Wargames

Wargames: Hacking Challenges

“Juegos de guerra” es la traducción literal. Detrás de esta vaga traducción se esconde todo un mundo que hará las delicias de cualquier aficionado al hacking. La idea de aprender jugando no es nueva pero dada la naturaleza a veces ilegal de este arte que es el hack y la sana rivalidad que suele existir entre distintos hackers, cobra un especial interés este tipo de juegos donde la gente pueda poner a prueba su ingenio y habilidades técnicas de un modo seguro, competitivo y totalmente legal.También se les suele llamar “challenges” (retos o desafíos, en castellano) y hay de diferentes tipos. Los más serios y difíciles (a veces imposibles) ofrecen premios de gran cuantía y en muchos casos nadie consigue resolver el reto. Suelen ser ofrecidos por empresas que quieren poner a prueba sus productos o beneficiarse de la publicidad que pueda suponer “un producto que nadie ha podido hackear o romper”.

Hace un tiempo la empresa Meganet ofrecía todo un Ferrari al que consiguiera romper un cierto cifrado que ellos idearon y al que se referían como “encriptación de matriz virtual” (“virtual matrix encryption”); nadie consiguió romperlo aunque esto no implica la robustez del mismo (en este caso no se daban los suficientes datos como para que  alguien pudiera realizar una buena labor de criptoanálisis sobre el cifrado). Antes de eso la empresa Argus Systems ofreció $50000 al que consiguiera romper la seguridad de uno de sus productos (Pitbull). En este caso el grupo LSD se llevó la palma y resultó ganador al aprovechar una vulnerabilidad en el kernel del sistema (Solaris x86).

Dentro de la modalidad anterior aunque con premios más austeros y una dificultad menor podemos encasillar a los concursos que lanzan algunas revistas del sector o los que se celebran en el seno de diferentes eventos de seguridad donde el objetivo suele ser penetrar en un sistema a toda costa, y donde (casi) todo vale.

Aunque quizás sea cuestión de terminología y es algo un tanto subjetivo, a mí me gusta diferenciar entre los dos casos anteriores, y un tercer y último caso, que es a lo que denominaremos “wargame” propiamente dicho y que será el núcleo de este artículo. Estos últimos son juegos que gozan de unas ciertas características que lo diferencian de un simple concurso o de un reto como el de Argus. Para empezar, se componen de diferentes niveles (o pequeños retos) independientes pero que deben ser superados en orden secuencial (normalmente) y donde la dificultad crece a medida que aumentamos de nivel. No se permite usar fuerza bruta (salvo en pruebas cuyo objetivo es precisamente ejercitar este tipo de técnica, como por ejemplo, al crackear un archivo de contraseñas) ni hackear el servidor que alberga el wargame; normalmente cada nivel es diseñado teniendo en mente una o varias formas bien definidas de ser superado, que son las que el participante deberá encontrar. No suele haber premios (o si los hay serán muy pequeños, incluso simbólicos) aparte de la propia satisfacción personal por haber conseguido superar las distintas pruebas y llegar hasta el final. Están enfocados a aprender; en muchos casos, la propia web del wargame ofrece tutoriales o enlaces hacia diversas fuentes que ayudarán a resolver cada una de las pruebas. También suele haber disponible uno o varios foros donde los distintos participantes pueden intercambiar ideas e incluso ayudarse unos a otros (aunque no se permite que la gente revele soluciones directas ni pistas demasiado explícitas ya que rompería la tónica del juego).

Por último, suele haber tablas de clasificación (“Hall of Fame”) donde podemos ver en qué nivel se encuentra cada participante o incluso la fecha en que éste supero cada uno de los niveles. Es un aliciente más el intentar ser el mejor o simplemente superar a otro amigo que esté participando en un mismo juego.

Los primeros pasos

Participar en un wargame es tan simple como rellenar un pequeño formulario de registro donde al menos se te pide un nombre de usuario, para diferenciarte del resto de compañeros, y una clave que nos autentifique convenientemente. También se suele pedir una dirección de e-mail aunque esto no es estrictamente necesario. A partir de ahí nuestra cuenta es creada y cada vez que vayamos a jugar debemos validarnos ante una ventana de login (a no ser que nuestro navegador posea alguna cookie persistente u otra funcionalidad que haga este trabajo por nosotros de forma transparente).

