Trellix presenta el concurso anual Atrapa la bandera – Catmen Sanfrancisco!

Steve Povolny · 1 de febrero de 2022

El equipo de Advanced Threat Research (ATR), que ahora forma parte de Trellix, se complace en anunciar el segundo concurso anual Atrapa la bandera, con 12 nuevos desafíos de varios niveles y un servidor de Discord para facilitar la colaboración. Este año hemos decidido añadir una trama: regresaremos a los 90 para ayudar a nuestra heroína, Catmen Sanfrancisco (que nada tiene que ver con Carmen Sandiego).

Como ya hicimos en el Atrapa la bandera inaugural, hemos hecho todo lo posible para reducir al mínimo las conjeturas y los trucos. Aunque hemos añadido gráficos más llamativos, nos hemos mantenido fieles a nuestros principios básicos: reproducir el tipo de problemas con los que nos hemos encontrado tantas veces a lo largo de los años en nuestros proyectos de investigación reales. Además, como este concurso tiene un carácter principalmente educativo, no queremos centrarnos demasiado en el ganador de la competición. El objetivo es que todos aprendan algo. Sin embargo, entregaremos una moneda de desafío con un diseño exclusivo de ATR a los cinco mejores equipos (una moneda por cada miembro del equipo, hasta cuatro por equipo). Al registrarse en el concurso, indique una dirección de correo electrónico válida para que podamos darle la enhorabuena si resulta ganador y enviarle la moneda de desafío.

La inscripción en el concurso Atrapa la bandera de ATR se abrirá el viernes 11 de febrero a las 23:59 PST y se cerrará el viernes 25 de febrero a las 23:59 PST.

Haga clic aquí para inscribirse.

Si nunca ha participado en un juego de atrapar la bandera, no se preocupe, el concepto es sencillo. Deberá:

• Elegir el tipo de desafío que quiere superar.
• Seleccionar un nivel de dificultad según su valor en puntos.
• Superar el desafío para atrapar la bandera.
• Indicar el código de la bandera para obtener los puntos.

NOTA: cada bandera tiene el formato ATR[1a2b3c4d5e], donde 1a2b3c4d5e se sustituye por una cadena concreta que se indica claramente cuando se supera el desafío en cuestión. Por ejemplo: ATR[Ul33th4xorU]. Debe indicar todos los dígitos de la bandera, incluidos "ATR" y los corchetes.

Al superar un desafío obtendrá una recompensa de entre 100 y 500 puntos; cuanto más difícil sea el desafío, más puntos recibirá.  Hemos diseñado todos los desafíos para que pueda poner en práctica conceptos de seguridad reales, y aunque claramente las categorías se solapan en cada desafío, las de este año son:

• Ingeniería inversa
• Explotación
• Web
• Criptografía
• Linux
• Red
• Análisis forense

Aunque los equipos pueden ser de un solo competidor, también son bienvenidos los grupos. Si se queda atascado, en cada desafío puede recibir una pista básica. Sin embargo, le advertimos que solo debe solicitar la pista como último recurso porque por ello perderá puntos de recompensa.

Servidor de Discord

Este año utilizaremos Discord para que los equipos y cada participante se comuniquen tanto con nosotros como con la comunidad del concurso. Al iniciar la sesión podrá consultar las instrucciones para participar en Discord. Inscríbase e inicie sesión con antelación para estar al tanto de los anuncios importantes y conocer oportunidades para colaborar con compañeros del sector.

Leer antes de hackear: normas e instrucciones de Atrapa la bandera

Invitamos a participar a los empleados de McAfee y Trellix, aunque no pueden optar a premios ni figurar en el marcador del concurso público.

Al registrarse, indique una dirección de correo electrónico válida por si tiene que cambiar la contraseña o debemos entregarle algún premio. No guardaremos ni conservaremos ninguna dirección de correo electrónico ni nos pondremos en contacto con usted por motivos que no tengan que ver con el concurso.

