Blog

Seguridad informática

Aprende seguridad resolviendo retos: Security High School 2018

Seguridad informática

La Security High School 2018 de Córdoba realizó una competición durante 14 horas de pruebas y retos sobre seguridad muy interesantes. Todo el mundo podía participar, pero para recibir el premio había que estar presente durante el cierre de la misma en el Salón De Actos Juan XXIII, que es donde se celebraron todas las conferencias y ponencias.

La organización puso a disposición de los participantes una zona reservada para poder trabajar y participar con los portátiles, ofreciendo una gran cantidad de enchufes. En aquella zona se respiraba aires de competición, ganas por aprender y una emoción latente que explotaba con voces altas cuando algo funcionaba bien.

En este post, os vamos a explicar un poco de qué tratan estas pruebas y de lo interesante que puede llegar a ser el mundo de la seguridad. Muchos participantes volvieron a la web después del reto para seguir resolviendo lo que les faltó y hubo un gran porcentaje de participación.

Seguridad informática

Criptografía

  • Es el arte de ocultar información mediante cifrados o codificaciones para que un receptor no autorizado no pueda leer la información.
  • Puede ocultarse la información mediante una serie de patrones, como intercambiar cada x posiciones o tener una palabra clave que hace cambiar las letras del abecedario de orden.
  • En Internet, utilizamos la criptografía cuando utilizamos nuestra clave pública-privada.
  • Nosotros podemos cifrar información con la clave pública del receptor y él, y solo él, podrá leer el contenido del mensaje porque se necesita la clave privada para poder leer la información.

Las pruebas de estos retos consistían en una serie de codificaciones y decodificaciones como Unicode, Base64 o incluso el pokémon Unown, conocidos por su forma fisiológica en forma de letra. También se encontraba la información oculta en imágenes con ciertas características, como el reflejo de unas letras que estaban invertidas en un espejo o en el reflejo del agua que las olas modificaban ciertos patrones.

Esteganografía

  • La esteganografía es el estudio y la aplicación de diferentes métodos para ocultar información dentro de otra información y darle más seguridad. Parece raro, pero os voy a poner un ejemplo. Imagina esconder un alfiler en un nido de ave y, luego, poner ese nido en un árbol lleno de nidos.

En las pruebas, podemos ver ejemplos más claros de cómo la esteganografía oculta la información. En ellas se escondían mensajes ocultos en simples archivos PDF dependiendo de la forma del texto o en los metadatos. También podíamos ver cómo ocultaban archivos de texto dentro de archivos de música, donde se necesitaba programas específicos para poder obtener la información oculta. E, incluso, tendríamos que usar programas de edición de imagen para ver si alguna imagen había sido modificada y se había ocultado alguna clave.

Exploiting

  • El exploiting consiste en aprovechar ciertas vulnerabilidades de un sistema o recurso para poder obtener información o poder utilizarlo en su propio beneficio. Este método puede ser desde el mismo sistema, de forma remota por internet o mediante aplicaciones de terceros tales como el reproductor Flash o los navegadores que recomendamos encarecidamente que estén actualizados a la última versión.

Este reto fue uno de los que más aguantaron en el día de la competición, pero ya hay gente que lo ha resuelto fuera del plazo. El reto consistía en descargarse un archivo ejecutable para el entorno Windows y “ejecutarlo a ver si el usuario tenía la suerte” de obtener la clave para resolver el reto. Ahora solo hacía falta comenzar a estudiar ese ejecutable y obtener la clave, es decir, explotar las vulnerabilidades que pueda tener ese programa para obtener la información.

Análisis Forense

  • En informática, también tenemos análisis minuciosos de información o de sistemas que han sido expuestos a algún ataque o infectados con algún malware.

En esta parte, el reto consistía en analizar una captura de una zona de la memoria RAM de un ordenador donde había que recuperar una foto. Para ello, había que utilizar varias herramientas para leer y poder ejecutar la información de la RAM. Uno de los ponentes, Rafa López, realizó una charla de cómo poder analizar de forma forense una zona de memoria RAM. El que estuvo allí presente pudo ver en vivo y en directo cómo se podía realizar el análisis y, así, poder utilizar lo aprendido en resolver este reto.

OSINT

  • El Open-source intelligence (OSINT) es la recolección de datos disponible de forma pública para ser usadas a favor o en contra del objetivo. Internet está plagada de información que nosotros no hemos publicado, pero son accesibles de forma pública. Registros mercantiles, registros del Catrasto, información de morosos, la publicación del BOE… puede encontrarse de todo en internet.

La prueba consiste en buscar quién es el dueño de la parcela que se muestra en un enlace a Google Maps. Para ello, consiste en localizar y recolectar toda información disponible sobre lo que se puede ver gracias al Google Street View y, a partir de ese punto, utilizar todos los buscadores de internet para encontrar la información necesaria.

Redes

El apartado de Redes consiste en algo parecido al Análisis Forense que hemos hablado con anterioridad, pero esta vez sobre una captura de información enviada a través de una conexión de red. Para poder realizar el reto, se necesitaba software específico para poder estudiar y analizar la captura de red.

Reversing

En este apartado, el reto era hacer un “reversing” o sentido contrario. Nos daban una aplicación APK de sistemas Android y ver el código que formaba la app para poder encontrar la clave para resolver el reto.

Web

En este apartado, los dos retos que se proponen son dos webs para su explotación. Este reto consiste en buscar ciertas vulnerabilidades para poder obtener información de su base de datos o conseguir acceso a un panel de administración para poder así resolver el reto. Para ello, se necesita saber de SQL (lenguaje de bases de datos) y tener conocimientos necesarios para poder saber de qué forma puede atacarse las webs.

Estos retos sobre seguridad fueron muy interesantes y divertidos. Hay mucha información en internet acerca de todas estas categorías e incluso hay páginas web donde podrás encontrar más retos como éstos.

No dudes en leer acerca de estos retos si te ha parecido curioso, puede que tu futura afición pueda encontrarse entre en alguno de ellos.

¡Si te ha gustado comparte y haz comunidad!