El mundo del hacking y la ciberseguridad siempre me ha parecido fascinante, parte de mi trabajo como Sysadmin ha sido proteger a mis servidores de los innumerables ataques que se reciben todos los días. Sin embargo, mucha gente tiene una idea bastante errada de lo que es ser un hacker, siempre se asocia la palabra hacker con algo negativo por culpa de la prensa. En la escena hacker siempre rechazan esto y prefieren usar términos como cracker o blackhat para referirse a aquellas personas que utilizan sus habilidades informáticas para obtener algun beneficio (usualmente económico) o fastidiar a otros.
Si te interesa el mundo de la ciberseguridad hoy tienes innumerables herramientas para empezar, ser hacker no se reduce a bajarse Kali Linux o Parrot y usar Metasploit, hay mucho más allá, si quieres aprender de hacking en serio lo ideal es que construyas tus propias herramientas o que entiendas bien que hace cada herramienta que vas a usar.
Una buena forma de iniciarse es aprender y dominar lo mejor que puedas un sistema operativo, yo te recomiendo Linux pero honestamente puede ser cualquiera. En este post lo que haré es recomendarte algunos sitios que te ayudaran a probar tus habilidades yendo desde lo más simple hasta lo más sofisticado. Lo mejor de todo es que todo es absolutamente legal, no te meterás en problemas.
Los hacking games son como su nombre indica juegos que retaran tus conocimientos, el objetivo de todos estos juegos es conseguir acceso a otras computadoras aprovechandose de algun fallo o vulnerabilidad, una vez dentro existen muchas posibilidades, normalmente el objetivo es encontrar una clave escondida dentro de un archivo que solo podrás leer si consigues acceso como root/admin y esa clave te permitirá avanzar hacia el siguiente nivel.
Lo genial es que podrás probar todo esto escenarios bastante realistas en ambientes controlados, no vas a malograr nada y no tendras al FBI pateando la puerta de tu casa para arrestarte 😉
Vamos con la lista:
-
Over the Wire – Wargames: Esta es mi recomendación para los novatos, es una colección de juegos que van desde lo realmente sencillo hasta lo más complicado, de hecho el primero juego que recomiendo es Bandit porque es realmente muy fácil y entretenido, los primeros niveles del juego básicamente sirve para repasar el uso de comandos básicos de un sistema Linux, si no puedes con estos comandos entonces aún no estas preparado para el hacking, pero no te desanimes, cada nivel te dice que comandos puedes utilizar para resolver el problema e incluso te recomienda material de lectura para que aprendas como solucionar el reto.
La mecánica de Bandit es muy simple, te conectarás por ssh a un servidor con el usuario bandit0 para el nivel0, cuando estes dentro tienes que descubrir un password que servirá para el siguiente nivel, eso quiere decir que cuando descubras el password lo usarás para volver a conectarte pero esta vez con el usuario bandit1, en ese nuevo ambiente habrá otro password que servirá para conectarte con el usuario bandit2 y asi sucesivamente. Es realmente divertido y los primeros niveles son realmente sencillos.
Cuando superes Bandit podrás continuar con el resto de Wargames, hay un orden sugerido que representa el grado de dificultad, vas a pasar un buen rato terminando estos juegos pero aprenderás o reforzarás tus conocimientos de una forma divertida.
-
Try2Hack: Este es uno de los hacking gaming mas antiguos que conozco y que permanece en actividad, los primeros niveles son fáciles y basta con revisar el código fuente para ir descubriendo como solucionarlos, pero a medida que avanzas las cosas se van poniendo difíciles. Para avanzar tienes que descubrir los passwords y los URLs del siguiente nivel.
-
Hack This Site: Al igual que sus predecesores este sitio también tienen retos que van desde los muy sencillos hasta los más complicados, para poder acceder a los retos tienes que registrarte. La mécanica es muy parecida a Try2Hack pero una vez que superas los retos iniciales tienes la posibilidad de acceder a retos mas desafientes y especializados, asi por ejemplo hay retos específicos para apps, otras para programación, otros de sólo Javascript. Está muy bueno y tiene una comunidad bastante activa que puede ayudarte si te quedas atorado en algún reto.
-
Vulnhub: Aquí las cosas se van poniendo mas serias, VulnHub ofrece máquinas virtuales (virtual machines o VMs) que tienen vulnerabilidades y que tú debes descubrir por tu cuenta. Para poder empezar tienes que usar un software de virtualización como Virtualbox o VMware player que son gratis y que te permitirán instalar estas VMs y practicar en un ambiente controlado y que se asemeja totalmente al mundo real.
Una vez que tengas tu software de virtualización puedes descargar las imágenes de las VMs y empezar a practicar, este es uno de los sitios recomendados por la gente que se dedica a la seguridad en serio, yo he tenido oportunidad de probar un par de VMs de las consideradas sencillas y realmente no lo fueron para mi.
-
Hack the Box : Este es el sitio que descubrí hace poco y donde recién hace muy poquito me animé a crearme un usuario, a pesar de ser totalmente nuevo y haber probado sólo un par de desafios tengo que decir que es mi sitio favorito para poner en práctica técnicas de pentesting. Hack The Box es un portal que te permite conectar a través de una conexión VPN a una red donde encontrarás otras computadoras que debes atacar, cuando logres el acceso tendrás que escalar privilegios y cuando seas root/admin encontrarás un flag que es una cadena de texto que sirve para demostrar que logrates el objetivo, este cadena la registras en tu perfil y vas sumando puntos.
Eso quiere decir que hay una competencia y se asemeja muchísimo a cualquier videojuego, la competencia es durísima y cada cierto tiempo se ponen a disposición nuevas máquinas para ser vulneradas, puedes formar equipos y obtener más puntos por ser los primeros en encontrar el flag de cada máquina nueva. A medida que pasa el tiempo las máquinas antiguas quedan archivadas y ya no son accesibles a menos que pagues por un acceso VIP que te da como beneficio el acceso a todas las máquinas entre otras cosas.
En las próximas semanas voy a dedicar unas cuantas horas a resolver como ingresar a algunas máquinas disponibles de forma gratuita y quizás me anime a comentar mis experiencias 😉
Hay muchos lugares más donde se puede practicar, pero algunos son de pago o simplemente no los conozco, espero les sea de utilidad y me comenten si conocen sitios similares que puedan recomendar. Happy Hacking 🙂