Capture the flag (CTF)
Lembra de brincar de pique-bandeira quando criança? Duas equipes, um campo aberto e a adrenalina de se infiltrar no território inimigo para pegar aquela preciosa bandeira. A cibersegurança pegou emprestado esse conceito e transformou numa das formas mais eficazes de desenvolver habilidades de hacking sem acabar do lado errado da lei.
O que significa CTF em cibersegurança
Em cibersegurança, um CTF (capture the flag) é uma competição onde os participantes resolvem desafios para encontrar strings de texto escondidas chamadas flags. Essas flags ficam escondidas em programas, sites ou sistemas intencionalmente vulneráveis e recuperá-las exige aplicar conhecimento real de segurança. Uma flag pode parecer algo simples como flag{you_found_me} ou seguir um formato definido pelos organizadores.
Os participantes trabalham sozinhos ou em equipes para descobrir o maior número possível de flags dentro de um tempo determinado, que pode variar de algumas horas a vários dias. Os pontos vão acumulando com base no número de flags capturadas e na dificuldade de cada desafio. O indivíduo ou equipe com mais pontos no final vence, às vezes levando prêmios em dinheiro, reconhecimento, ou ambos.
Tipos de competições CTF
Os CTFs geralmente se dividem em duas categorias principais: estilo Jeopardy e Attack-Defense.
Os CTFs estilo Jeopardy apresentam uma série de desafios em diferentes categorias. Os participantes escolhem um desafio, resolvem, pegam a flag e passam para o próximo. As categorias normalmente incluem web, criptografia, engenharia reversa, forense e esteganografia. Cada desafio tem uma puntuação atrelada à sua dificuldade: quanto mais difícil o problema, maior a recompensa. Esse formato é comum em eventos online e funciona bem para iniciantes, já que você pode escolher desafios que correspondam ao seu nível. Entre as competições estilo Jeopardy mais conhecidas estão Google CTF, PlaidCTF (organizado pelo Plaid Parliament of Pwning da Carnegie Mellon), HITCON CTF e 0CTF.
Os CTFs de Attack-Defense são mais parecidos com a brincadeira original ao ar livre. Cada equipe recebe um sistema vulnerável para defender enquanto tenta comprometer os sistemas das equipes adversárias. Você ganha pontos tanto por corrigir suas próprias vulnerabilidades quanto por explorar com sucesso as dos outros. Esse formato exige trabalho em equipe forte e raciocínio rápido, já que você joga no ataque e na defesa ao mesmo tempo. As finais do DEF CON CTF são provavelmente o exemplo mais famoso desse estilo, muitas vezes chamado de "World Series do hacking". O RuCTF, organizado pela equipe HackerDom da Rússia, é outra competição de ataque e defesa de destaque.
Algumas competições combinam os dois estilos, criando um formato misto que testa uma gama mais ampla de habilidades.
Categorias de desafios
Os CTF challenges cobrem um amplo espectro de disciplinas de segurança. Tarefas de exploração web envolvem encontrar e explorar vulnerabilidades em aplicações web, desde injeção SQL até cross-site scripting. Desafios de criptografia exigem quebrar cifras ou analisar algoritmos de criptografia. A categoria engenharia reversa apresenta binários que você precisa dissecar para entender como funcionam. Desafios forenses podem te entregar um dump de memória ou arquivo de captura de rede e pedir para extrair dados escondidos. A esteganografia oculta flags dentro de imagens, arquivos de áudio ou outras mídias.
Essa variedade é intencional. O trabalho de segurança no mundo real raramente se encaixa em uma única categoria, e os CTFs refletem essa realidade.
Por que os CTFs importam
Além da emoção da competição, os CTFs servem como campo de treinamento prático. Eles permitem aplicar conhecimento teórico a cenários reais em um ambiente legal e controlado. Muitos profissionais de segurança creditam aos CTFs ter acelerado seu aprendizado muito além do que livros e cursos sozinhos conseguiriam.
Os CTFs também funcionam como pontos de networking. Você conhece pessoas que compartilham seus interesses, aprende com a forma como outros abordam problemas e, às vezes, chama a atenção de recrutadores. Várias grandes empresas de tecnologia e firmas de segurança buscam ativamente talentos em eventos CTF importantes; um bom desempenho pode abrir portas.
Para estudantes e pessoas em transição de carreira, os CTFs oferecem uma forma de construir experiência comprovável. Ir bem em competições reconhecidas sinaliza aos empregadores que você pode realmente consegue fazer o trabalho, não apenas falar sobre ele.
Onde encontrar competições CTF
O CTFtime rastreia eventos CTF no mundo todo, listando próximas competições junto com seus formatos, datas e links de inscrição. O site também atribui uma métrica de "peso" (weight) a cada evento, refletindo sua dificuldade em uma escala de 0 a 100. Pesos mais altos significam desafios mais difíceis e competição mais acirrada; se você está começando agora, filtrar por eventos de menor peso pode te ajudar a encontrar competições que correspondam ao seu nível atual de habilidade sem te jogar aos leões.
Conferências importantes como DEF CON e BSides sediam CTFs de destaque que atraem participantes de mundo todo. Equipes acadêmicas, empresas de segurança e agências governamentais também organizam seus próprios eventos ao longo do ano.
Se você está procurando CTFs na América Latina, considere participar do Ekoparty (Argentina), JCUN e DragonJARCON (Colômbia), PWNEDCR (Costa Rica), 8.8 (vários países) e, claro, o CTF Challenge da Fluid Attacks (vários países).
Para quem está começando, plataformas como PicoCTF, TryHackMe e Hack The Box oferecem desafios amigáveis para iniciantes que você pode encarar no seu próprio ritmo. Recomendamos usar essas plataformas para treinar também. Aliás, no nosso post "Como chegar ao top 10 no HTB Business CTF" você pode ver nossa lista estendida com opções por categorias.
Também montamos um post sobre o top10 de competições CTF internacionais há um tempo. Sinceramente, já está precisando de uma atualização, então fique de olho num novo ranking em breve.
Desafio CTF da Fluid Attacks
Já participamos de vários CTFs ao longo dos anos, e agora organizamos o nosso. O mais recente, CTF da Fluid Attacks - Desafio LATAM, durou de 24 horas e convidou profissionais de segurança, pentesters, red teamers, estudantes e entusiastas a testarem suas habilidades em uma série de desafios inspirados no mundo real.
Os participantes descobriram e exploraram vulnerabilidades para capturar flags, submeteram pela plataforma e viram sua pontuação subir no placar. A competição premiou o vencedor com US$ 1.000 e experiência inestimável.
Seja você quer aprimorar habilidades que já tem ou se desafiar em território desconhecido, os CTFs oferecem um caminho. Encontre um evento que combine com seu nível, monte uma equipe ou vá sozinho, e comece a capturar flags.
