Resoldre un CTF (Capture The Flag): una gamificació per aprendre pentesting i hacking ètic

Abstract

La gamificació és l’ús d’elements de joc en contextos que no estan relacionats amb el joc (Deterding et al., 2011). En aquest projecte s’ha creat un CTF (Capture The Flag) complet amb una història i un conjunt de reptes. El relat dona pistes i crea un fil conductor. El conjunt s’ha dissenyat perquè tot encaixi i la sensació dels jugadors esdevingui tan immersiva com sigui possible: s’han de posar a la pell de qui protagonitza la història i omplir els buits per anar fent-la avançar. Les seves accions la completen. L’objectiu final és aprendre de forma divertida. El disseny dels reptes s’ha dut a terme amb la intenció d’oferir el nombre més gran possible de tipologies de ciberseguretat actuals (stego, binary exploitation, pwn, reversing, forensics, crypto, web) per tal d’aportar escenaris diferents i desenvolupar noves capacitats en la mentalitat hacker dels jugadors. Les pistes, els jocs de paraules i els enigmes s’han dosificat de forma suficient per no ser ni massa reveladors ni excessivament críptics. L’abast d’aquest projecte és obtenir un producte formatiu de qualitat. Per cada repte s’ha afegit un writeup (una proposta de resolució pas a pas), que proposa tècniques i eines per resoldre’l. Addicionalment, en els annexos, s’explica amb detall com crear des de zero el laboratori de proves amb les màquines virtuals (objectiu i atacant). Així, tothom que ho desitgi en pot fer ús reduint aquestes possibles barreres d’entrada. Això és CTF4Edu. Us atreviu a resoldre tots els seus reptes?

Gamification is the use of game elements (e.g. points) in non-gaming contexts (Deterding et al., 2011). In this project, a complete CTF (Capture The Flag) has been created with a story and a set of challenges. The story gives clues and creates a conductive thread. The set has been designed so that everything fits together and the feeling of the players becomes as immersive as possible: they have to put themselves in the shoes of the protagonist of the story and fill in the gaps to move it forward. Their actions complete it. The ultimate goal is to learn in a fun way. The design of the challenges has been carried out with the intention of offering the largest possible number of current cyber security typologies (stego, binary exploitation, pwn, reversing, forensics, crypto, web) in order to provide different scenarios and develop new capabilities in the hacker mentality of players. The clues, puns and riddles have been dosed enough to be neither too revealing nor overly cryptic. The scope of this project is to obtain a quality training product. For each challenge, a writeup (a step-by-step resolution proposal) has been added, which proposes techniques and tools to solve it. Additionally, in the appendices, it is explained in detail how to create from scratch the test lab with the virtual machines (target and attacker). Thus, everyone who wants to can use it, reducing these possible entry barriers. This is CTF4Edu. Do you dare to solve all its challenges?

La gamificación es el uso de elementos de juego en contextos que no están relacionados con el juego (Deterding et al., 2011). En este proyecto se ha creado un CTF (Capture The Flag) completo con una historia y un conjunto de desafíos. El relato proporciona pistas y crea un hilo conductor. El conjunto se ha diseñado para que todo encaje y la sensación de los jugadores sea tan inmersiva como sea posible: deben ponerse en la piel del protagonista de la historia y llenar los vacíos para avanzar en ella. Sus acciones la completan. El objetivo final es aprender de forma divertida. El diseño de los desafíos se ha llevado a cabo con la intención de ofrecer el mayor número posible de tipologías de ciberseguridad actuales (stego, binary exploitation, pwn, reversing, forensics, crypto, web) para aportar escenarios diferentes y desarrollar nuevas habilidades en la mentalidad hacker de los jugadores. Las pistas, los juegos de palabras y los enigmas se han dosificado lo suficiente para no ser ni demasiado reveladores ni excesivamente crípticos. El alcance de este proyecto es obtener un producto formativo de calidad. Para cada desafío se ha añadido un writeup (una propuesta de resolución paso a paso) que sugiere técnicas y herramientas para resolverlo. Además, en los anexos, se explica en detalle cómo crear desde cero el laboratorio de pruebas con las máquinas virtuales (objetivo y atacante). Así, cualquiera que lo desee puede hacer uso de ello, reduciendo estas posibles barreras de entrada. Esto es CTF4Edu. ¿Se atreven a resolver todos sus desafíos?