Dependiendo del juego una vez hecho el login estaremos ante un menú o página web que nos dará acceso a las distinas funcionalidades disponibles como el foro, consultar las tablas de clasificación o simplemente empezar a jugar en el primer nivel. En este último caso es posible que se nos muestre una pequeña información explicando el objetivo de dicho nivel o algo que nos oriente para que sepamos en qué consiste el mismo. En muchos casos no existe esta orientación y tendremos que valernos del sentido común, astucia, recurrir al código fuente de la página o simplemente fijarnos en algún detalle de la misma. No todo es técnica pura y dura; también se trata de que el participante tenga los ojos bien abiertos y sepa extraer información de donde aparentemente no la hay.

Eligiendo el wargame adecuado

Para comprender el funcionamiento de un wargame lo mejor es verlo con nuestros propios ojos y probarlo: apuntarnos a uno de ellos. Existe un gran abanico de juegos disponibles en la red, unos más sofisticados que otros, unos más famosos y conocidos, y otros que no lo son tanto. Más reales o al contrario más “fantásticos”. Algunos están orientados a un sistema operativo en particular. Otros hacen hincapié en aspectos de programación, mientras que el resto son menos técnicos y más orientados al entretenimiento.

A no ser que dispongamos de todo el tiempo del mundo lo mejor es empezar apuntándose a alguno de los juegos “conocidos” dejándonos guiar por el criterio de amigos o conocidos que tengan experiencia en el tema (no hace falta que sean expertos pero al menos deben haber superado un número aceptable de niveles para tener una panorámica del juego en cuestión lo suficientemente amplia como para poder juzgar y opinar con conocimiento de causa).

Lo anterior es un extracto de un artículo publicado en la revista @rroba en el año 2002, escrito por un destacado personaje en este arte, RoMaNSoFt, dicho esto paso a presentarles un listado de algunos wargames, es muy recomendable participar en estos juegos, que por cierto cuando le tomen el gusto se darán cuenta de que son altamente adictivos, existen dos wargames a los cuales me gustaría destacar principalmente por que he pasado mucho tiempo en dichos wargames y me han gustado bastante, están en español y uno de ellos particularmente pues es un wargame peruano.

A continuación les presento un listado de wargames, para que puedan empezar a practicar y divertirse:

