Desenvolupament d'una màquina per a Capture the Flag (CTF)

Abstract

Qui no n'ha sentit a parlar mai de les filtracions de dades de grans companyies com Facebook o la cadena d'hotels Marriot (1). Qualsevol filtració de dades o atac que hagi rebut una persona o companyia són deguts a les vulnerabilitats que existeixen tant en software com en hardware, tot i que sovint són deguts a configuracions per defecte o males configuracions (2). El món de la ciberseguretat està en creixement juntament amb una gran demanda de professional del sector. (3) Sovint, a causa de la complexitat d'aquest món que envolta la ciberseguretat pot generar dubtes de per on començar. L'objectiu d'aquest treball de fi de grau és desenvolupar una màquina per a Capture the Flag (CTF), semblant a les màquines com Metasploitable (4), on gent que no tingui coneixements pugui començar a trastejar i aprendre amb algunes de les vulnerabilitats més conegudes de manera segura en un entorn de pràctica. A més a més, s'inclouran recomanacions de com solucionar aquestes vulnerabilitats o bé almenys com podem minimitzar-les.

Who has never heard of data breaches by large companies such as Facebook or the Marriot hotel chain (1)? Any data breaches or attacks that a person or company has received are due to vulnerabilities existing in both software and hardware. Although they are often due to default or poor configurations (2). The world of cybersecurity is growing along with a demand for industry professionals. (3) In addition, the world of cyber security is complex and, normally, one may have doubts about where to start. This work aims to develop a machine for Capture the Flag (CTF), like Virtual Machines such as Metasploitable (4), where people who do not know much about cybersecurity can begin to learn by playing with some of the most safely known vulnerabilities in a practice environment. Moreover, there will be some recommendations about how to resolve or minimize the impact of these vulnerabilities.

Quien no ha sentido a hablar nunca de las filtraciones de datos de grandes compañías como Facebook o la cadena de hoteles Marriot (1). Cualquier filtración de datos o ataque que haya recibido una persona o compañía son debidos a las vulnerabilidades que existen tanto en software como en hardware, a pesar de que a menudo son debidos a configuraciones por defecto o malas configuraciones (2). El mundo de la ciberseguridad está en crecimiento junto con una gran demanda de profesional del sector. (3) A menudo, a causa de la complejidad de este mundo que rodea la ciberseguridad puede generar dudas de por donde empezar. El objetivo de este trabajo de fin de grado es desarrollar una máquina para Capture the Flag (CTF), pareciendo a las máquinas como Metasploitable (4), donde gente que no tenga conocimientos pueda empezar a trastear y aprender con algunas de las vulnerabilidades más conocidas de manera segura en uno en torno a práctica. Además, se incluirán recomendaciones de como solucionar estas vulnerabilidades o bien al menos como podemos minimizarlas.