Capturar la bandera (ciberseguridad)

Ejercicio de seguridad informática.

Un equipo que compite en la competición CTF en DEF CON 17

Capture the Flag ( CTF ) en seguridad informática es un ejercicio en el que los participantes intentan encontrar cadenas de texto, llamadas "banderas", que están secretamente ocultas en programas o sitios web deliberadamente vulnerables . Se pueden utilizar tanto con fines competitivos como educativos. En dos variaciones principales de CTF, los participantes roban banderas de otros participantes (CTF de estilo ataque/defensa) o de los organizadores (desafíos de estilo peligro). Una competición mixta combina estos dos estilos. ^[1] Las competencias pueden incluir ocultar banderas en dispositivos de hardware, pueden ser tanto en línea como en persona y pueden ser de nivel avanzado o básico. El juego está inspirado en el tradicional deporte al aire libre del mismo nombre .

Descripción general

Capture the Flag (CTF) es una competencia de ciberseguridad que se utiliza para probar y desarrollar habilidades de seguridad informática. Se desarrolló por primera vez en 1996 en DEF CON , la conferencia de ciberseguridad más grande de los Estados Unidos que se celebra anualmente en Las Vegas , Nevada. ^[2] La conferencia organiza un fin de semana de competiciones de ciberseguridad, incluido su emblemático CTF.

Dos formatos CTF populares son peligro y ataque-defensa. ^[3] Ambos formatos evalúan el conocimiento de los participantes en ciberseguridad, pero difieren en el objetivo. En el formato Jeopardy, los equipos participantes deben completar tantos desafíos de diferentes valores de puntos de varias categorías como criptografía, explotación web e ingeniería inversa. ^[4] En el formato de ataque-defensa, los equipos competidores deben defender sus sistemas informáticos vulnerables mientras atacan los sistemas de sus oponentes. ^[3]

El ejercicio implica una amplia gama de tareas, incluida la explotación y el descifrado de contraseñas, pero hay poca evidencia que demuestre cómo estas tareas se traducen en conocimientos de ciberseguridad que poseen los expertos en seguridad. Investigaciones recientes han demostrado que las tareas de Capturar la bandera cubrían principalmente conocimientos técnicos, pero carecían de temas sociales como ingeniería social y concienciación sobre ciberseguridad. ^[5]

Aplicaciones educativas

Se ha demostrado que los CTF son una forma eficaz de mejorar la educación en ciberseguridad a través de la gamificación . ^[6] Hay muchos ejemplos de CTF diseñados para enseñar habilidades de ciberseguridad a una amplia variedad de audiencias, incluido PicoCTF, organizado por Carnegie Mellon CyLab , que está orientado a estudiantes de secundaria, y pwn.college, apoyado por la Universidad Estatal de Arizona . ^{[7] [8] [9]} Más allá de los eventos y recursos educativos de los CTF, se ha demostrado que los CTF son una forma muy eficaz de inculcar conceptos de ciberseguridad en el aula. ^{[10] [11]} Los CTF se han incluido en clases de pregrado en informática, como Introducción a la seguridad de la información en la Universidad Nacional de Singapur . ^[12] Los CTF también son populares en las academias militares. A menudo se incluyen como parte del plan de estudios de los cursos de ciberseguridad, y el ejercicio cibernético organizado por la NSA culmina en una competencia CTF entre las academias de servicio y las escuelas militares de EE. UU. ^[13]

Competiciones

Muchos organizadores del CTF registran su competición en la plataforma CTFtime. Esto permite el seguimiento de la posición de los equipos a lo largo del tiempo y entre competiciones. ^[14] Estos concursos pueden ser comunitarios, gubernamentales o corporativos. Desde que comenzó CTFtime en 2011, ha habido siete equipos que se han clasificado como el número 1 en la posición mundial ^{[ ¿investigación original? ]} . Estos incluyen "Parlamento a cuadros de Pwning", "Más pollo Leet ahumado", "Sector Dragón", "dcua", "Comer, dormir, Pwn, repetir", "azul perfecto" y "organizadores". En general, "Plaid Parliament of Pwning" y "Dragon Sector" ocuparon el primer lugar a nivel mundial con tres veces cada uno. ^[15]

