4 puntos por GN⁺ 2023-08-28 | 1 comentarios | Compartir por WhatsApp
  • Los Wargames de OverTheWire son un espacio de aprendizaje para practicar Unix/Linux, seguridad web, criptografía e ingeniería inversa abordando conceptos de seguridad como si fueran un juego
  • Al principio puedes aprender las bases con Bandit y luego continuar con Natas, Krypton o Leviathan según el área que más te interese
  • Después se avanza a Narnia, Behemoth, Utumno y Maze, donde aumenta la dificultad en explotación binaria e ingeniería inversa
  • La descripción detallada y la información de acceso de cada wargame deben consultarse en la página individual de cada juego en el menú de la izquierda
  • Los juegos basados en shell usan distintos puertos SSH, así que es importante revisar las indicaciones de la página de cada juego antes de conectarte

Aprender seguridad jugando

  • La comunidad de OverTheWire opera wargames para practicar conceptos de seguridad de forma directa
  • Las reglas detalladas y la información de cada wargame pueden consultarse en la página correspondiente enlazada en el menú de la izquierda
  • Si tienes problemas, preguntas o sugerencias, puedes participar en el chat

Orden recomendado y forma de acceso

  • El punto de inicio es Bandit, un juego de introducción que cubre fundamentos de Unix/Linux
  • Después de aprender las bases, puedes continuar con uno de los siguientes juegos según tu interés
    • Natas: seguridad web
    • Krypton: criptografía
    • Leviathan: ingeniería inversa
  • En la siguiente etapa sube la dificultad con juegos centrados en explotación binaria e ingeniería inversa
    • Narnia: introducción a la explotación binaria e ingeniería inversa
    • Behemoth, Utumno, Maze: explotación binaria e ingeniería inversa
  • Los juegos basados en shell usan diferentes puertos SSH
    • La forma de conectarte por SSH se indica en la parte superior izquierda de la página de cada juego

1 comentarios

 
GN⁺ 2023-08-28
Opiniones en Hacker News
  • Materiales que vale la pena ver en conjunto:
    https://linuxsurvival.com/
    https://old.reddit.com/r/linuxupskillchallenge/
    https://github.com/learnbyexample/TUI-apps — material que hice yo, con prácticas interactivas de grep, sed, awk y otros

  • No se puede hablar de OTW sin mencionar smash the stack
    Lo mejor de estas comunidades eran los canales de IRC que las acompañaban, pero hoy la mayoría están muertos
    Había gente conocida como Jduck y spender, y si podías aguantar el ambiente rudo, podías aprender de los mejores
    Ahora esa escena está casi en estado zombi; los juegos en general están actualizados, pero ya no tienen la misma energía de antes

    • Me da curiosidad qué significa eso de “si podías aguantar el ambiente rudo, podías aprender de los mejores”
      Supongo que habría el típico tono áspero o elitismo, pero no lo sé bien
    • Me pregunto si hoy existe alguna comunidad moderna en el mismo campo con un espíritu y ambiente parecidos
    • Fue divertido hasta que llegué a los desafíos de esteganografía
      Incluso hoy sigo evitando la esteganografía en los CTF
  • Artículos relacionados:
    Wargames can help you to learn and practice security concepts through games - https://news.ycombinator.com/item?id=29724594 - diciembre de 2021, 26 comentarios
    The Bandit Wargame - https://news.ycombinator.com/item?id=29708304 - diciembre de 2021, 1 comentario
    OverTheWire: Wargames to learn and practice security concepts - https://news.ycombinator.com/item?id=16252873 - enero de 2018, 23 comentarios
    Wargames - https://news.ycombinator.com/item?id=9878302 - julio de 2015, 17 comentarios

  • Hace poco terminé un programa de certificado de posgrado en ciberseguridad, y buena parte del inicio de la práctica era simplemente seguir OTW y completar algunas lecciones
    Es un material excelente y, si lo hubiera conocido antes, quizá no habría pagado tanto por el programa y solo habría hecho las prácticas de OTW

    • Por pura curiosidad, me pregunto si completaste todo OTW
      También me interesa saber cuánto sentiste que te ayudó en el programa
      Ya estoy aprendiendo mucho solo con los ejercicios de Bandit, y tengo entendido que eso es para principiantes, así que terminarlo todo debe ser bastante interesante
    • Eso al final parece mostrar una debilidad de los programas de certificado de nivel posgrado
      OTW y sus materiales son excelentes, pero siguen estando bastante cerca del nivel introductorio
  • Materiales educativos relativamente nuevos con una buena curva de aprendizaje:
    https://pwn.college/
    https://dreamhack.io
    https://guyinatuxedo.github.io
    https://www.picoctf.org/

  • Estuve más o menos cerca cuando estos grupos estaban en sus inicios, y es genial ver que la mayoría de los chicos que manejaban sitios como hackr.org, darkdevelopments.com y ssgroup.org en los 2000 ahora están activos intentando crear buenos entornos para que otras personas aprendan
    Hackthissite y websec.fr también son excelentes recursos creados por gente de esa misma línea

  • Agrego también un clásico absoluto, al menos para mí:
    https://www.hackthissite.org/

    • Antes trabajé ahí como desarrollador
      HTS fue lo que me metió en la informática
  • Algo parecido para PowerShell:
    https://underthewire.tech/wargames

  • Recuerdo que, después de completar cada nivel, podías dejar tu nombre y una frase en un archivo .txt dentro del sistema de archivos
    Normalmente era algo del estilo “Kilroy was here”, pero para un adolescente, solo agregarse ahí ya te hacía sentir como un hacker 1337, y motivaba bastante
    https://microcorruption.com también vale la pena
    No requiere conocimientos específicos de Linux y te mete directamente en ensamblador MSP430; es una introducción pequeña y buena a la explotación de binarios y sistemas embebidos

  • Por casualidad, acabo de encontrar el código fuente perdido de un desafío de ingeniería inversa de binarios que escribí en 2010
    Recomiendo compilarlo sin mirarlo antes
    Usa la rama “modern” y sigue las instrucciones del README para el parche de bomb.c
    https://github.com/RPISEC/csci-4971-bomb

    • Fue un ejercicio buenísimo cuando estaba empezando
      Gracias por diseñarlo