Primul Meu Hack Legal.
Când am văzut o altă competiție internă, de data aceasta în parteneriat cu MetaCTF și oferind niște premii bune, am ridicat o sprânceană și m-am gândit: „De ce nu? Dar… ce este un CTF?” Ultimul lucru pe care îl câștigasem intern era un concurs foto care îmi adusese o cameră de buzunar, așa că m-am înscris mai ales din curiozitate. Am petrecut aproximativ 30 de ore în acea săptămână, de la 18:00 până la miezul nopții, de luni până vineri, lipită de scaun, complet absorbită de provocări care variau de la exploatarea binară până la criminalistică digitală.
Un Capture The Flag (CTF) în stil Jeopardy este o competiție de securitate cibernetică alcătuită din provocări
independente în domenii precum exploatarea web, criptografie, criminalistică digitală, inginerie inversă și exploatare
binară. Fiecare provocare ascunde un „steag”, cum ar fi flag{p4ck3t_sn1ff1ng_succ3ss}, care valorează puncte, și le
poți rezolva în orice ordine, fie că asta înseamnă extragerea datelor dintr-un fișier PCAP, inversarea unui mic binar
pentru a descoperi o parolă, sau exploatarea unei pagini de autentificare vulnerabile. Este un format bazat pe puzzle-uri
care recompensează creativitatea, intuiția tehnică și capacitatea de a gândi ca un hacker.
Una dintre cele mai frustrante sarcini implica „vorbitul” cu un troll pentru a-l convinge să-mi dea steagul. Și, bineînțeles, trebuia să fac asta pe o mașină virtuală prin VPN-ul nostru intern. Imaginează-ți să tastezi o literă, să aștepți trei secunde să apară, apoi să continui cu următoarele o sută de caractere. O greșeală de tastare însemna și mai multă așteptare. A fost o oră de agonie pură cu încetinitorul. Dar asta fac atacatorii, nu renunță până nu obțin ce vor. Și pentru a preveni orice atacuri, trebuie să știi cum gândesc și ce fac. Iritarea m-a împins să continui a doua zi, și după ce am ghicit parola, troll-ul a dezvăluit în sfârșit steagul. Ușurarea a fost incredibilă.
O altă provocare care m-a făcut să simt că am superputeri a fost spargerea parolei unui fișier protejat folosind forță brută. Nu puteam să cred cât de ușor era. Dacă cineva ca mine, cu experiență minimă în securitate, poate face asta… imaginează-ți ce poate face un atacator experimentat. Probabil ar putea să o facă cu ochii închiși.
Spre surprinderea mea, m-am clasat pe locul 1 din 36 la categoria Individual, câștigând acel voucher Amazon de 100$. Totuși, competiția ea fost mică, și pe deasupra a fost clasicul noroc de începător, nu?
A ști ce algoritmi să aplici, și de ce, contează cu adevărat. În primul rând, îți forțează creierul să iasă din zona de confort. În al doilea rând, este o utilizare mult mai bună a timpului decât să te uiți din nou la aceleași seriale Netflix. Și în al treilea rând, s-ar putea să devină un nou hobby… sau chiar o carieră.
Lumea securității cibernetice poate părea un adevărat câmp de luptă. Există oameni incredibil de talentați acolo, și este sfâșietor că unii aleg să-și folosească strălucirea pentru a răni pe alții, lăsând oameni nevinovați să se confrunte cu consecințele. Dar, din fericire, există și hackeri etici, oameni care folosesc aceleași minți ascuțite și abilități pentru a proteja, apăra și a ne păstra în siguranță în liniște.
Acum m-am înscris la provocările lunare MetaCTF pentru a continua să practic. Sunt distractive, solicitante, enervante când ești blocat, frustrante când VM-ul este lent, dar incredibil de satisfăcătoare. Hack, da! Certificatele pe care le primești după provocare s-ar putea să nu însemne mare lucru pentru alții, dar pentru mine este doar o bătaie pe umăr care înseamnă: Bravo, ai învățat ceva astăzi.
Pe lângă site-ul MetaCTF https://app.metactf.com/login, există și alte modalități excelente de a învăța: