GitHub, en su rol como patrocinador de Ekoparty 2023, destacó una vez más en la competencia Capture The Flag (CTF). Empleados de la organización de Seguridad de GitHub colaboraron para idear, planificar, construir y probar una serie de desafíos diseñados para ser atractivos, educativos y desafiantes para los participantes.
El enfoque de este año fue GitHub y la funcionalidad de Git, proporcionando desafíos contextualmente relevantes para los usuarios de la plataforma y educando a la comunidad de seguridad sobre problemas comunes en el uso de estas herramientas. La temática fue «retro», con algunos desafíos ambientados en la ficticia OctoHigh High School en 1994.
Entre los desafíos más destacados estuvo «Entrypoint», que requería que los participantes encontraran una bandera oculta dentro de un repositorio privado en GitHub. Una pista sutil en los comentarios de las instrucciones de registro sugería la presencia de la bandera en el repositorio. El archivo README.md contenía caracteres no convencionales, utilizando homoglifos difíciles de detectar manualmente, por lo que se proporcionó un script en Python para revelar la bandera.
Otro desafío notable fue «Snarky Comments», enfocado en la inyección de código al analizar el cuerpo de un problema en GitHub. Los jugadores debían crear un problema en su repositorio de desafíos utilizando una plantilla y explotarlo para ejecutar comandos arbitrarios, revelando el contenido de un secreto.
«Fork & Knife» también fue un desafío interesante, centrado en GitHub Actions y el uso problemático de «pull_request_target» en un contexto no confiable. Los jugadores abrían un pull request ejecutando un script para revelar un secreto mediante esta funcionalidad.
Otros desafíos, como «Git #1» y «Git #2», exploraron la mecánica de un repositorio Git. El primero requería encontrar diferencias entre un repositorio real y una versión modificada en un servidor remoto. El segundo desafío implicaba usar un Dockerfile y una configuración específica de Git para obtener el contenido de un commit eliminado.
Ekoparty 2023 proporcionó una valiosa oportunidad para que la comunidad de seguridad se enfrentara a problemas complejos y aprendiera más sobre el uso seguro de GitHub y las herramientas de Git. GitHub agradece a Ekoparty por la oportunidad de participar y contribuir nuevamente al evento, y espera con ansias los desafíos futuros.
