CTF-BR!

    Retrospectiva CTF-BR 2015

    Archive

    Categorias

    Posts recentes

    Tags

    batalha brasil bsides campus party capture capture the flag clavis competition competição competições ctf ctf-br ctftime elt epic leet team evento exploitation flag garoa hackaflag hacking hacking n' roll hall of fame informação infosec introdutório networking palestra palestras premiação projeto pwn2win raimund genes cup reversing roadsec segurança segurança da informação snes tecland trend micro universidade university web web hacking write-up

    Álisson Bertochi

    Como todo Projeto que se preze, não poderíamos terminar o ano sem uma retrospectiva de todas nossas conquistas no cenário em 2015!

    Índice

    “No princípio, não havia a flag…” – Aborda um pouco da nossa história e trajetória até aqui.

    E os resultados vieram… – Falaremos sobre nossos resultados e estatísticas.

    As Estatísticas estão aí pra provar – Algumas estatísticas referentes à Palestras e CTFs University.

    E as Estatísticas “implícitas” também – Pontos que só podem ser vistos pelo ‘core‘ do Projeto.

    O que esperamos para 2016? – Nossos objetivos para 2016.

    O que já temos para 2016? – O que já temos garantido para o próximo ano.

    Futuro – Propostas ambiciosas que temos para um futuro próximo.

    Conclusão

    “No princípio, não havia a flag…”

    O principal objetivo do Projeto CTF-BR, desde que começou, é disseminar a cultura do Maravilhoso Mundo das Competições Capture the Flag no Brasil, tornando-as tão populares quanto as Maratonas de Programação (veja o Sobre). De fato, os CTFs são competições mais multidisciplinares do que as Maratonas, pois envolvem muitas outras competências dos players, algo que vai muito além de puramente programação e lógica. Para conseguir competir, seu time precisa saber “pensar fora da caixa”, ter conhecimentos de programação, sistemas operacionais, criptografia, web hacking, arquitetura de computadores, assembly, etc. Tendo em vista os benefícios que toda essa multidisciplinaridade possibilita aos players, que normalmente são estudantes, entusiastas e profissionais de infosec, e levando em consideração a baixíssima popularidade desse tipo de competição no Brasil, resolvemos criar o Projeto em novembro de 2014, com todos interessados, após as competições brasileiras do Pwn2Win CTF 2014 e 4º Hacking n’ Roll, quando todos estavam empolgados e com “sede de mais”. Uma das grandes vantagens dos CTFs em relação à Maratonas, além da heterogeneidade, é que as competições são abertas ao público, possibilitando que qualquer interessado possa participar gratuitamente, sem burocracia, e competir com os melhores do mundo.

    Ainda em novembro de 2014, com uma semana de Projeto no ar, fomos procurados pelo Eduardo Hennemann de Oliveira, que teve seu primeiro contato com CTFs através do Pwn2Win, jogando pelo time Bahwned, e estava interessado em levar uma competição iniciante para sua Universidade, a Unisinos de São Leopoldo. A princípio iríamos fazer somente um CTF para eles, utilizando a plataforma do Pwn2Win e com a ideia inicial de proporcionarmos 6 desafios iniciantes e 6 mais avançados. Através da nossa lista de e-mails, levantamos os interessados em ajudar na criação de challenges, e os desafios foram criados. Com os desafios prontos, surgiu a ideia da criação do CTF-BR University, visando proporcionar a qualquer Instituição de Ensino uma competição entry-level. Infelizmente, devido à burocracias internas, o CTF ainda não ocorreu na Unisinos, mas o pontapé foi dado, e muitos outros eventos foram realizados pelo Brasil. Além de Instituições de Ensino, fomos convidados pelo Anchises para realizarmos os CTFs da BSides SP, então decidimos expandir os CTFs University para eventos de infosec também, afinal, o que é um evento de segurança sem CTF?

    Nesse mesmo ritmo, criamos o “Kit do Palestrante” e disponibilizamos no GitHub, onde qualquer membro do Projeto ou demais interessados podem palestrar sobre o CTF-BR e as competições em geral. Com isso, chegamos a diversos Eventos e Universidades pelo Brasil, e sempre fomos muito bem recebidos pelo público, principalmente pela galera que curte um bom desafio!

