Generador de retos CTF para seguridad ofensiva y hacking

Abstract

[ES] El Hacking se ha convertido en una llamativa actividad dentro del mundo de la ciberseguridad que está brindando nuevas oportunidades laborales y de negocio. Para desarrollar las habilidades y competencias que posee un hacker es necesario pasar por un proceso de aprendizaje que involucra el conocimiento de las bases fundamentales de la informática y la resolución de retos CTF. Los CTF son retos de hacking que consisten en penetrar sistemas vulnerables dentro de un entorno seguro y controlado. De este modo, se pueden llegar a medir las habilidades de hacking o pentesting que una persona posee. En el mercado existen varias certificaciones de Ethical Hacking que respaldan estos conocimientos, la más conocida y valiosa es la certificación OSCP. La realización de retos CTF en todas sus dificultades, son la clave para tener un buen fundamento en esta disciplina. Actualmente hay una gran variedad de plataformas que ofrecen servicios de CTF de forma gratuita y de pago a la comunidad. No obstante, estas plataformas son vía online sin la posibilidad de ejecutar localmente los CTF por lo que sería necesario tener una conexión a internet, además de una VPN. En este trabajo, se pretende crear una herramienta generadora de retos CTF aleatorios de forma local. La herramienta principalmente trabajará sobre un servicio web vulnerable multiinstancia. Esto significa que se hace uso de una única aplicación web, pero que, en cada despliegue de la misma, las vulnerabilidades presentes serán distintas, de ahí el nombre de multiinstancia. Para lograr dicho objetivo, se hará uso de la herramienta Docker que permitirá automatizar los despliegues además de un algoritmo hecho en Python que se encargará de seleccionar las combinaciones correspondientes para efectuar el despliegue final. Durante el desarrollo de la solución se hará uso de diversas tecnologías como PHP, MySQL, Web Scraping, Selenium y Docker Compose . La finalidad de esta herramienta es que el usuario, sea capaz de practicar habilidades de hacking en entornos CTF locales con posibilidades de ampliar la herramienta añadiendo más vulnerabilidades o incluso una nueva aplicación vulnerable que entre dentro de las opciones de despliegue. Para este trabajo, solo se ha desarrollado una aplicación web, pero si se sigue la estructura planteada, sería totalmente posible ampliarla con más contenido.