercicios de Ciberseguridad,  pero sí equipos que permitan la fluidez en las tareas que realizará. Acá van mis recomendaciones:

Si desea virtualizar, piense que debe tener un buen procesador y memoria RAM suficiente, recomiendo siempre usar:

Virtualbox: Oracle VM VirtualBox es un software de virtualización para arquitecturas x86/amd64. Actualmente es desarrollado por Oracle Corporation como parte de su familia de productos de virtualización. Puede bajarlo, seleccione la versión para su sistema operativo host desde: https://www.virtualbox.org/wiki/Downloads

Especificaciones técnicas de Hardware mínimas:

  • Cualquiera equipo Laptop o PC, con un procesador desde i5
  • Un disco duro de 250 Gigas idealmente
  • Memoria ram sobre 4 gigas para OS nativos, sobre 8 gigas para virtualizar.
  • Una tarjeta Wireless que soporte modo monitor

Especificaciones técnicas de Software:

En este punto hay cientos de voces distintas, según lo que he podido ver y considerar que es lo aceptable, para partir, encarecidamente sugiero alguna maquina basada en Linux o BSD, pre-cargada con herramientas que van a servir en sus tareas próximas.

  • Parrot Security OS:Parrot Security OS es una distribución de Linux basada en Debian con un enfoque en la seguridad informática. Está diseñado para pruebas de penetración, evaluación y análisis de vulnerabilidades, análisis forense de computadoras, navegación web anónima, y practicar criptografía. Es desarrollado por el Frozenbox Team
  • OSX for Hackers and Pentesters:
    Es una distribución basada en macOS de HighSierra totalmente personalizado para hackers y pentesters, este es un macOS personalizado único y gratuito para la comunidad de hackers. ¡Este macOS fue hecho para por airwolfx86 de Chile!
    • Pueden bajar la timemachine desde acá: pendiente

Si llegó hasta acá ahora ahora decida como va configurar sus herramientas, crear una maquina virtual o va instalar el sistema para ciberseguridad de forma nativa o va Dockerizar una distribución basada en Linux.

Ya tiene los materiales necesarios para partir, es necesario si sus conocimientos sobre ethical hacking, no están tan actualizados, los nivele antes de comenzar con las técnicas.

Conocimiento minimo necesario:

Recomiendo tomar algunas lecciones sobre:

Luego de esos pasos, podría considerar en invertir un poco en UD, unos pocos dólares, mejoraran sus conocimiento teórico sobre lo que deberá poner en practica:

Planteare dos escenarios posibles para realizar estos ejercicios de manera OFF-LINE a través de sistemas preparado para ello como son:

Plataformas OFF-Line para ejercicios de Ciberseguridad

  • Metasploitable: Es un entorno de prueba, proporciona un lugar seguro para realizar pruebas de penetración e investigación de seguridad. 
  • Web Security Dojo: El Web Security Dojo es para aprender y practicar técnicas de prueba de seguridad de aplicaciones web. Es ideal para la autoaprendizaje y la evaluación de habilidades, así como para clases de capacitación y conferencias, ya que no necesita una conexión de red. El Dojo contiene todo lo necesario para comenzar: herramientas, objetivos y documentación.
  • DVWA Damn Vulnerable Web Application: Es una aplicación web PHP / MySQL que es muy vulnerable. Sus objetivos principales son ser una ayuda para que los profesionales de la seguridad, para que prueben sus habilidades y herramientas en un entorno legal, ayuden a los desarrolladores web a comprender mejor los procesos de protección de las aplicaciones web y ayuden a los maestros / alumnos a enseñar / aprender la seguridad de las aplicaciones web en un entorno de clase. .
  • OWASP Mutillidae II: Es una aplicación web gratuita, de código abierto y deliberadamente vulnerable que proporciona un objetivo para los entusiastas de la seguridad web. Mutillidae se puede instalar en Linux y Windows usando LAMP, WAMP y XAMMP. Está preinstalado en SamuraiWTF y OWASP BWA. 
  • VulnHub: Es otra plataforma para encontrar maquinas con las cuales practicar, tiene cientos de maquinas listas para ese fin.
  • Pentester Labs: Proporciona sistemas vulnerables que se pueden usar para probar y comprender vulnerabilidades. Si quieres acelerar tu curva de aprendizaje

Plataformas ON-Line para ejercicios de Ciberseguridad

También plataformas para realizar desafios de forma ON-LINE, algunas de ellas son:

  • Hack The Box: es una plataforma en línea que le permite probar sus habilidades de prueba de penetración e intercambiar ideas y metodologías con miles de personas en el campo de la seguridad. Haga clic a continuación para atacar nuestro desafío de invitaciones, luego comience con una de nuestras muchas máquinas o desafíos en vivo.
  • AttackDefense:Es una  plataforma en linea que permite el acceso gratuito a su laboratorio de ciberseguridad. Y para esto simplemente tenemos que contar con una cuenta de correo electrónico gmail.
attackdefense.com/


Continuará…

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: