Capturar la bandera (ciberseguridad)

Ejercicio de seguridad informática

Un equipo que compite en la competencia CTF en DEF CON 17

Capture the Flag ( CTF ) en seguridad informática es un ejercicio en el que los participantes intentan encontrar cadenas de texto, llamadas "banderas", que están ocultas en secreto en programas o sitios web vulnerables a propósito . Se pueden utilizar tanto con fines competitivos como educativos. En dos variaciones principales de CTF, los participantes roban banderas de otros participantes (CTF de estilo ataque/defensa) o de los organizadores (desafíos de estilo Jeopardy). Una competencia mixta combina estos dos estilos. ^[1] Las competencias pueden incluir esconder banderas en dispositivos de hardware, pueden ser tanto en línea como en persona, y pueden ser avanzadas o de nivel básico. El juego está inspirado en el deporte tradicional al aire libre del mismo nombre . Los CTF se utilizan como una herramienta para desarrollar y refinar las habilidades de ciberseguridad, lo que los hace populares tanto en entornos profesionales como académicos.

Descripción general

Capture the Flag (CTF) es una competencia de ciberseguridad que se utiliza para probar y desarrollar habilidades de seguridad informática. Se desarrolló por primera vez en 1996 en DEF CON , la conferencia de ciberseguridad más grande de los Estados Unidos que se realiza anualmente en Las Vegas , Nevada. ^[2] La conferencia organiza un fin de semana de competencias de ciberseguridad, incluida su competencia insignia CTF.

Dos formatos populares de CTF son Jeopardy y Attack-Defense. ^[3] Ambos formatos ponen a prueba los conocimientos de los participantes en materia de ciberseguridad, pero difieren en sus objetivos. En el formato Jeopardy, los equipos participantes deben completar tantos desafíos de distintos valores en puntos de varias categorías, como criptografía, explotación web e ingeniería inversa. ^[4] En el formato Attack-Defense, los equipos que compiten deben defender sus sistemas informáticos vulnerables mientras atacan los sistemas de su oponente. ^[3]

El ejercicio implica una variedad de tareas, que incluyen la explotación y el descifrado de contraseñas, pero hay poca evidencia que demuestre cómo estas tareas se traducen en conocimientos de ciberseguridad de los expertos en seguridad. Investigaciones recientes han demostrado que las tareas de Capture the Flag abarcaban principalmente conocimientos técnicos, pero carecían de temas sociales como la ingeniería social y la concienciación sobre ciberseguridad. ^[5]

Aplicaciones educativas

Se ha demostrado que los CTF son una forma eficaz de mejorar la educación en ciberseguridad a través de la gamificación . ^[6] Hay muchos ejemplos de CTF diseñados para enseñar habilidades de ciberseguridad a una amplia variedad de audiencias, incluido PicoCTF, organizado por Carnegie Mellon CyLab , que está orientado a estudiantes de secundaria, y pwn.college, apoyado por la Universidad Estatal de Arizona . ^{[7] [8] [9]} Más allá de los eventos y recursos educativos de CTF, se ha demostrado que los CTF son una forma muy eficaz de inculcar conceptos de ciberseguridad en el aula. ^{[10] [11]} Los CTF se han incluido en clases de informática de pregrado, como Introducción a la seguridad de la información en la Universidad Nacional de Singapur . ^[12] Los CTF también son populares en las academias militares. A menudo se incluyen como parte del plan de estudios de los cursos de ciberseguridad, y el Cyber ​​Exercise organizado por la NSA culminó en una competencia de CTF entre las academias de servicio de EE. UU. y las universidades militares. ^[13]

Competiciones

Muchos organizadores de CTF registran su competición en la plataforma CTFtime. Esto permite el seguimiento de la posición de los equipos a lo largo del tiempo y en las competiciones. ^[14] Entre ellos se encuentran "Plaid Parliament of Pwning", "More Smoked Leet Chicken", "Dragon Sector", "dcua", "Eat, Sleep, Pwn, Repeat", "perfect blue", "organizers" y "Blue Water". En general, "Plaid Parliament of Pwning" y "Dragon Sector" han quedado en primer lugar a nivel mundial en más ocasiones, tres veces cada uno. ^[15]