Competiciones comunitarias

Cada año hay docenas de CTF organizados en una variedad de formatos. Muchos CTF están asociados con conferencias sobre ciberseguridad como DEF CON, HITCON y BSides . El DEF CON CTF, un CTF de ataque-defensa, se destaca por ser una de las competiciones CTF más antiguas que existen, y se le ha denominado de diversas formas " Serie Mundial ", ^[16] " Superbowl ", ^{[9] [17]} y " Olimpiadas ", ^[18] de piratería por parte de medios de comunicación. El CTF de Cybersecurity Awareness Worldwide (CSAW) organizado por la Universidad de Nueva York en Tandon es uno de los mayores concursos de entrada abierta para estudiantes que aprenden ciberseguridad de todo el mundo. ^[4] En 2021, acogió a más de 1200 equipos durante la ronda de clasificación. ^[19]

Además de los CTF organizados por conferencias, muchos clubes y equipos de la CTF organizan competiciones de la CTF. ^[20] Muchos clubes y equipos de CTF están asociados con universidades, como el Plaid Parliament of Pwning, asociado a CMU, que alberga PlaidCTF, ^[4] y Shellphish, asociado a ASU . ^[21]

Concursos apoyados por el gobierno

Las competiciones CTF respaldadas por el gobierno incluyen el DARPA Cyber ​​Grand Challenge y el ENISA European Cybersecurity Challenge ^[22] . En 2023, la competencia Hack-a-Sat CTF patrocinada por la Fuerza Espacial de EE. UU. incluyó, por primera vez, un satélite orbital en vivo para que los participantes lo explotaran. ^[23]

Competiciones apoyadas por empresas

Las corporaciones y otras organizaciones a veces utilizan los FFC como ejercicio de capacitación o evaluación. ^{[ cita necesaria ]} Los beneficios de los CTF son similares a los de su uso en un entorno educativo. ^{[ cita necesaria ]} Además de los ejercicios internos de CTF, algunas corporaciones como Google ^[24] y Tencent organizan competiciones de CTF de acceso público.

En la cultura popular

• En Mr. Robot , una ronda de clasificación para la competencia DEF CON CTF se muestra en el primer episodio de la temporada 3 "eps3.0_power-saver-mode.h".
• En La guerra no declarada , se representa un CTF en la escena inicial de la serie como un ejercicio de reclutamiento utilizado por el GCHQ ^[25]
• ¡Vaya, vaya calamar! , una serie de televisión china, se basa en el entrenamiento y la competencia en competiciones CTF muy estilizadas. ^[26]

Ver también

• Juego de guerra (piratería)
• Preparación para la guerra cibernética
• Hackatones
• Programación competitiva
• La ciberseguridad en la cultura popular
• Privacidad

