Os melhores laboratórios para pentest em 2021

    Se você é um profissional de tecnologia ou amante e entusiasta de cyber segurança, então este post é para você. No momento em que este post está sendo escrito (final de 2020) existem muitas ferramentas online para estudar pentest. Fiz uma triagem do que há até o presente momento e aproveitei para mencionar algumas características de cada uma delas. “CTF”, ou Capture The Flag, é um tipo de jogo (game). A prática consiste em solucionar desafios e problemas no âmbito da Segurança da Informação. Abrangem diversos tipos de questão sobre segurança cibernética, onde você deve explorar ou defender vulnerabilidades em diversos tipos de sistema.

    O “CTF” pode ser praticado em eventos ou encontros em lugares planejados, mas também é possível praticar remotamente estando em qualquer lugar. Para este último caso, existem diversos laboratórios na internet que proporcionam esta atividade e, acima de tudo, alavancam suas habilidades profissionais e agregam uma vasta gama de conhecimento no âmbito da segurança cibernética.

    O acesso e bom aproveitamento dos laboratórios a seguir requerem bom nível de entedimento em inglês.

    Aqui vai uma curta lista de sites onde é possível cadastrar-se para iniciar nos laboratórios online de pentest:

    1. Hack The Box

    Talvez este seja o mais famoso laboratório online de pentest. Para conseguir inscrever-se é necessário resolver o exercício desafio para ganhar um convite de inscrição. Resolver o exercício para conseguir a inscrição já torna esta ferramenta um pouco seletiva, pois exige que para iniciar nela você já tenha algum conhecimento prévio. Para iniciar no Hack The Box é indicado ter conhecimento em sistemas operacionais, alguma linguagem de script e protocolos de rede. Existem tutoriais disponíveis na internet que informam o passo a passo para obter a inscrição. Mas minha recomendação é que você seja honesto com você mesmo e tente resolver o exercício sozinho. O exercício para obter a inscrição é de baixa complexidade. Dependendo do seu grau de habilidade e conhecimento, é possível finalizar a inscrição em alguns poucos minutos. Eu, particularmente, finalizei a minha inscrição em pouco mais de uma hora. Assim que você obtem acesso ao site as regras já lhe são apresetadas. Uma recomendação importante é que você crie sua máquina de pentest em uma máquina isolada da sua rede. O próprio site já sugere o uso de máquina virtual. Você vai acessar o ambiente do Hack The Box por uma VPN. Não é recomendado executar a VPN no seu próprio computador porque, apesar de existirem as regras, o Hack The Box é um ambiente onde estão presente os mais variados tipos de pessoa; desde profissionais de segurança muito experientes até gente má intencionada que possui conhecimento nas práticas de crime virtual. Há três planos de acesso disponíveis: “standard”, “advanced” e “enterprise”. Além de ser um laboratório, HackTheBox conta com recursos interessantes como acesso à vagas de emprego no mundo todo. À medida que você sobe no ranking você vai obtendo qualificação para mais e mais vagas. Como os perfis de usuário são anôminos, se você selecionar a opção “I wish to be contacted for Career Opportunities” seu username, score e ranking ficarão visíveis para as empresas. Se uma empresa se interessar uma mensagem será enviada a você dentro do Hack The Box, pela caixa de mensagens, onde você terá a opção de responder fornecendo seu nome verdadeiro e uma forma outra forma de contato. Também existe a loja virtual. Lá são vendidos itens como: camiseta, moletom, boné, meias, mousepad e cordão para crachá. A moeda usada na transação é a libra esterlina. Também há o suporte da plataforma onde você pode deixar suas perguntas e tirar dúvidas. Enfim, são muitos recursos e creio que não consegui mencionar todos aqui.

    https://www.hackthebox.eu/

    2. Try Hack Me

    Possui recursos como “Rooms” (salas), oferece vídeos e conteúdos sobre cybersecurity, além do principal que é o acesso aos laboratórios. Você também pode criar “Rooms” para CTF, fazer workshop ou para dar treinamento. Existe a modalidade “Premium” que libera acesso à conteúdo exclusivo. O blog da plataforma é aberto ao público e não necessita de inscrição para leitura. O conteúdo é atualizado com frequência. No blog são publicados também vários posts na forma de “walkthrough” que se aplicam aos laboratórios da plataforma.

    https://tryhackme.com/

    3. Root-Me

    É menos conhecido que as plataformas acima. O site é exibido, primeiramente, em francês mas já na primeira página é possível selecionar outros idiomas, como o inglês, por exemplo. Embora não esteja explícito na página inicial, esta plataforma também conta com laboratórios de segurança cibernética. Os planos de acesso é que determinam quais laboratórios você pode acessar. Existem três planos de acesso: “visitor”, “contributor” e “premium”. No plano “visitor” você tem acesso aos exercícios e soluções propostas por outros membros. No plano “contributor” é possível ter participação ativa, contribuir na moderação, criar exercícios e revisar a solução proposta pelos outros, além de ganhar recompensa pelas criações feitas. No plano “premium” o acesso aos exercícios mais novos é desbloqueado, você tem acesso a um planejamento de carreira e ganha distintivo por habilidade nas atividades (skills badges).

    https://root-me.org/

    4. Virtual Hacking Labs

    Oferece muitos laboratórios e cursos. Porém todo o acesso a esta plataforma é pago. Você escolhe o tipo de plano de acesso (“Pass”). Tem opção de acesso mínimo por uma semana, um mês, três meses, um semestre e um ano. No plano semanal alguns itens não são oferecidos. O que pesa contra a escolha desta plataforma é que não dá para conhecer direito os recursos oferecidos sem antes pagar por algum plano de acesso.

    https://virtualhackinglabs.com/