No haga públicas las soluciones de los desafíos hasta que termine el concurso.

Cooperación

Aunque está permitido que los equipos cooperen con moderación, se considera que compartir banderas o dar las pistas de los desafíos a otros equipos es hacer trampa. ¡Ayúdenos para que todos disfruten de este concurso como un desafío! Si colabora con otros equipos, no hay problema en seguir estrategias comunes o dar pistas generales, pero le rogamos que no estropee el concurso a los demás.

Atacar la plataforma

Se le expulsará de Atrapa la bandera si ataca la infraestructura del concurso. Si tiene problemas con la propia infraestructura, pueden dirigirse al equipo de ATR a través de Discord. ATR no dará más pistas ni prestará ayuda mediante comentarios.

Sabotaje

Está estrictamente prohibido sabotear o entorpecer de cualquier otra forma a otros equipos, e implicará la expulsión de Atrapa la bandera.

Fuerza bruta

No se admite ni se requiere la fuerza bruta en el sitio de las calificaciones para obtener claves o banderas de los desafíos. Puede llevar a cabos ataques por fuerza bruta en su propio endpoint si lo considera necesario para dar con una solución. Si tiene dudas acerca de qué es un ataque por fuerza bruta, póngase en contacto con nosotros.

Denegación de servicio

Está prohibido llevar a cabo ataques de denegación de servicio en la plataforma de Atrapa la bandera ni en ninguno de los desafíos.

¡Qué disfrute hackeando!

¿Necesita más ayuda?

Aquí encontrará una lista de herramientas y técnicas útiles para el concurso de Atrapa la bandera. No es exhaustiva ni está adaptada expresamente para este concurso, pero debería de servir como punto de partida para conocer y aprender a usar las herramientas que hacen falta en distintos desafíos.

En el diseño de muchos de los desafíos hemos tenido en mente a los usuarios finales de Linux. Si utiliza Windows, Windows 10 y las ediciones posteriores, dispone de un subsistema Linux llamado "WSL" que puede resultarle útil. Otra opción es configurar una máquina virtual con la versión de Linux que quiera, que debería servirle con la mayoría de los desafíos.

See https://github.com/dkmcgrath/Tools-and-Tips/blob/main/windows_and_mac.md for details on how to install useful Linux tools on both macOS and Windows machines.

Póngase en contacto con nosotros

Aunque puede resultarnos difícil, haremos todo lo posible por responder a los mensajes de correo electrónico. Escríbanos a la dirección que se incluye más adelante, por ejemplo, si tiene problemas con la infraestructura o detecta errores en los desafíos o al enviar alguna bandera. Seguramente no podamos responder a preguntas generales relacionadas con la resolución de los desafíos. También puede contactar con nosotros directamente a través de Discord.

Discord: https://discord.gg/JuSxfRm3uc

Correo electrónico: atrhax@trellix.com

¿Cuánto sabe del equipo de investigación líder del sector de Trellix?

ATR es un equipo de investigadores de seguridad que lleva a cabo estudios de primera línea sobre vulnerabilidad y malware, simulación de ataques, inteligencia operativa, etc. Visite el sitio web de ATR para obtener más información sobre el equipo y algunas de sus investigaciones más destacadas.

Declaración general de exención de responsabilidad

Al participar en el concurso, usted acepta respetar las Normas oficiales y exime a Trellix y a sus empleados, así como a la organización anfitriona, de cualquier responsabilidad, reclamación o acción de cualquier tipo por lesiones personales o daños o pérdidas materiales que puedan derivarse del concurso. Usted reconoce y acepta que Trellix y otros no son responsables de los fallos técnicos, de hardware o de software, ni de otros errores o problemas que puedan ocurrir en relación con el concurso. Al participar nos permite hacer público su nombre. La recopilación y el uso de la información personal de los participantes se regirá por el Aviso de privacidad.