Referencias

1. "CTFtime.org / ¿Qué es Capturar la bandera?". ctftime.org . Consultado el 15 de agosto de 2023 .
2. Cowan, C.; Arnold, S.; Beattie, S.; Wright, C.; Viega, J. (abril de 2003). "Defcon Capture the Flag: defender el código vulnerable de ataques intensos". Actas Conferencia y exposición sobre supervivencia de la información de DARPA . vol. 1. págs. 120-129 vol.1. doi :10.1109/DISCEX.2003.1194878. ISBN 0-7695-1897-4. S2CID  18161204.
3. dice, Etuuxzgknx (10 de junio de 2020). "Introducción a 'Capturar las banderas' en ciberseguridad - MeuSec" . Consultado el 2 de noviembre de 2022 .
4. Chung, Kevin; Cohen, Julián (2014). "Obstáculos de aprendizaje en el modelo Capture The Flag". {{cite journal}}: Citar diario requiere |journal=( ayuda )
5. Švábenský, Valdemar; Čeleda, Pavel; Vykopal, enero; Brišáková, Silvia (marzo de 2021). "Conocimientos y habilidades en ciberseguridad enseñados en los desafíos de capturar la bandera". Computadoras y seguridad . 102 : 102154. arXiv : 2101.01421 . doi : 10.1016/j.cose.2020.102154.
6. Balón, Tyler; Baggili, Ibrahim (Abe) (24 de febrero de 2023). "Cibercompetencias: una encuesta de competencias, herramientas y sistemas para apoyar la educación en ciberseguridad". Educación y Tecnologías de la Información . 28 (9): 11759–11791. doi :10.1007/s10639-022-11451-4. ISSN  1573-7608. PMC 9950699 . PMID  36855694. 
7. "Dojo de ciberseguridad de ASU". Noticias de ASU . 2021-02-15 . Consultado el 18 de julio de 2023 .
8. "picoCTF tiene como objetivo cerrar la brecha de talento en ciberseguridad". www.cylab.cmu.edu . Consultado el 18 de julio de 2023 .
9. "Se busca: piratas informáticos. Recompensa: los mejores pueden conseguir un lugar en CMU". Pittsburgh Post-Gazette . Consultado el 18 de julio de 2023 .
10. McDaniel, Lucas; Talvi, Erik; Hay, Brian (enero de 2016). "Capture la bandera como introducción a la seguridad cibernética". 2016 49.a Conferencia Internacional de Hawaii sobre Ciencias de Sistemas (HICSS) . págs. 5479–5486. doi :10.1109/HICSS.2016.677. ISBN 978-0-7695-5670-3. S2CID  35062822.
11. Leune, Kees; Petrilli, Salvatore J. (27 de septiembre de 2017). "Uso de Capture-the-Flag para mejorar la eficacia de la educación en ciberseguridad". Actas de la 18ª Conferencia Anual sobre Educación en Tecnología de la Información . SIGITE '17. Nueva York, NY, EE.UU.: Asociación de Maquinaria de Computación. págs. 47–52. doi :10.1145/3125659.3125686. ISBN 978-1-4503-5100-3. S2CID  46465063.
12. Vykopal, enero; Švábenský, Valdemar; Chang, Ee-Chien (26 de febrero de 2020). "Beneficios y desventajas del uso de juegos de Capturar la bandera en cursos universitarios". Actas del 51º Simposio técnico de la ACM sobre educación en informática . págs. 752–758. arXiv : 2004.11556 . doi :10.1145/3328778.3366893. ISBN 9781450367936. S2CID  211519195.
13. "Agencia de Seguridad Nacional/Servicio Central de Seguridad> Ciberseguridad> Ejercicio cibernético de la NSA". www.nsa.gov . Consultado el 18 de julio de 2023 .
14. "Tiempo CTF". Hora CTF . Consultado el 18 de agosto de 2023 .
15. "Ranking CTFtime". Clasificaciones CTFtime . Consultado el 18 de agosto de 2023 .
16. Productora, Sabrina Korber, CNBC (8 de noviembre de 2013). "Los Cyberteams se enfrentan en la Serie Mundial de piratería". CNBC . Consultado el 18 de julio de 2023 .{{cite web}}: Mantenimiento CS1: varios nombres: lista de autores ( enlace )
17. Nadie, Ryan (15 de agosto de 2022). "CMU Hacking Team gana el Super Bowl de piratería por sexta vez - Noticias - Universidad Carnegie Mellon". www.cmu.edu . Consultado el 18 de julio de 2023 .
18. Siddiqui, Zeba (18 de agosto de 2022). "El torneo de hackers reúne a los mejores del mundo en Las Vegas". Reuters . Consultado el 18 de julio de 2023 .
19. "CSAW captura la bandera". CSAW . Consultado el 2 de noviembre de 2022 .
20. Balón, Tyler; Baggili, Ibrahim (Abe) (24 de febrero de 2023). "Cibercompetencias: una encuesta de competencias, herramientas y sistemas para apoyar la educación en ciberseguridad". Educación y Tecnologías de la Información . 28 (9): 11759–11791. doi :10.1007/s10639-022-11451-4. ISSN  1360-2357. PMC 9950699 . PMID  36855694. 
21. "Estos estudiantes de posgrado quieren hacer historia aplastando a los piratas informáticos del mundo". Yahoo Finanzas . 2016-08-04 . Consultado el 2 de septiembre de 2023 .
22. "Desafío europeo de ciberseguridad". CECA . Consultado el 13 de junio de 2024 .
23. Hardcastle, Jessica Lyons. "El satélite de piratería espacial Moonlighter está en órbita". www.theregister.com . Consultado el 18 de julio de 2023 .
24. https://capturetheflag.withgoogle.com/
25. Woodward, Alan (7 de julio de 2022). "'Algunos miembros del personal trabajan detrás de cristales blindados: un experto en ciberseguridad sobre la guerra no declarada ". El guardián . ISSN  0261-3077 . Consultado el 18 de julio de 2023 .
26. Qin ai de, re ai de (Drama, Romance, Deporte), Zi Yang, Xian Li, Mingde Li, Shanghai GCOO Entertainment, 2019-07-09 , consultado el 15 de agosto de 2023{{citation}}: CS1 maint: others (link)

enlaces externos

• ctftime.org: un archivo de competiciones CTF históricas, actuales y futuras.