Quer aprender sobre falhas e brechas de segurança em software embarcado, e de quebra se divertir um bocado com isso?

O pessoal da Matasano Security e da Square criaram uma competição online do tipo “Capture The Flag” chamada Microcorruption CTF.

A estória é a seguinte: existem diversas maletas espalhadas pelo mundo que possuem um conteúdo que pode valer bilhões de dólares. Mas estas maletas estão protegidas por um dispositivo de trava eletrônico, chamado Lockitall LockIT Pro. Seu objetivo? Destravar este dispositivo e acessar o conteúdo das maletas!

A idéia então é explorar falhas de segurança no código que esta rodando neste dispositivo. E o conceito é simples, basta fazer login no dispositivo. O único problema é que você não tem a senha! :)

É aí que você aprenderá técnicas para explorar falhas em código, como buffer overflow, estouro de inteiro, etc. E tudo o que você tem é o disassembly do código, um assembler e um debugger, com uma interface parecida com o GDB (clique na imagem abaixo para aumentá-la):

São várias fases, e conforme você vai passando de fase, a dificuldade aumenta e você acumula pontos (existe até um ranking online!).

O legal é que o dispositivo é baseado no MSP430, e tem até um manual!

É uma ferramenta de aprendizado realmente bem interessante. Fiz os primeiros tutoriais e achei muito viciante!

Para quem estiver interessado, basta acessar o site da ferramenta.

Happy hacking!

Sergio Prado