Skip to main content

Tipos de Competições

Competições de Cybersecurity

A esse ponto vocês todos já estão acostumados com os famigerados hackathons. Eles aparecem o ano todo: competições de um final de semana, algumns de uma semana ou mês, com prêmios muito chamativos (na maioria das vezes) e de alguma forma todos eles conectados a IA ou Blockchain. Acredite, eles são ótimas oportunidades de aprendizado, pois te obrigam a aprender rápido para solucionar um problema. Mas, como você também já deve saber, existem outros ramos de competições além de hackathons e, se você está interessado na área de Cybersecurity, essas competições podem te ajudar a criar conhecimento prático.

Já que você tem acesso a este material, provavelmente passou por um CTF do tipo Jeopardy, ou seja, você procurou flags em vários lugares. Mas existem outras modalidades além desse tipo de competição e este arquivo serve justamente para ajudá-los a descobrir outros tipos de competições além dos CTF. Claro que vamos dar foco nele, mas também esperamos que você entenda que não se limita somente a esse tipo de modalidade.

Tipos principais de competição

CTF Jeopardy

Esse aqui é o clássico que vocês já estão acostumados. Existem uma série de desafios para você resolver em várias categorias e, à medida que você vai resolvendo, vai ganhando mais pontos e liberando desafios mais difíceis. Não tem muito segredo. Vou aprofundar esse tipo de competição na próxima página, então vamos conhecer os outros.

CTF Attack & Defense

Aqui o jogo fica um pouco mais realista. As equipes recebem servidores com serviços vulneráveis (aplicações, sites, etc.) e cada equipe tenta identificar e explorar vulnerabilidades nos sistemas das outras equipes para obter acesso e capturar as flags escondidas na máquina dos outros. As equipes também devem proteger seus próprios servidores, identificando e corrigindo as vulnerabilidades em seus próprios sistemas para evitar que outras equipes as explorem.

Dito isso, os jogadores não só defendem seus próprios sistemas contra ataques, mas também atacam os sistemas de outras equipes. O objetivo é explorar vulnerabilidades nos sistemas adversários para pegar as flags (sim, as mesmas do CTF que você está acostumado) e, ao mesmo tempo, proteger seus próprios sistemas de ataques semelhantes. A principal diferença é que, enquanto o CTF estilo Jeopardy apresenta desafios em diversas categorias (criptografia, engenharia reversa, etc.), o CTF Attack & Defense foca mais em um cenário de ataque/defesa em tempo real, simulando um ambiente de segurança mais próximo do mundo real.

Esse tipo de competição é mais raro que um CTF Jeopardy, até porque exige um nível de organização mais elevado. Se você quiser participar ou montar um time com o pessoal da liga, no CTFtime e no Hack The Box vocês podem achar CTFs desse tipo que ainda irão acontecer, com um filtro — eles mesmos têm isso no site.

Para quem tiver interesse!

King of the Hill (KotH)

Agora a competição se parece com um jogo de “pique-bandeira” físico. Você invade uma máquina, conquista acesso administrativo e precisa se manter no controle enquanto outros tentam derrubar você. É muito parecido com o CTF Atk&Def, mas tem algumas características diferentes. A principal delas é que, enquanto no último existem várias máquinas para vários times (em que cada time tem que defender a sua), aqui todo mundo começa zerado e vai conquistando partes de um único sistema.

Se quiser ver um site exemplo de como funciona um dashboard desse jogo, existe esse aqui: King of The Hill

Em resumo:

  • Topologia compartilhada: todos os times atacam a mesma rede (com roteadores, máquinas Windows/Linux, serviços FTP, etc.).

  • Cada host/serviço pode ser “conquistado” por um time, que insere uma flag de controle (ex: alterar arquivo flag.txt com o nome do seu time).

  • Você ganha pontos enquanto mantém o controle daquele recurso, ou seja, é literalmente um “capture and hold”.

