Era la tercera vez que le insistía a un amigo, entre cervezas y discusiones irrelevantes sobre el futuro, que pruebe registrándose a HackTheBox, una plataforma que me tuvo ocupado este feriado largo de carnaval entre mates, tortas fritas y galletitas con queso.
HackTheBox (HTB) es una plataforma online que permite evaluar tus propias habilidades como Pentester/Hacker. Antes de continuar con HTB necesito dar un poco de contexto sobre este mundo de competencias y medición de habilidades en la comunidad InfoSec/Hacker. En lo particular, HTB es un CTF (CaptureTheFlag) más realista, una competencia entre personas para descubrir vulnerabilidades en sistemas y explotarlos para ganar puntos. Generalmente los CTFs presentan un archivo binario, un enunciado, una imagen de disco, un dump de memoria, un mensaje criptográfico o una plataforma web con alguna vulnerabilidad muy especifica que debes explotar para obtener un hash MD5, SHA1 o un string en leet. Obtener el flag otorga puntos. Mientras más puntos, más arriba en la tabla de jugadores. Los CTFs duran un par de días y los rankings quedan cristalizados al cierre.
Jugando CTFs pertenecí al grupo dephault bajo otro handle, disuelto ya porque la vida es cruel y la coordinación de 6 personas con diferentes husos horarios para ocupar un fin de semana entero siendo que algunos tienen hijos se fue tornando difícil. Hemos llegado al TOP 5 en alguna que otra competencia, y fue suficiente para sentirnos todos satisfechos por el esfuerzo en conjunto y festejar a la distancia con cervezas ASCIIs en IRC.
Aunque HTB tiene sabor a CTF no se parece a nada en lo que haya participado lúdicamente nunca. Una vez registrado en la plataforma (que requiere un código de invitación que tenés que hackear por tu cuenta) se otorga acceso al VPN de HTB y una lista de maquinas con sus respectivas IPs. Cada IP es un challenge, un servidor con algún servicio vulnerable y la única pista que se da al jugador son los misteriosos títulos que tiene cada máquina. No hay enunciados. No hay pistas. No hay binarios. Solo una IP y el sistema operativo en el que corre la máquina. El nuevo nivel de dificultad que se me estaba presentando me pareció inmediatamente fascinante. Tan fascinante que mientras estaba con mi amigo bebiendo estas fabulosas cervezas no podía parar de insistirle en que se registre:
- No Tosh, gracias, pero no. No me interesa mucho.
- Dale, está buenísimo y es muy divertido.
- ¿Divertido? ¿Desde cuándo es divertido jugar a que trabajás?
Dejando esa pregunta en el aire, continuamos hablando de otras cosas. No supe en ese momento que responder, porque nunca había considerado este tipo de competencias como trabajo. Pero sin embargo, tiene un punto importante ya que lo que uno hace en estas competencias se asemeja parcialmente al día a día en el laburo. O no, porque me divierto, bocha. En mi caso, siento que la diferencia fundamental entre divertirse y trabajar es la ausencia de extensos reportes y recomendaciones para mitigar vulnerabilidades, cosa absolutamente necesaria para hacer que la internet sea un poco más segura en cada intrusión contratada. No contratadas también, pero eso ya es un tema más complejo.
En HTB solamente entrás, rompés y la recompensa es un flag y unos puntos, extirpando de lleno todo el tedio administrativo.
De pronto, pensando sesudamente sobre esto, doy cuenta que trabajar en mi caso no implica explotar vulnerabilidades -la parte divertida- sino más bien reportarlas, explicarlas, y proponer soluciones para evitar que sigan existiendo y que de alguna manera jocosamente-ultra-simplificada, no nos roben de nuestros dispositivos conversaciones privadas o desnudos, como explicó magistralmente Edward Snowden a John Oliver para bajar al usuario medio los verdaderos riesgos de las vulnerabilidades que aun no hemos descubierto y ciertos gobiernos o “grupos de personas” potencialmente si.
Esta pregunta que hizo este amigo, disparó en mi buscar el subjetivo significado del trabajo y la interrelación con la diversión, conceptos fácilmente antagonizables cuando el tedio se apropia de la actividad. Por ahora, a falta de una mejor descripción, siento que trabajar en definitiva no es usar los conocimientos para penetrar sistemas, si no más bien explicar de manera sencilla el porqué es importante alertar sobre estas cosas y como mitigarlas. Y explicar tareas tan complejas y su impacto sencillamente es sorprendentemente trabajoso.