    E os resultados vieram…

    Com muito trabalho, muitos sábados e domingos gerenciando online e simultaneamente in loco (com algum representante da região) competições pelo Brasil, muitos membros ministrando palestras nos mais diversos eventos, como Latinoware, BSides SP, Roadsec, entre muitos outros, as estatísticas abaixo não nos deixam mentir sobre o sucesso do Projeto!

    As Estatísticas estão aí pra provar:

    Palestras

    Palestras ministradas: 14

    Cidades atingidas: Chapecó/SC, Erechim/RS, Recife/PE, Florianópolis/SC, João Pessoa/PB, Foz do Iguaçu/PR, São Paulo/SP, São Caetano do Sul/SP e Salvador/BA;

    Membros do Projeto que palestraram: Álisson Bertochi, Anderson Tomkelski, Bruno Ventura, Caio Lüders, Douglas Arruda, Éderson Szlachta, Fernando Pinheiro, Wagner Barongello e Rafael Trassi;

    CTFs University

    Competições realizadas: 8

    Cidades atingidas: São Paulo/SP, João Pessoa/PB, Natal/RN, São José dos Campos/SP, São Caetano do Sul/SP e Campinas/SP;

    Membros que gerenciaram competições in loco: Leonardo Amaral e Caio Lüders.

    Membros que ajudaram na criação de challenges: Álisson Bertochi, Bernardo Rodrigues, Bruno Ventura, Caio Lüders, Gilson Camelo, Paulo Matias, Ricardo Silva e Pedro Araujo;

    Média de challenges resolvidos por edição: 6/12

    Número aproximado de inscritos únicos: 200

    E as Estatísticas “implícitas” também:

    Muitas coisas só podem ser vistas por quem está acompanhando de perto o Projeto. Uma delas é que estamos conseguindo suprir a deficiência em torno de informações sobre esse tipo de competições, seja pelas Palestras, pelos bate papos presenciais nos eventos e no IRC (sim, ele ainda vive e é fantástico, nos visite!), pelos Docs que estamos linkando, pelos próprios CTFs University, etc. Essa primeira carência está sendo suprida muito bem, fazendo com que todos os interessados tenham de fato acesso à informação e possam ser norteados quando quiserem começar a competir.

    Fruto desse acesso à informação e primeiro contato com competições que estamos proporcionando, podemos ver a formação de novos times, como o 0wnz, que surgiu após uma competição que realizamos no Instituto Alpha Lumen, e é formado por alunos muito jovens (menores de idade), do RTFM, que foi formado esse ano e até já encabeçou uma competição na Fatec São Caetano do Sul, em nome do CTF-BR, utilizando nossa plataforma, entre outros times que surgem nos CTFs internacionais que jogamos, e temos certeza que o Projeto influenciou direta ou indiretamente seus aparecimentos.

    Além disso, visando conseguir melhores resultados em competições internacionais, formamos o CTF-BR Team, que é uma reunião de todos players brasileiros, e já alcançamos resultados interessantes, como a 23ª colocação nas qualificatórias do ASIS CTF.

    Nossa participação como Comunidade no evento de encerramento do Roadsec, em São Paulo, nos possibilitou um contato direto com nosso público alvo, e através dos bate papos que rolaram, conseguimos ter vários insights de coisas que podemos trabalhar em 2016.

    O que esperamos para 2016?

    Muito já foi realizado, ficamos surpreso com nossa evolução neste ano, mas ainda é só o começo! Temos muito trabalho pela frente, e como o Projeto é feito da comunidade para a comunidade, você também pode participar. Veja aqui as principais formas de contribuir conosco. Em especial, para 2016, buscamos:

    Patrocínios:

    Atualmente, tudo no Projeto está sendo bancado pelos próprios membros. Para 2016, esperamos conseguir alguns patrocinadores, empresas que realmente vejam a importância dos CTFs para a formação intelectual dos profissionais e estudantes participantes, e abrace a ideia conosco, colaborando financeiramente.

