Class Capture the Flag: una nueva manera de aprender seguridad informática

Abstract

RESUMEN: El presente documento del Trabajo de Fin de Grado (TFG) 'Class Capture the Flag: una nueva manera de aprender seguridad informática describe las distintas fases asociadas a la introducción, búsqueda, despliegue e implementación de pruebas de seguridad. Con el comercio electrónico en pleno auge para todo tipo de negocio, el desarrollo de nuevos sistemas es constante. Estos sistemas deben cumplir requisitos de seguridad, ya que se encuentran expuestos a gran variedad de ataques externos que pueden poner en peligro tanto el propio negocio, como la información almacenada en los mismos. En general, el aprendizaje de seguridad informática, puede resultar excesivamente teórico. Y al final el estudiante puede desconocer mecanismos prácticos para evitar comportamientos malintencionados. Por esto, y en vista de que los estudiantes formarían parte del desarrollo de los sistemas, consideramos vital mejorar la enseñanza en el campo de la seguridad, haciéndola más amena y ayudando a preparar a profesionales conscientes de los peligros que pueden sufrir los sistemas que ayudarán a desplegar. Para ello concebimos una serie de servicios para implementar pruebas o en concursos abiertos de Hacking Ético. Estos concursos se apoyarán en la parte teórica de la seguridad, pero posibilitarán el aprendizaje de conocimientos más prácticos con pruebas y retos para atacar sistemas vulnerables. Con este objetivo en mente desarrollaremos pruebas que abarquen varias disciplinas dentro de la seguridad, asegurando con ello una formación lo más completa posible. Para conseguir este objetivo se marcan pasos previos consistentes en la elección de los elementos que sustentarán las pruebas. En este caso consistirá en la búsqueda de diferentes infraestructuras para la publicación de las pruebas, eligiendo de entre los encontrados el que consideremos más adecuado.

ABSTRACT: The present document for my dissertation 'Class Capture the Flag: A new way to learn information security' outlines the several stages associated to introduction, research, deployment and implementation of security tests. Now that e-commerce is on the rise, no matter which business, new systems are in constant development. These systems must comply with several security requisites, since they are exposed to a wide array of external attacks that can compromise not only the business, but the information stored in them. In general, learning IT security can lack a practice element. Therefore students can end up with incomplete knowledge about the field. With that in mind, and considering that future students will take part in the development of these systems, we consider that reinforcing the study of security is of vital importance, helping to prepare professionals that are aware of the constant danger that the systems they'll help deploy will have to endure. In order to reach this objective we will generate a set of services on which to implement tests or White Hat Hacking contests. These contests will rely on the theoretical part of security, but will allow learning more practical aspects of computer security. With this objective in mind we will develop tests that will cover several branches of IT security, ensuring the most complete formation possible. To get to this point we will take several steps in the selection of the elements in which these tests will be offered. In this case it will consist in the search of different infrastructures for the publication of the tests, selecting among those found the one we will consider best.