Image default
Hackers & Cultura

Capture the flag e o Olho de Sauron

Por: Deadlock Team

Todos os dias, pessoas de todas as idades perguntam-se o que fazer para ingressar no mundo da segurança da informação, de adolescentes à adultos, de programadores experientes à iniciantes, e pessoas que sequer são do ramo da tecnologia.

Sonham em atuar com auditoria em segurança da informação, análise e outras diversas áreas inclusas no Red Team(Segurança ofensiva) e no Blue Team(Segurança defensiva). E, uma dúvida que grande maioria partilha é: “Como ele encontrou isso?”, ou até mesmo “O que será que se passa na cabeça de um hacker?”, e esta resposta está presente em um dos maiores clássicos do cinema mundial.

Na trilogia The Lord of the Rings [2001-2003], um monumento conhecido como Barad-dûr ou Lugbúrz na língua de Mordor (que não ousarei pronunciar), qual possui em seu topo uma estrutura conhecida como Sauron eye, e este consegue ter uma ampla visão da Terra Média, uma visão que homens, orcs e elfos não conseguem vislumbrar. Porém, na contramão dos contos de Tolkien, no mundo da Cyber Segurança existem diversas maneiras de se ampliar a visão da Terra Média, ou se preferir, de ver o mundo aos olhos de um hacker.

# A Sociedade da Flag

CTF significa Capture the Flag (pegue a bandeira). No âmbito da informática, são competições que envolvem diversas competências dos profissionais, estudantes e entusiastas para a resolução de desafios relacionados à segurança da informação, com o objetivo de capturar a bandeira (normalmente um código) e pontuar. Mas, como isso poderia conceder à um mero mortal a visão de Sauron? Bem, a princípio, vejamos os “tipos de anéis” mais comuns nos dias de hoje.

Competições de Capture the flag podem variar conforme a imaginação de quem organiza, porém, existem padrões que podem ser encontrados com mais facilidade, dada a quantidade de campeonatos previamente realizados no mesmo formato.

Jeopardy-style: É a mais comum. Esta consiste em uma divisão de diversos desafios, quais são separados por categorias, nível de dificuldade e diferentes pontuações, podendo ter ou não uma descrição de auxílio à resolução. Neste estilo, as categorias mais comuns são Reversing (Engenharia Reversa), Crypto (Criptografia), Forensics(Análise Forense), Web Hacking (Ataque à páginas web), NET/Networking (Análise e exploração de redes), PPC (Professional programming and Coding) e Pwnable/Exploitation (Exploração de binários).

Attack-Defense: Que de maneira genérica funciona da seguinte maneira: Cada equipe participante recebe uma VM (Máquina Virtual) com diversos serviços em execução (Alguns deles vulneráveis), e o objetivo principal é capturar as bandeiras que se encontram nas máquinas das equipes adversárias, e ao mesmo tempo proteger a sua máquina para que não entrem e capturem sua Flag.

Também existem desafios ao estilo Pentesting (Teste de penetração/intrusão), onde plataformas disponibilizam máquinas para que você faça uma análise completa, encontre o fator vulnerável, explore ele em dois níveis: Usuário de acesso comum e usuário Root (usuário com permissão administrativa), e assim, pontue com duas flags.

As resoluções de desafios são chamadas de Write ups. Estas servem para mostrar como um desafio específico foi resolvido, e pode servir tanto para quem quiser descobrir um meio alternativo de resolver o desafio, quanto para quem não conseguiu resolver, mas deseja aprender como o fazer.

Todo jogador pode escrever o seu write up, com método de análise e resolução próprio, e alguns exemplos de como o processo é feito podem ser encontrados neste link.

Também é possível jogar desafios que ocorreram em competições antigas, mas que estão sendo mantidas no ar por plataformas. Um exemplo disso é a plataforma Brasileira shellterlabs, que hospeda centenas de desafios que ocorreram em competições mundo afora de diversas categorias para prática e aprendizado.

# The Road to Middle-Earth

Tendo esta breve introdução ao mundo dos CTF’s, onde fica a ampla visão? Está bem sob seus olhos. Hackers de todos os cantos do mundo, incluindo o Brasil, colocam suas habilidades à teste em desafios de CTF. Mas, não um desafio por mês, e sim de desafios constantes.

As tecnologias estão em evolução ininterrupta, e profissionais de segurança da informação não podem se dar ao lazer de ficar para trás, e é aí que as flags começam a surtir efeito.

Imagine a seguinte situação: Todos os dias ao ir trabalhar ou estudar, você encontra uma moeda dourada escondida aos pés de uma árvore com uma listra branca no tronco. Agora imagine esta situação se repetindo não uma ou duas, mas 50 vezes. Certo dia, você muda de estado e vai para outra região, uma região que você nunca viu. Ao sair pela primeira vez de casa, você avista uma árvore exatamente como a que via nos caminhos passados, o que você imaginaria?

A resposta para esta pergunta é o esboço visual do que um Profissional de Segurança da Informação (Ou hacker, se preferir) vê ao se deparar com um ambiente com potencial vulnerabilidade. Após executar o mesmo ataque mais de uma vez, os olhos de um profissional da Segurança da Informação tendem à lembrar caso ocorra novamente.

# My Precious

Contudo, não se trata apenas de decorar após árduas repetições, mas de abrir seus olhos para procurarem por conta própria.

Capture the Flag é uma ótima prática para pensar fora da caixa, pois, com certa prática em desafios, o jogador pode encontrar uma situação que nunca dantes enfrentou, mas que conseguirá desenvolver seu pensamento de tal forma que irá desmembrar o problema em subproblemas e ocasionalmente encontrará a solução. E isso acontece com muita frequência, haja vista a dificuldade que existe em campeonatos como o Defcon CTF, onde até profissionais da área da segurança que também jogam CTF possuem dificuldade para encontrar uma solução.

Desafios Jeoparty-style, por exemplo, podem ter situações não tão próximas ao que se encontra em ambientes reais, como uma simples página em branco com uma vulnerabilidade comum ou um código com funções não tão complexas. E neste momento muitos se perguntam “Como isso vai me ajudar à evoluir?”.

Desafios de Capture the Flag não são e nem precisam ser ambientes ultra realísticos. Apesar de existirem muitos ambientes que seguem a linha Real Life, como a plataforma HackTheBox que traz muitas situações encontradas em auditorias reais, o foco muitas vezes pode ser aprimorar sua Visão de Sauron; Desafios que, apesar de não simularem um ambiente real, simulam uma vulnerabilidade que, a princípio pode parecer fútil, mas que com o passar do tempo, mostra seu valor de aplicação.

Sendo assim,jovem Frodo, pegue seu anel, sua capa e sua coragem! A Sociedade da Flag o aguarda para rirmos e chorarmos juntos nesta longa caminhada até o ponto mais alto da Terra Média, onde seus olhos irão tocar o horizonte, e você nunca mais verá uma aplicação com os mesmos olhos.


Referências:

Fonte da imagem destaque do post:

https://thehackernews.com/2013/06/want-to-be-part-of-history-just-be-part.html

Posts similares

Sendo um Hacker nos anos 80 (conforme visto na TV e na vida real)

O Analista

Desenvolvimento de competências através de CTF’s

O Analista

Rádio Amadores e Hackers: uma combinação “perfeita”

O Analista