    Estimular a criação de Times Universitários:

    Um dos nossos grandes objetivos para o próximo ano é estimular as Universidades a investir nessas competições da mesma forma que investem nas Maratonas de Programação. Boa parte dos melhores times do mundo são Universitários, como o PPP (Carnegie Mellon University), Shellphish (UC Santa Barbara and Northeastern University), 0ops (Shanghai Jiao Tong University), dcua (Kyiv Polytechnic Institute), 217 (National Taiwan University), entre outros. Do Top 10 atual do CTFTime, 6 times são Universitários. No Brasil não temos nenhum ainda… Mas em 2016 esperamos começar a mudar esta realidade.

    Terminar a Plataforma Multi-CTFs:

    Estamos trabalhando em uma nova Plataforma para os eventos, uma que será Multi-CTFs, comportando vários simultaneamente, e que irá salvar um histórico de todas competições que realizarmos (e já realizamos), com ranking, trend (performance das equipes/players), etc. Neste ano a plataforma antiga do Pwn2Win ainda quebrou o galho, mas como ela é “Single CTF”, acabamos tendo muito mais trabalho do que gostaríamos para realizarmos as competições (cadastro manual de players, migração constante de BD, desativação manual de sessões…).

    Mapear os players e interessados:

    Começamos nesse mês de dezembro mapear os players brasileiros ativos e os interessados em arranjar um time para jogar. Você pode participar do mapeamento através deste link do Google Forms. Em 2016, esperamos que todos interessados já estejam encaminhados em uma equipe.

    O que já temos para 2016?

    Abaixo, o que já está garantido para o ano novo.

    Participação na Campus Party:

    Teremos muitos membros na Campus Party 2016, e esperamos fazer um bom movimento por lá. Estaremos juntos com o Dumont Hackerspace, e pretendemos fazer algumas atividades pra movimentar os interessados presentes.

    Pwn2Win CTF 2016:

    Em março de 2016 entraremos de fato no cenário internacional de CTFs, com o Pwn2Win CTF 2016. Será uma competição realizada novamente pelo TecLand Group em parceria com o Epic Leet Team, sendo a primeira brasileira a figurar no CTFTime e com 48 horas consecutivas de duração. A premiação está bastante interessante, em bitcoins, e os challenges prometem ser de altíssimo nível técnico, além de serem de uma grande variedade, com mais categorias do que costumamos ver nos CTFs por aí, como física forense, eletrônica e matemática. Para engajar os players de Maratonas também, o evento contará com problemas de programming convertidos para o formato tradicional que rolam nos CTFs (nc host port). Será o evento que nos consolidará em grande estilo no “mundo adulto” dos CTFs, por isso precisamos da ajuda de todos para divulgá-lo pelo Brasil, principalmente nas Universidades! Para maiores informações, acessem o site do evento, e fiquem ligados, pois as inscrições devem abrir muito em breve!

    Propostas para o futuro:

    Quando a cena brasileira estiver mais madura, temos a ideia de fazer nosso próprio Flag Awards, aos moldes do Golden Flag Awards, que premia os melhores CTFs, melhores challenges de cada categoria, challenges mais difíceis, melhores tools criadas e lançadas pelos times, etc. Também pretendemos ajudar no esforço global de transformar os CTFs em e-Sports propriamente dito, como a proposta do Live CTF. Além disso, sonhando mais alto ainda, pretendemos ter nosso próprio “CTFTime”, mantendo um ranking só de equipes brasileiras, como os chineses fazem através do XCTF-Time. São propostas ambiciosas que sairão do papel se todos colaborarem e se engajarem realmente com o Projeto.

    Conclusão

    Como falamos anteriormente, o Projeto é feito pela comunidade para a comunidade, e sem a dedicação de muitas pessoas que estão despendendo de seu tempo para isso, nada disso estaria acontecendo e nenhum fruto estaria sendo colhido hoje. Uma pequena lista dos ‘culpados’ pelo Projeto pode ser vista aqui, e deixamos aqui nosso muito obrigado a cada um deles!

    Não esqueçam de nos seguir nas redes sociais pra ficarem ligados nas novidades: Twitter, Facebook e Reddit. Para um bate papo em tempo real, nos encontrem no IRC (#ctf-br @ irc.freenode.net).

    Avante CTF-BR, 2016 promete ser intenso! \o/

    , , , , , , , , ,

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *