Primul Meu Hack Legal.
Când am văzut o altă competiție internă, de data aceasta în parteneriat cu MetaCTF și oferind niște premii bune, am ridicat din sprânceană și m-am gândit: „De ce nu? Dar… ce este un CTF?” Ultimul lucru pe care îl câștigasem era un concurs foto care îmi adusese o cameră de buzunar, așa că m-am înscris mai ales din curiozitate. Am petrecut aproximativ 30 de ore în acea săptămână, de la 18:00 până la miezul nopții, de luni până vineri, lipită de scaun, complet absorbită de provocări care variau de la exploatarea binară până la criminalistică digitală.
Un Capture The Flag (CTF) în stil Jeopardy este o competiție de securitate cibernetică alcătuită din provocări independente în domenii precum exploatarea web, criptografie, criminalistică digitală, inginerie inversă și exploatare binară. Fiecare provocare ascunde un „steag” care valorează puncte, și le poți rezolva în orice ordine — fie că asta înseamnă extragerea datelor dintr-un fișier PCAP, inversarea unui mic binar pentru a descoperi o parolă, sau exploatarea unei pagini de autentificare vulnerabile. Este un format bazat pe puzzle-uri care recompensează creativitatea, intuiția tehnică și capacitatea de a gândi ca un hacker.
Una dintre cele mai frustrante sarcini implica „vorbitul” cu un troll pentru a-l convinge să-mi dea steagul. Și, bineînțeles, trebuia să fac asta pe o mașină virtuală prin VPN-ul nostru intern. Imaginează-ți să tastezi o literă, să aștepți trei secunde să apară pe ecran, apoi să continui cu următoarele o sută de caractere. O greșeală de tastare însemna și mai multă așteptare. A fost o oră de agonie pură cu încetinitorul. Dar asta fac atacatorii — nu renunță până nu obțin ceea ce vor. Și pentru a preveni orice atacuri, trebuie să știi cum gândesc și ce fac. Iritarea m-a împins să continui a doua zi, și după ce am ghicit parola, troll-ul a dezvăluit în sfârșit steagul. Ușurarea a fost incredibilă.
O altă provocare care m-a făcut să simt că am superputeri a fost spargerea parolei unui fișier protejat folosind forța brută. Nu puteam să cred cât de ușor a fost. Dacă cineva ca mine, cu experiență minimă în securitate, poate face asta… imaginează-ți ce poate face un atacator experimentat. Probabil ar putea să o facă cu ochii închiși.
Spre surprinderea mea, m-am clasat pe locul 1 din 36 la categoria Individual, câștigând acel voucher Amazon de 100$. Totuși, competiția e fost mică, și pe deasupra a fost clasicul noroc de începător, nu?
A ști ce algoritmi să aplici — și de ce — contează cu adevărat. În primul rând, îți forțează creierul să iasă din zona de confort. În al doilea rând, este o utilizare mult mai bună a timpului decât să te uiți din nou la aceleași seriale Netflix. Și în al treilea rând, s-ar putea să devină un nou hobby… sau chiar o carieră.
Lumea securității cibernetice poate părea un adevărat câmp de luptă. Există oameni incredibil de talentați acolo, și este sfâșietor că unii aleg să-și folosească strălucirea pentru a răni pe alții, lăsând oameni nevinovați să se confrunte cu consecințele. Dar, din fericire, există și hackeri etici — oameni care folosesc aceleași minți ascuțite și abilități pentru a proteja, apăra și a ne păstra în siguranță în liniște.
Acum m-am înscris la provocările lunare MetaCTF pentru a continua să practic. Sunt distractive, solicitante, enervante când ești blocat, frustrante când VM-ul este lent, dar incredibil de satisfăcătoare. Hack, da! Certificatele pe care le primești după provocare s-ar putea să nu însemne mare lucru pentru alții, dar pentru mine este ca o bătaie peste umăr care înseamnă: Bravo, ai învățat ceva astăzi!
Pe lângă site-ul MetaCTF https://app.metactf.com/login, există și alte modalități excelente de a învăța:
