Pentesting & Hacking Ético mediante resolución de un Capture The Flag (CTF)

Abstract

En este trabajo se expone el proceso de análisis de diferentes sistemas informáticos que investiga los diferentes problemas de seguridad de un sistema. Para esto se han preparado cuatro sistemas virtuales con el propósito de obtener la información oculta que guardan. Esto se hará buscando y aprovechando las brechas de seguridad que contienen. Se expondrán herramientas y métodos de análisis de sistemas e identificación y explotación de vulnerabilidades. También se propondrán medidas para mitigar las debilidades encontradas en los sistemas de forma que un atacante no pueda hacer uso de ellas. La idea del proyecto surge como respuesta al aumento de ciberataques en organizaciones gubernamentales y empresas durante los últimos años. Una de las medidas más importantes para prevenir este tipo de amenazas es analizar los sistemas informáticos para detectar y solventar los problemas de seguridad antes de que los encuentre un actor malicioso. Debido a esta necesidad, es necesario estudiar y comprender el procesos de detección de vulnerabilidades en los sistemas, dado que en muchas ocasiones las herramientas automáticas no son suficiente para encontrarlas. Es por esto que se deben conocer en profundidad para que se pueda hacer un análisis y explotación manual cuando sea necesario.

This paper presents the process of analysis of different computer systems with the aim of finding the security problems in them. For this reason, four virtual systems have been prepared with the purpose of obtaining the hidden information they hold. This will be done by searching for the security flaws they contain and exploiting them. Tools and methods for system analysis and vulnerability identification and exploitation will be presented. Also, measures to mitigate the weaknesses found in the systems will be proposed so that an attacker cannot make use of them. The idea for the project arose in response to the increase in cyber-attacks to government organizations and companies in recent years. One of the most important measures to prevent this type of threat is to analyze computer systems to detect and solve security problems before they are found by a malicious actor. Due to this need, it is necessary to study and understand the process of detecting vulnerabilities in systems, since in many occasions automatic tools are not enough to find them. This is why they must be known in depth so that a manual security analysis and vulnerability exploitation can be done when necessary.

En aquest treball s'exposa el procés d'anàlisi de diferents sistemes informàtics que investiga els diferents problemes de seguretat d'un sistema. Per a això s'han preparat quatre sistemes virtuals amb el propòsit d'obtenir la informació oculta que guarden. Això es farà buscant i aprofitant les bretxes de seguretat que contenen. S'exposaran eines i mètodes d'anàlisis de sistemes i identificació i explotació de vulnerabilitats. També es proposaran mesures per a mitigar les febleses trobades en els sistemes de manera que un atacant no pugui fer ús d'elles. La idea del projecte sorgeix com a resposta a l'augment de ciberatacs en organitzacions governamentals i empreses durant els últims anys. Una de les mesures més importants per a prevenir aquest tipus d'amenaces és analitzar els sistemes informàtics per a detectar i solucionar els problemes de seguretat abans que els trobi un actor maliciós. A causa d'aquesta necessitat, és necessari estudiar i comprendre els processos de detecció de vulnerabilitats en els sistemes, atès que en moltes ocasions les eines automàtiques no són suficient per a trobar-les. És per això que s'han de conèixer en profunditat perquè es pugui fer una anàlisi i explotació manual quan sigui necessari.