Competiciones comunitarias

Cada año se organizan docenas de CTF en una variedad de formatos. Muchos CTF están asociados con conferencias de ciberseguridad como DEF CON , HITCON y BSides . El CTF DEF CON, un CTF de ataque y defensa, es notable por ser una de las competiciones CTF más antiguas que existen, y los medios de comunicación lo han denominado de diversas formas como la " Serie Mundial ", ^[16] " Superbowl ", ^{[9] [17]} y " Olimpiadas ", ^[18] de piratería informática. El CTF de Cybersecurity Awareness Worldwide (CSAW) de la Universidad de Nueva York fue anfitrión del CTF de Cybersecurity Awareness Worldwide (CSAW), una de las competiciones de entrada abierta más grandes para estudiantes que aprenden ciberseguridad de todo el mundo. ^[4] En 2021, recibió a más de 1200 equipos durante la ronda de clasificación. ^[19]

Además de los CTF organizados por conferencias, muchos clubes y equipos de CTF organizan competiciones de CTF. ^[20] Muchos clubes y equipos de CTF están asociados con universidades, como el Plaid Parliament of Pwning asociado a CMU, que organiza PlaidCTF, ^[4] y el Shellphish asociado a ASU . ^[21]

Competiciones apoyadas por el gobierno

Las competiciones CTF apoyadas por el gobierno incluyen el DARPA Cyber ​​Grand Challenge y el ENISA European Cybersecurity Challenge . ^[22] En 2023, la competición CTF Hack-a-Sat patrocinada por la Fuerza Espacial de EE. UU. incluyó, por primera vez, un satélite orbital vivo para que los participantes lo explotaran. ^[23]

Competiciones apoyadas por empresas

Las corporaciones y otras organizaciones a veces utilizan los CTF como un ejercicio de capacitación o evaluación. ^{[ cita requerida ]} Los beneficios de los CTF son similares a los de su uso en un entorno educativo. ^{[ cita requerida ]} Además de los ejercicios internos de CTF, algunas corporaciones como Google ^[24] y Tencent organizan competiciones de CTF de acceso público.

En la cultura popular

• En Mr. Robot , se representa una ronda de clasificación para la competencia DEF CON CTF en la apertura de la temporada 3 "eps3.0_power-saver-mode.h" .
• En The Undeclared War , se representa a un CTF en la escena de apertura de la serie como un ejercicio de reclutamiento utilizado por el GCHQ . ^[25]
• ¡Vamos, vamos, calamar!, una serie de televisión china, se basa en el entrenamiento y la competición en competiciones CTF muy estilizadas. ^[26]

Véase también

• Juego de guerra (piratería)
• Preparación para la guerra cibernética
• Hackatones
• Programación competitiva
• La ciberseguridad en la cultura popular
• Privacidad

