Seguro que muchas de las personas que recaláis en este blog, os gustan los retos hacking, el pentesting, la seguridad informática y temas similares. Una forma de retarnos a nosotros mismos y aprender de manera empírica.
Pero la mejor manera de hacerlo es en un entorno controlado, o por lo menos en un entorno seguro en el que todas esas técnica se puedan desarrollar en seguridad y sin necesidad de atacar máquinas reales en producción, cosa que además es ilegal.
Así que hoy os traigo por el blog una web que ofrece todo eso: retos CTF, pentesting, hacking en máquinas virtuales en las que desplegar todos nuestros conocimientos y hacerlo en comunidad, para aprender y enseñar.
La web en cuestión se trata de:
Y ofrece esa posibilidad con retos propios y retos compartidos por la comunidad.
De entre todas las opciones disponibles para practicar todas estas técnicas de hacking, esta comunidad de hackmyvm tiene algunas opciones muy interesantes como son: registro gratuito para participar, registro sin necesidad de correos, IPs y logs de los que acceden se borran a las 72 horas, y muchas otras peculiaridades que les hacen interesantes.
Pero mejor que os las cuente yo, vamos a preguntar a sML, webmaster y alma mater del sitio web, que responderá de primera mano y mucho más acertadamente que yo cualquier pregunta que queráis saber
Vhck: Pero ¿Qué es exactamente hackmyvm? ¿Cuando y cómo se formó?
sML: HackMyVM es una plataforma web donde se pueden descargar máquinas virtuales con fallos de seguridad, que han sido creadas por la comunidad, hechas para que la gente practique y pase un buen rato (o no tan bueno :)) intentando «hackearlas» y obteniendo root del sistema, también tenemos un «wargame» online para que la gente pueda practicar sus habilidades de linux/CTF.
La plataforma nació el verano pasado (Verano 2020), la idea inicial era unicamente tener una web donde descargarse maquinas vulnerables y poco mas, pero con ideas que fue proponiendo la gente, como añadir un ranking, poner trofeos y demás, fue evolucionando hasta lo que es ahora, y no sabemos en que se convertirá mañana.
Nos gustan los retos, y no queremos un proyecto «estático», por eso la comunidad es tan importante, porque aportan ideas, y siempre salen muchas cosas nuevas después de discutir
algo que a alguien le parece que quizá no funcione.
Hemos probado poner un chat usando XMPP, poner un blog y muchas otras, y son cosas que no han funcionado, las quitamos y ya está, pero si es interesante, siempre lo probamos.
No tenemos que rendir cuentas con nadie, así que improvisar y fallar no es ningún problema , a veces incluso acertamos con algo.
Vhck: Las comparaciones son odiosas, pero sirven para acotar y definirnos ¿qué ofrece hackmyvm que no ofrecen otros servicios? ¿Cuales son las diferencias entre vosotros y otras opciones?
sML: Lo que ofrecemos nosotros es gratis, y todo, desde las maquinas, los retos, la estética de la web y demás, absolutamente todo está hecho con amor (y ademas con buen gusto!).
No colaboramos con terceros, obviamente no guardamos ningún tipo de dato personal, de hecho no pedimos ni el mail en el registro, y valoramos la privacidad por ello borramos los logs
donde aparecen las IPs y demas cada 72 horas (Ese tiempo solo la tenemos para tema de posibles debugs/funcionamiento).
No tenemos parte Premium/VIP, todo el mundo es bienvenido, la idea intrínseca en todo esto es el compartir y el experimentar, no el tema económico, a fin de cuentas, es parte
de la idea del open source, que todo el mundo pueda tener acceso de forma gratuita.
Está el típico botón de «Donaciones» por si alguien quiere contribuir ayudando para pagar los servers/dominios y demás, pero no es necesario.
Tampoco somos excluyentes, ojala hubiera muchísimas plataformas como esta gratis donde la gente pudiera practicar sin tener una empresa detrás.
También añadir que existe el mito de que lo gratis es malo/feo y lo que pagas es bueno, en nuestro caso intentamos que como mínimo sea igual de bueno a una plataforma de pago.
Vhck: Retos, retos, retos… ¿Cuantos retos hay disponibles para probar en vuestra web? ¿Hay competiciones? ¿de qué tratan vuestros retos? ¿Qué se consigue al resolver los retos?
sML: Actualmente tenemos unas 130 mñaquinas virtuales y recientemente hemos sacado un «laboratorio» online, donde la gente puede empezar a practicar sin necesidad de descargarse nada.
Hay un apartado para meter las flags que se obtienen al hackear las máquinas, o solucionar el reto, las cuales te dan puntos y entras en un ranking, pero es opcional, hay gente que se descarga las máquinas o juega en el laboratorio y no aparece en ningun ranking.
Competiciones como tal no hay, aunque si que existe el ranking mensual, anual y el desde que se inició la plataforma.
Los retos tratan todos de temas relacionados a la seguridad informática, en este caso las máquinas son todas GNU/Linux y es buscar/explotar vulnerabilidades en dicha maquina para llegar a ser root.
Hay varios niveles fáciles, medio, y difíciles, aunque ya sabemos que el tema de la dificultad es algo objetivo…
Como «premio», ademas de la satisfacción de uno mismo de haber resuelto un reto (que no es poco), existen «trofeos» que son como insignias que se te otorgan una vez has realizado
X logros, como hackear 5 maquinas, proponernos alguna idea, participar contribuyendo con una maquina etc….
Vhck: Creo que el software libre y GNU/Linux están en vuestros genes ¿me equivoco? ¿Hay retos que involucren estas tecnologías?
sML: Nos encanta GNU/Linux y todo lo relacionado con el software libre. La gran mayoría de nuestras maquinas usan Debian y en definitiva todos los retos están relacionados
con GNU/Linux.
Hay temas como el chat de Discord, que también evaluamos el montar nuestro propio servidor de Matrix o IRC para evitar en la medida de lo posible el software propietario, pero tampoco somos radicales para ello.
Vhck: ¿Cómo es de grande la comunidad que se ha formado en torno a vuestro proyecto?
Actualmente habrá unas 1500 personas registradas, y en Discord seremos 200-300 personas, aunque como es típico, participa una minoría…
Aun así la comunidad es muy abierta y siempre hay alguien dispuesto a ayudar a resolver un problema o a resolver alguna duda respecto a la seguridad informática.
El idioma que se utiliza en el canal oficial es el inglás, aunque recientemente un compañero ha abierto un Discord solo para los hispanoparlantes..
Vchk: ¿De qué maneras se puede colaborar con hackmyvm además de participar en vuestros retos?
sML: Hay muchas formas de colaborar con nosotros, las mas fácil para algunos (y mas difícil para otros) es tan simple como visitar la web, y decirnos que cambiarían o añadirían.
También pueden colaborar en el apartado «artístico» ya sea diseñando unos iconos, o unos dibujos para algún proyecto que vayamos a sacar etc…
Y por ultimo, en la web hay una sección «Submit» donde la gente puede enviar sus propias maquinas o proponernos nuevos retos para que añadamos.
Recalcar que las maquinas las intentamos hacer que ocupen menos de 1Gb para que la gente que vive en paises donde Internet no tiene la velocidad de la que podemos disfrutar algunos de nosotros, no les suponga tampoco mucho problema.
Vhck: La última palabra es vuestra para decir lo que queráis.
sML: Aprovecho esta oportunidad entonces para decirle a la gente que cree y comparta. Es necesario que haya mas fuentes de conocimiento accesibles a todo el mundo y no solo hablo
de seguridad informática, hablo de todo en general, seguro que hay algo que se te da bien y de lo que puedes escribir en un blog, crear tu propia web para compartir lo que sea…
Programar algo que te sea útil y subirlo a algún github/gitlab puesto que puede que también le sea útil a alguien mas.
Tampoco insto a crear por crear, si vas a compartir algo, curratelo y que merezca la pena verlo.
Ha sido todo un placer estar aquí! 😀
Pues esta es la propuesta que hoy quería daros a conocer por aquí. Gracias a la gente hackmyvm por hacerme llegar noticias de esta web y su propuesta, espero que os haya parecido interesante y si os interesan estos temas les echéis un vistazo y participéis en su comunidad.
¡Ya me contaréis si habéis resuelto algún reto interesante!
Happy hacking!
Victorhck in the free world 