CTF-BR!

    Retrospectiva CTF-BR 2016

    Archive

    Categorias

    Posts recentes

    Tags

    batalha brasil bsides campus party capture capture the flag clavis competition competição competições ctf ctf-br ctftime elt epic leet team evento exploitation flag garoa hackaflag hacking hacking n' roll hall of fame informação infosec introdutório networking palestra palestras premiação projeto pwn2win raimund genes cup reversing roadsec segurança segurança da informação snes tecland trend micro universidade university web web hacking write-up

    Álisson Bertochi

    Nada melhor que o último dia do ano pra falarmos da nossa evolução e conquistas de 2016!

    Começo agitado…

    Começamos o ano participando da Campus Party, em parceria com o Dumont Hackerspace, através da utilização do espaço deles, e também da Clavis, que nos proporcionou a viagem. Foram alguns dias bem intensos, onde além de “evangelizarmos” o pessoal interessado e aproveitarmos pra fazer a divulgação do Pwn2Win 2016, que aconteceria em março, também deixamos três competições rolando. Uma delas era a Etapa de Ataque do Pwn2Win 2014, que só dois times tinham resolvido durante as 24 horas do CTF. Durante a Campus Party, o time RTFM também conseguiu resolvê-la. A outra competição foi baseada no ADCTF, que ocorreu no final de 2014, e liberava um challenge por dia em um horário predeterminado. Nosso chall era lançado todos os dias às 23h59. E também deixamos rodando um evento chamado “Free to play”, com alguns desafios do RTFM pra galera brincar.

    Abaixo seguem algumas estatísticas dos challenges do “1day_1chall”:

     

    Mais informações podem ser vistas nesse post.

    Pwn2Win 2016

    O Pwn2Win, que ocorreu em março, foi o evento para lançar o CTF-BR com força para o mundo. Através da organização do ELT, mostramos para os gringos que conseguimos fazer challenges de qualidade, e os times poloneses (p4 e Dragon Sector) nos mostraram como resolvê-los de forma maestral. Dragon Sector, após o término do evento, conseguiu resolver a Etapa de Ataque, que possivelmente foi um dos challs mais complexos do ano no cenário.

    Felizmente, conseguimos alguns patrocínios, inclusive de empresas e pessoas que não quiseram nenhuma identificação, e por isso não foi necessário tirarmos do próprio bolso, como em 2014. Isso mostra um amadurecimento do pensamento em relação às competições. CTFs são a melhor maneira pra se descobrir talentos, e as empresas estão percebendo isso.

    Um resumo de como foram os bastidores da criação, que durou 10 meses, pode ser visto aqui.

    Competições nacionais e Palestras a rodo

    Durante o ano, várias outras competições ocorreram, tanto organizadas pelo CTF-BR, como por outros times. Pra quem reclamava que não tínhamos muitos CTFs nacionais, esse ano foi realmente pra sanar a sede da galera!

    No âmbito do CTF-BR, podemos dar destaque a uma boa parceria com a Unisinos, onde realizamos uma palestra remota para os alunos e 2 CTFs University, um na Universidade, e outro durante a ERRC (Escola Regional de Redes de Computadores), os últimos gratuitos, antes de passarmos a responsabilidade para o Epic Leet Team, como pode ser visto neste post.

    Durante o ano, foram ministradas 15 palestras por membros do Projeto em todo o Brasil e até na Argentina, e a lista completa pode ser vista aqui.

    A competições pipocaram por todo o canto! O ELT fez os CTFs da BSides LATAM e 13º BSides em São Paulo, o RTFM fez competições na Cryptorave (SP e online), AndSec (Pré-CTF online e CTF in loco em Buenos Aires), Latinoware (Foz do Iguaçu e online) e H2HC (SP e online), e o 318br fez o 3DSCTF, outra competição de nível internacional que falaremos no final do post.

    Ascensão brasileira no CTFTime

    Terminamos o ano com 32 times brasileiros no CTFTime, 19 a mais do que em 2015, sem contar o TheGoonies, que não consta como BR pois tem alguns gringos na line-up. Com certeza esse crescimento é reflexo direto do trabalho que estamos fazendo.