  • O diferencial é que qualquer time pode tomar de você a máquina se conseguir invadir de novo, remover seu acesso e colocar o deles.

  • Não basta só invadir uma vez, você tem que ficar defendendo sua conquista.

  • Se curtiquer entender melhor acesse https://koth.cs.umd.edu

  • Para jogar, no TryHackMe tem algumas competições abertas ou que podem ser criadas por vocês.

Para quem tiver interesse

Bug Bounty

Eu sei, eu sei, Bug Bounty tá mais para um freelancer do que para uma competição. Mas pense só: você está caçando erros em um sistema, possíveis Zero Days, e tudo isso para uma empresa real. Se você parar para pensar, também está competindo com outros profissionais para ver quem vai achar primeiro.

A recompensa pode variar de um agradecimento público até milhares de dólares, dependendo da gravidade da vulnerabilidade encontrada e da empresa.

Outros formatos

Além dos grandes tipos, também existem competições acadêmicas, como a Collegiate PenTesting Competition, que é uma competição acadêmica que simula cenários reais de testes de penetração (pentest). Nela, equipes de estudantes universitários competem para encontrar e explorar vulnerabilidades em sistemas, simulando o trabalho de um profissional de segurança cibernética. O CPTC se diferencia de outras competições ao focar nas atividades que um pentester faria em um ambiente mais real, em vez de simplesmente defender redes ou encontrar flags.

Existem alguns outros menos conhecidos que não vou colocar aqui para não me estender, mas te encorajo a explorar para conhecer mais — nem que seja pesquisando no Gemini, GPT, Google ou YouTube mesmo.

O que essas competições exigem?

Participar não significa que você precisa ser o próprio Mr. Robot logo de cara, até porque ninguém é. Você pode chegar cru, e provavelmente vai apanhar mais de uma vez. Mas tem como mitigar isso: alguns assuntos (alguns vocês já tiveram aula aqui inclusive, ou vão ter) vão te ajudar diretamente nessas competições e, paralelamente, a se preparar.

  • Sistemas operacionais e redes: entender comandos básicos de Linux, protocolos como HTTP e TCP/IP.

  • Programação e lógica de programação: resolver problemas escrevendo ou adaptando código.

  • Criptografia: ao menos noções para reconhecer padrões e falhas.

  • Trabalho em equipe: especialmente em modos Attack & Defense, onde funções se dividem entre quem defende e quem ataca.

Saber um pouco de cada um desses já te permite jogar alguns desses outros modos de competição com alguma noção dos comandos que você está inputando no terminal ou pedindo pro ChatGPT. Sobre isso, aliás, não tem problema usar se você sabe o que tá pedindo ou está pedindo para ele te ensinar, mas pedir para ele fazer tudo para você é pedir para não aprender nada.

Onde encontrar competições?

CTFtime.org — o principal calendário de competições, usado mundialmente, tem de tudo envolvendo os dois tipos de CTF.

HackTheBox e TryHackMe — simulam ambientes de CTF(os dois tipos) e King of the Hill.

Eventos de Cyber — Sim, alguns eventos têm algumas dessas competições ou outras competições, então se acharem não se esqueçam de divulgar com a liga._

OBS: Existem outros sites, mas esses são os principais, se não encontrar a competição que deseja em um deles, aconselho procurar na net

Onde treinar?

PicoCTF — ótimo ponto de partida para quem quer treinar fundamentos de CTF, já passei algumas vezes para vocês. Tem flags desde fáceis até difíceis e soluções no YouTube.

HackTheBox e TryHackMe — Ambas plataformas oferecem suporte para estudo e para competições. Eu sinceramente prefiro a HTB para estudo, mas é questão de gosto.

OvertheWire — site que passei no material de Linux. Você vai tentar explorar uma máquina Linux do zero. Ele considera que você nunca pegou num terminal na vida; aí ele vai te dando o que é preciso ser feito e, à medida que você vai evoluindo, vai aprendendo coisas mais complexas sobre Linux.

OverTHeWIre - WarGames, Solução