• Yashira: muy interesante wargame, con muchas categorías y retos de todos los niveles de dificultad, tu primer reto? regístrate! Idioma: español.
• World of Wargame [WoW]: World of Wargame contiene múltiples formas de lograr que el usuario aprenda de las diversas áreas de la informática. Contiene un innovador sistema de pistas. Idioma: español.
• WarZone de ElHacker.net: WarZone es un wargame que contiene una serie de pruebas con simulaciones de vulnerabilidades web, pruebas de ingeniería inversa, y criptografía, así como problemas de programación  y algoritmia. Idioma: español / inglés.
• Wargame Codebit.org: idioma: español.
• Wargame de Hispabyte: aún en beta, zona práctica de un sitio dedicado a la seguridad, informática y programación. Idioma: español.
• +Ma’s Reversing: wargame enfocado en la ingeniería reversa. Idioma: inglés.
• Astalavista: retos variados. Idioma: inglés.
• Black Zero: Este sitio ofrece 50 retos y diversas categorías para mostrar a los usuarios los distintos aspectos de la seguridad, también encontrará tutoriales. Idioma: inglés.
• CSTutoringCenter: ofrece distintos tipos de retos que pueden resolverse en cualquier lenguaje, encontrarás tutoriales de C++ y Java y brindan ayuda respecto a problemas de programación [C++ y Java]. Idioma: inglés.
• DareYourMind: Más de 180 retos sobre javascript, cracking, criptografía, retos reales, programación, hacking, etc. Idioma: inglés.
• Electrica: aquí encontrarán retos principalmente sobre ingeniería reversa, criptografía, matemáticas y esteganografía. Idioma: inglés.
• Hacker.org: el hacker explora la intersección del arte y la ciencia en una búsqueda insaciable por comprender y dar forma al mundo que lo rodea. Nosotros te guiamos en este viaje. Presenta retos basados en puzzles. Idioma: inglés.
• HackQuest: ofrece retos de todo tipo, relacionados con la computación, el sitio mantiene un registro del tiempo que toman a los usuarios superar un reto. Idioma: inglés.
• HackThisSite: este wargame se define como un entrenamiento seguro, gratuito y legal para hackers que quieran probar y ampliar sus habilidades. Idioma: inglés.
• hax.tor.hu: este es un wargame que pone énfasis en la enseñanza de la seguridad básica de una forma divertida. Los participantes tendran una cuenta shell gratuita y una cuenta de correo. Idioma: inglés.
• listbrain.tk: ofrece un total de 41 retos. Idioma: inglés.
• LOST-Chall: este es un wargame bastante particular ya que se encuentra basado en la serie de tv Lost y tiene retos de dificultad variada, además asegura que los que no sean fans de la serie también la pasarán bien. Idioma: inglés.
• Net-Force: wargame creado aproximadamente en el 2002, ofrece retos en 8 categorías y dificultades que van desde extremadamente fácil hasta muy difícil. Idioma: inglés.
• osix: este sitio ofrece retos de ingeniería reversa, brute forcing, esteganografía, manipulación de audio, puzzles matemáticos, criptografía y computación en general. Idioma: inglés.
• Rankk: en este wargame los retos están organizados de acuerdo al nivel de dificultad que presentan, dichos retos están basados en matemáticas, programación, criptología, esteganografía para hackear. Idioma: inglés.
• Rosecode: este sitio publica regularmente retos de programación basados en matemáticas, cada quien es libre de usar el lenguaje de programación de su preferencia, incluso algunso retos los puede resolver tan sólo con lápiz y papel. Idioma: inglés.
• thebackupbox: presenta una variedad de retos basados en shell. Idioma: inglés.
• TheBlackSheep: este wargame es de los más conocidos, ofrece retos de programación, javascript, php, java, esteganografía y criptografía, entre otros. Idioma: inglés.
• ThisIsLegal: wargame relativamente nuevo con más de 30 retos, tiene foro, videotutoriales y herramientas de hacking. Idioma: inglés.
• TryThis0ne: los tópicos principales de este wargame son el hacking, reversing y cifrado, entre otros… el concepto principal de este sitio es que los participantes no puedan superar los retos con sus propios conocimientos, sino que deban investigar sobre cierto bug y explotarlo. Idioma: inglés.
• WeChall: tiene como objetivo hacer un ranking global de los participantes en diversos wargames, se puso en marcha en enero del 2008. Idioma: inglés.
• Happy-Security: es un wargame alemán que entre sus diversas categorías posee retos basados en el IRC, además con cada reto se gana dinero virtual que puede usarse para comprar consejos para los demás retos o intercambiarlo con los demás usuarios. Idioma: alemán.
• MiBs Challenges: MiB es un wargame con más de 150 retos en 9 categorías, entre las que incluye matemáticas, criptografía, ciencias y muchas más. Posee variados niveles de dificultad, así que todo el mundo podría intentar resolver algunos. Idioma: alemán.
• NewbieContest: wargame francés que no se centra únicamente en los principiantes. Entre las categorías de sus retos encontrarán cracking, criptografía, hacking, java/script, estaganografía, programación, matemáticas y lógica. Idioma: francés.
• infomirmo: este sitio ha creado una serie de retos dirigidos a principiantes que deseen aprender, el cual presenta una estructura lineal de retos. Idioma: francés.
• TDHack: este es el primer wargame polaco, los desafíos cubren una amplia gama de temas como redes, criptografía, esteganografía y cracking. Además, están preparando una versión en inglés. Idioma: polaco.
• PHMaster: otro wargame polaco bastante variado que ofrece hackmes, crackmes, retos de criptografía, programación, lógica, etc. Variedad de retos para principiantes y avanzados. Idioma: polaco.
• BrainQuest: wargame eslovaco, centrado en criptografía, esteganografía y lógica; posee también una categoría llamada “Orbis pictis” donde deberá adivinar quien está en la foto mostrada y una sección “aventura” en donde cada aventura tiene una historia propia y los desafíos puede resolverse como niveles. Idioma: esloveno.