    Em termos de pontuação, terminamos com o TheGoonies em 51º e o ELT em 54º, uma batalha realmente apertada, que foi definida no último CTF do ano, o grandioso 33C3, feito pelo Eat Sleep Pwn Repeat para o Chaos Communication Congress. Em comparação com os resultados do ano passado, o crescimento é palpável. Finalmente temos times realmente competitivos internacionalmente!

    Ranking interno

    Visando movimentar e estimular o crescimento dos players brasileiros e membros do Projeto, resolvemos criar um ranking onde cada semana alguém deve lançar um desafio, seguindo uma agenda com as datas predefinidas de cada um. Tivemos uma adesão de 28 membros, e o nível dos challs está realmente alto. Já rolou até challenge envolvendo um 0day quente! Após o término da temporada (quando fechar as 28 semanas), vamos fazer um post de fechamento com mais detalhes. Se alguma empresa se interessar em oferecer uma premiação para o primeiro colocado, será muito bem-vinda, basta entrar em contato!

    Canal no IRC bombando

    Nosso canal no IRC, principal meio de comunicação em realtime com a galera, realmente está bombando. Em 2016, chegamos a ter picos de mais de 40 usuários, algo fantástico nos dias de hoje, onde o protocolo está relativamente “esquecido” pela maioria. Nos faça uma visita também: #ctf-br @ freenode.

    Espaço comunidade no encerramento do Roadsec

    Pelo segundo ano consecutivo, estivemos com um espaço Comunidade no encerramento do Roadsec em São Paulo, em novembro. O evento, que contou com mais de 1500 participantes, é sempre um ótimo lugar para nos aproximarmos da galera que têm dúvidas sobre as competições. Esse ano, também preparamos alguns desafios iniciantes pra todos que tinham vontade de aprender na prática como os CTFs funcionam. O feedback da nossa participação foi bem positivo.

    Grande empresa na jogada

    Ficamos muito felizes em saber que o Itaú começou a patrocinar o Hackaflag. Com certeza é mais um grandioso passo para que os CTFs continuem crescendo exponencialmente no Brasil. Esperamos ver cada vez mais empresas desse calibre vendo as competições da forma que a gente vê! 🙂

    3DSCTF

    Em dezembro, pra quem achou que o movimento já tinha acabado, surgiu o 3DSCTF (The 318br, DESEC, and SucuriHC Capture The Flag). Uma proposta ambiciosa de um CTF de longa duração (7 dias) antes do Natal (17 a 24 de dezembro). O pessoal do 318br ficou sabendo que o CTF entraria no CTFTime com pouquíssima antecedência (pois o admin as vezes demora pra aprovar), e literalmente tiveram que se virar nos 30. Mas o resultado desse incrível CTF feito em apenas duas semanas foi surpreendente e superou as expectativas de todos, com a participação de vários Top Teams, como p4, LC/BC, 0daysober, entre outros. Teve challenge pra todos os níveis, comportando todos os públicos, e com certeza foi a porta de entrada pra vários times brasileiros no mundo dos CTFs. Um grande trabalho que nos mostra que com vontade e determinação, tudo é possível! Valeu #318br!

    Planos para 2017

    Estamos pensando em uma plataforma inovadora, que utilize infraestrutura pública e seja realmente segura, evitando qualquer possibilidade de comprometimento das flags. Com isso, resolveríamos dois grandes problemas dos organizadores de CTFs, que é a segurança e estabilidade da plataforma do game, além de deixá-la abertamente auditável. Pretendemos submeter um artigo científico para um grande evento em fevereiro, explicando seus detalhes.

    Um desejo pessoal é ver a quinta edição do Hacking n’ Roll, que não ocorreu esse ano. Esse evento foi pioneiro nas competições Jeopardy de longa duração no Brasil, e provavelmente o principal responsável por estarmos aqui hoje. Vamos dar todo apoio necessário para os membros remanescentes do INSERT que estão trabalhando nisso. Vida longa ao Hacking n’ Roll!

    Conclusão

    2016 com certeza foi o ano em que os CTFs estouraram no Brasil! Nosso trabalho está trazendo muitos frutos, e a cultura está sendo disseminada na velocidade da luz!

    Com certeza 2017 promete grandes conquistas, e todos estão convidados a participar escrevendo essa história conosco.

    AVANTE CTF-BR!

     

    , ,
    , , , , , , ,

    Deixe um comentário

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *