sábado, 14 de noviembre de 2020

Proyecto H4ckNet, la próxima aventura del tito S4vitar

 


Hace un tiempo que sigo a S4vitar en algunas redes sociales como Twitter y, por supuesto, en Youtube, donde sube frecuentemente sus vídeos mostrando cómo superar algunas de las máquinas de HackTheBox (HTB para los amigos).

El hecho es que hace unas semanas, S4vitar creó un curso en la plataforma MasterMind, un curso al que tengo ganas de apuntarme próximamente, que trata sobre el hacking ético y técnicas de hacking ético, además de explotación de vulnerabilidades varias.

Pero, según el mismo S4vitar, el curso tiene una pequeña pega, y es que en el mercado de las páginas de CTF y hacking, las máquinas donde se pueden practicar esas vulnerabilidades son, generalmente, de pago. Es decir, tienen secciones gratuitas, pero no para las máquinas virtuales donde se explotan esas vulnerabilidades.

¿Qué es H4ckNet?

Por eso mismo, el otro día S4vitar hizo un directo en Twitch acerca de su nuevo proyecto: H4kcNet. Los que no tengáis Twitch, podéis ver ese vídeo también de forma íntegra en su canal de YouTube, concretamente aquí. Este proyecto viene a colación de haber conseguido la nada desdeñable cifra de 10.000 usuarios suscritos a su canal de YouTube, motivo por el cual ha decidido hacernos este regalo a todos sus seguidores.

Porque, seamos realistas, no todo el mundo puede pagar las suscripciones de páginas como HTB o TryHackMe, solo para poder superar las máquinas virtuales. Yo mismo, en este blog, he hecho tutoriales de Linux y Nmap basados en las explicaciones de TryHackMe (traducciones, al fin y al cabo), pero hasta la fecha no he pagado la suscripción, porque para superar esas salas no era necesario.

H4ckNet será una herramienta en la que no hará falta conectar a VPN's ni instalar máquinas virtuales, todo lo que se practique en ella será sin necesidad de grandes recursos de máquina (es decir, no os será necesario tener un pepinaco de ordenador), y se ejecutará completamente por web, aunque al principio del vídeo se puede ver cómo él lo ejecuta por consola.

La plataforma está basada en la tecnología de contenedores (dockers), de forma que no es necesario el uso de la conexión a Internet a la hora de poder probar esas vulnerabilidades, ya que trabajará en modo local, desde la misma máquina, además de correr de modo individual.

Acerca de la interfaz de usuario

Sobre la interfaz de la plataforma, al entrar a cada vulnerabilidad encontraremos un botón de APRENDER, que al pulsarlo nos llevará a una ventana donde poner un nombre de usuario y después a una ventana partida en dos partes. La parte de la derecha serán los objetivos e instrucciones, además de contener unas pestañas que explicaré un poco más adelante.

Pero lo mejor estará a la izquierda de nuestras pantallas, en el panel interactivo, que será donde podremos ver toda la teoría acerca de cada vulnerabilidad. Si empezamos escribiendo help, se mostrará una ayuda del tema en el que estemos, además de indicarnos los capítulos en los que se divide el tema.

Acerca de las pestañas de las que os hablé antes, habrá varias. Una de las más importantes es una pestaña de Apuntes en la cual podremos encontrar la teoría de la ventana de la izquierda, pero en un formato más "amigable", para aquellos que les dé pereza leerlo en formato consola, y prefieran un formato web más cómodo para la vista de algunos usuarios.

Habrá otra pestaña llamada Notas en la cual podremos tomar notas en plan post-its, las cuales se podrán reordenar a nuestro antojo, se podrán cambiar de tamaño, y no habrá límite de notas a tomar, podremos crear todas las que queramos.

Otra pestaña será de Ejemplos, donde encontraremos ejemplos prácticos acerca de la vulnerabilidad que estemos tratando en ese momento. Esto es muy útil en algunos momentos, ya que no es lo mismo trabajar sobre la teoría que tener ejemplos delante nuestro a la hora de aprender según qué técnicas.

En el caso de algunas vulnerabilidades, además del botón APRENDER antes mendionado, habrá otro llamado HACKEAR, el cual nos llevará a un entorno en el cual podremos explotar la vulnerabilidad en cuestión, de forma totalmente gratuita y de forma local.

Hasta el campo de nombre de usuario es vulnerable en algunos casos. Y eso está hecho a propósito, para poder explotar algunas vulnerabilidades que iremos aprendiendo gracias a esta plataforma.

La idea es crear un botón de Laboratorio en la pantalla principal, mediante el cual se podrán testear las vulnerabilidades, con un mapa de red interactivo en el que se podrán encender, apagar o reiniciar los contenedores que nos interesen en ese momento. 

Otro botón que se planea crear para la pantalla principal es el de Comunidad, donde los usuarios podrán aportar máquinas virtuales propias dockerizadas, es decir, en formato contenedor.

También está previsto crear una plataforma en la nube donde registrarse y con una cuenta atrás. Será una especie de CTF con un mapa donde se pueden ir comprometiendo las distintas máquinas e ir avanzando hacia el centro, y el que llegue al centro, gana la competición. Pero esta última parte se guardará para un poco más adelante.

El proyecto aún no tiene fecha de lanzamiento, pero os sugiero seguir a S4vitar en YouTube y Twitter, donde él mismo avisará a sus seguidores cuando todo esté listo.

Conclusiones

Está claro que, viendo en lo que consiste el proyecto, un servidor se apuntará seguro en cuanto todo esté listo, y os animo a hacer lo mismo si os interesa el tema de la ciberseguridad y el hacking ético ya que, si por algo se caracterizan los vídeos de s4vitar, es por lo bien explicados que están.

Y acerca del curso de MasterMind, tengo previsto apuntarme próximamente, ya son alrededor de 1200 usuarios los que ya se han inscrito al curso, y lo bueno que tiene es que es él mismo el que corrige las tareas y ejercicios, por lo que aquellos que se apunten, tendrán un feedback directo.

No hay comentarios:

Publicar un comentario