Quanti di voi hanno sognato per innumerevoli notti di riuscire a “penetrare” nel caldo “server” dell’ “azienda” divenuta il vostro bersaglio da tempi immemori?

Capture The Flag 365Ok forse ho esagerato con i doppi sensi ma sono sicuro che anche senza occhiolini e frecciatine la frase precedente sarebbe comunque riuscito a catalizzare la vostra avida e curiosa attenzione.

D’altronde l’hacking è da sempre una delle “discipline” predilette da schiere di nerd e ritenuta interessante dalla quasi totalità di questo segmento di società.

Purtroppo uno dei più grossi scogli che uno smanettone della domenica può incontrare affacciandosi al mondo della sicurezza informatica è la possibilità di fare esperienza perché, diciamocelo chiaramente,

è molto, molto, difficile fare hacking in maniera legale.

Gran parte degli interessati si ritrova così, suo malgrado, ad abbandonare un sentiero che li avrebbe condotti a salpare verso mirabolanti avventure in mari esotici, tra l’arrembaggio di un server alle Isole Cayman e una bella pioggia di palle di cannone DOS contro un sitarello truffaldino polacco, cercando sempre di sgattaiolare via nel più completo anonimato.

TeamIRCchannel

Possibile che non esista nemmeno un sistema, possibilmente gratuito, per imparare a muoversi e comportarsi come un esperto di sicurezza informatica?

Ed ecco che entra in gioco CTF365, un gioco online che si prefigge di essere il:

WoW per hacker, sysadmin, netsec e appassionati di informatica di qualsiasi tipo.
Esistono anche altri metodi per fare pratica con la sicurezza informatica, come ad esempio i Wargames e le distro Linux buggate da far girare in rete locale e successivamente bersargliare: se questo articolo piace vedrò di illustrarvele in futuro.

 

Ma torniamo a noi, per la precisione a CTF365:

CTF365 sta per Capture The Flag
Diversi team, stanziati in una base, si affrontano cercando di rubare dalle fortezze dei team avversari le bandiere per portarle nel proprio fortino.

Come avrete intuito dall’alto del vostro master ad Oxford, questo gioco online è riconducibile alla celeberrima modalità “cattura la bandiera” presente in moltissimi giochi, come ad esempio gli FPS.

Diversi team, stanziati in una base, si affrontano cercando di rubare dalle fortezze dei team avversari le bandiere per portarle nel proprio fortino.

Solo che in questo gioco le bandiere sono dati sensibili mentre i fortini/basi/scatole-di-cartone sono nientepopodimeno che server collegati alla rete di CTF.

Le armi? Qualsiasi tool voi vogliate utilizzare per cercare di fare irruzione nella “base” nemica. E ovviamente il vostro ingegno e la vostra arguzia.

CTF365-Fortress

Potrete fare un attacco Bruteforce contro la porta SSH usando dei dizionari creati da voi, potrete fare del social engineering fingendovi parte del team di CTF con altri utenti, attacchi DOS, SQL injection, phishing e chi più ne ha più ne metta. In poche parole

avrete piena libertà di scelta e azione per tutta la durata del gioco

Una delle poche restrizioni obbligatorie è che ogni server faccia girare una lista minima di applicazioni, alcune predefinite mentre altre scelte da elenco, in maniera tale che le macchine siano effettivamente bucabili (avevate già pensato di uppare un server BSD con niente di aperto eh furbacchioni?).

All’atto della registrazione/inizio del gioco viene consegnato ad ogni team (per partecipare bisogna essere in team di x persone, con 4 < x < 11) l’indirizzo e le credenziali per accedere ad una macchina virtuale (che di fatto è il team server); anche la scelta del sistema operativo del proprio server è assolutamente arbitraria, confermando la flessibilità in campo decisionale sottolineata prima.

badges1
101
110
000

Se non vi avessi ingolosito abbastanza sappiate che a seconda di come vi comportate potrete vincere trofei allettanti: dai badge di riconoscimento, belli colorati e dai nomi moolto nerdie (Crypt0 Master e Sniff3r Commander tanto per citarne due) ai premi in danaro (la cui quantità dipenderà dagli sponsor confermati alla partenza della competizione) alla gloria eterna.

Cert

Vi lascio con qualche snapshot della beta che si poteva provare fino a poco tempo fa, ora tolta in quanto imminente il via ufficiale.

Spero vi sia piaciuto l’articolo, come detto in precedenza se i feedback sono abbastanza positivi approfondirò in futuro altre “palestre” di sicurezza informatica.