Referencias

1. "CTFtime.org / ¿Qué es Capture The Flag?". ctftime.org . Consultado el 15 de agosto de 2023 .
2. Cowan, C.; Arnold, S.; Beattie, S.; Wright, C.; Viega, J. (abril de 2003). "Defcon Capture the Flag: Defendiendo el código vulnerable de ataques intensos". Actas de la Conferencia y exposición sobre supervivencia de la información de DARPA . Vol. 1. págs. 120–129 vol.1. doi :10.1109/DISCEX.2003.1194878. ISBN 0-7695-1897-4.S2CID18161204  .​
3. Says, Etuuxzgknx (10 de junio de 2020). "Introducción a 'Capture The Flags' en ciberseguridad - MeuSec" . Consultado el 2 de noviembre de 2022 .
4. Chung, Kevin; Cohen, Julian (2014). "Obstáculos de aprendizaje en el modelo Capturar la bandera". {{cite journal}}: Requiere citar revista |journal=( ayuda )
5. Švábenský, Valdemar; Čeleda, Pavel; Vykopal, enero; Brišáková, Silvia (marzo de 2021). "Conocimientos y habilidades en ciberseguridad enseñados en los desafíos de capturar la bandera". Computadoras y seguridad . 102 : 102154. arXiv : 2101.01421 . doi : 10.1016/j.cose.2020.102154.
6. Balon, Tyler; Baggili, Ibrahim (Abe) (24 de febrero de 2023). "Competiciones cibernéticas: un estudio de competencias, herramientas y sistemas para apoyar la educación en ciberseguridad". Educación y tecnologías de la información . 28 (9): 11759–11791. doi :10.1007/s10639-022-11451-4. ISSN  1573-7608. PMC 9950699 . PMID  36855694. 
7. "El dojo de ciberseguridad de la ASU". Noticias de la ASU . 2021-02-15 . Consultado el 2023-07-18 .
8. "picoCTF tiene como objetivo cerrar la brecha de talento en ciberseguridad". www.cylab.cmu.edu . Consultado el 18 de julio de 2023 .
9. "Se buscan piratas informáticos. Recompensa: los mejores pueden conseguir un puesto en la CMU". Pittsburgh Post-Gazette . Consultado el 18 de julio de 2023 .
10. McDaniel, Lucas; Talvi, Erik; Hay, Brian (enero de 2016). "Capturar la bandera como introducción a la ciberseguridad". 2016 49.ª Conferencia Internacional de Hawái sobre Ciencias de Sistemas (HICSS) . págs. 5479–5486. doi :10.1109/HICSS.2016.677. ISBN 978-0-7695-5670-3. Número de identificación del sujeto  35062822.
11. Leune, Kees; Petrilli, Salvatore J. (27 de septiembre de 2017). "Uso de Capture-the-Flag para mejorar la eficacia de la educación en ciberseguridad". Actas de la 18.ª Conferencia Anual sobre Educación en Tecnología de la Información . SIGITE '17. Nueva York, NY, EE. UU.: Association for Computing Machinery. págs. 47–52. doi :10.1145/3125659.3125686. ISBN 978-1-4503-5100-3.S2CID46465063  .​
12. Vykopal, Jan; Švábenský, Valdemar; Chang, Ee-Chien (26 de febrero de 2020). "Beneficios y desventajas de usar juegos de capturar la bandera en cursos universitarios". Actas del 51.º Simposio Técnico de la ACM sobre Educación en Ciencias de la Computación . págs. 752–758. arXiv : 2004.11556 . doi :10.1145/3328778.3366893. ISBN 9781450367936.S2CID211519195  .​
13. "Agencia de Seguridad Nacional/Servicio Central de Seguridad > Ciberseguridad > Ejercicio cibernético de la NSA" www.nsa.gov . Consultado el 18 de julio de 2023 .
14. "CTFtime". CTFtime . Consultado el 18 de agosto de 2023 .
15. "Clasificación CTFtime". Clasificación CTFtime . Consultado el 18 de agosto de 2023 .
16. Productora, Sabrina Korber, CNBC (8 de noviembre de 2013). "Los equipos cibernéticos se enfrentan en la Serie Mundial de Hacking". CNBC . Consultado el 18 de julio de 2023 .{{cite web}}: CS1 maint: multiple names: authors list (link)
17. Noone, Ryan (15 de agosto de 2022). "El equipo de piratería informática de la CMU gana el Super Bowl de piratería informática por sexta vez - Noticias - Universidad Carnegie Mellon". www.cmu.edu . Consultado el 18 de julio de 2023 .
18. Siddiqui, Zeba (18 de agosto de 2022). "El torneo de hackers reúne a los mejores del mundo en Las Vegas". Reuters . Consultado el 18 de julio de 2023 .
19. "CSAW Capture the Flag". CSAW . Consultado el 2 de noviembre de 2022 .
20. Balon, Tyler; Baggili, Ibrahim (Abe) (24 de febrero de 2023). "Competiciones cibernéticas: un estudio de competencias, herramientas y sistemas para apoyar la educación en ciberseguridad". Educación y tecnologías de la información . 28 (9): 11759–11791. doi :10.1007/s10639-022-11451-4. ISSN  1360-2357. PMC 9950699 . PMID  36855694. 
21. "Estos estudiantes de posgrado quieren hacer historia aplastando a los hackers del mundo". Yahoo Finance . 2016-08-04 . Consultado el 2023-09-02 .
22. "El desafío europeo de la ciberseguridad". CECA . Consultado el 13 de junio de 2024 .
23. Hardcastle, Jessica Lyons. "El satélite de piratería espacial Moonlighter está en órbita". www.theregister.com . Consultado el 18 de julio de 2023 .
24. https://capturetheflag.withgoogle.com/ ^{[ URL básica ]}
25. Woodward, Alan (7 de julio de 2022). «'Algunos miembros del personal trabajan detrás de un cristal blindado': un experto en ciberseguridad sobre The Undeclared War». The Guardian . ISSN  0261-3077 . Consultado el 18 de julio de 2023 .
26. Qin ai de, re ai de (Drama, Romance, Deporte), Zi Yang, Xian Li, Mingde Li, Shanghai GCOO Entertainment, 2019-07-09 , consultado el 15 de agosto de 2023{{citation}}: CS1 maint: others (link)

Enlaces externos

• ctftime.org - un archivo de competiciones CTF históricas, actuales y futuras.