Forge — Plataforma de CTF da Residência em Segurança da Informação
A Forge é a plataforma de Capture The Flag (CTF) da Residência em Segurança da Informação (RSI) da Universidade Federal do Ceará (UFC). Ela fica sempre no ar pra prática livre, e hospeda também eventos pontuais — incluindo as fases de seleção da própria residência.
CTFs são competições onde participantes resolvem desafios técnicos de
segurança ofensiva e defensiva, capturando "flags" — strings secretas
escondidas em sistemas vulneráveis. As flags na Forge seguem o formato
RSI{...} ou SD{...} e são submetidas direto pela interface da
plataforma.
Em períodos de evento, um banner aparece no topo indicando a janela ativa — durante o evento, só os desafios da edição corrente ficam visíveis e o scoreboard fica restrito ao período. Fora da janela, a plataforma volta ao modo always-on com o catálogo completo.
O que é a RSI
A Residência em Segurança da Informação é um projeto de extensão universitária da UFC dedicado à formação técnica em segurança da informação. O foco é desenvolver profissionais tecnicamente afiados em todas as frentes da segurança — ofensiva, defensiva, criptografia, engenharia reversa, forense, redes, cloud, mobile, desenvolvimento seguro, governança e resposta a incidentes — saindo do conceitual para a prática profissional real.
Profundidade técnica é o diferencial. E ela só vem da combinação de teoria sólida com muitas horas de mão na massa em ambientes realistas.
Como projeto de extensão, a RSI articula alunos da graduação, ex-alunos e profissionais externos da área num ciclo contínuo de formação, prática e contribuição com a comunidade — incluindo materiais abertos, ferramentas e desafios públicos como os hospedados aqui na Forge.
A formação combina:
- Trilhas estruturadas que cobrem a stack inteira da segurança em profundidade — não só "como atacar", mas como defender, como medir risco, como comunicar achados e como construir sistemas resilientes.
- Projetos hands-on em laboratórios internos e ambientes controlados, com casos baseados em situações reais de mercado.
- Mentoria estruturada entre veteranos e iniciantes, com revisão técnica de entregas e debriefs após cada ciclo.
- CTFs internos e públicos como esse — onde a habilidade técnica é testada sob pressão e contra problemas que ninguém viu antes.
A Universidade Federal do Ceará
A UFC é uma das principais instituições de ensino superior do Nordeste, com sede em Fortaleza. A RSI nasce no contexto acadêmico da UFC, integrando ensino, pesquisa e extensão em segurança da informação.
O que é CTF (Capture The Flag)
CTF é o formato dominante de competição em segurança ofensiva. Existem dois grandes estilos:
- Jeopardy — desafios independentes em categorias (web, crypto, pwn, reversing, forensics, networking, OSINT, misc). Cada flag vale uma pontuação que pode ser fixa ou dinâmica (decai conforme mais gente resolve, valorizando soluções rápidas e originais). É o formato da Forge.
- Attack/Defense — equipes defendem seus próprios serviços enquanto atacam os dos adversários. Mais raro e mais pesado de operar.
Categorias mais comuns em jeopardy:
| Categoria | O que envolve |
|---|---|
| web | Bugs em aplicações HTTP (SQLi, XSS, SSRF, IDOR, deserialization) |
| pwn | Exploração binária (buffer overflow, ROP, format string) |
| reversing | Engenharia reversa de binários e ofuscação |
| crypto | Criptografia clássica e moderna, ataques a esquemas mal usados |
| forensics | Análise de arquivos, capturas de rede, memória, logs |
| network | Protocolos de rede em baixo nível, raw sockets |
| terminal | Tudo que vive na linha de comando — Linux, ssh, bash, ferramentas |
Como jogar aqui
- Cadastre-se em
/register, ou faça login se já tem conta. - Vá em
/challenges. Os desafios são agrupados por categoria; use a busca pra filtrar por título ou categoria. - Clique no card pra abrir o enunciado. Se o desafio for instanciável, há um botão "Iniciar instância" que sobe um container Docker dedicado pra você (TTL padrão de 30 min, extensível até 2h).
- Resolva o desafio, capture a flag, submeta na própria modal do desafio.
- O
/scoreboardmostra o ranking em tempo real.
Referências para começar
Se você tá começando em CTF, esses materiais são canônicos:
- CTFtime — calendário, ranking global e arquivo de writeups dos CTFs mais importantes.
- picoCTF — CTF pra iniciantes mantido pela Carnegie Mellon University. Excelente como primeira experiência.
- OverTheWire — wargames clássicos. Bandit é o ponto de entrada universal.
- CTF Field Guide — guia da Trail of Bits sobre como abordar cada categoria.
- LiveOverflow — canal no YouTube com walkthroughs detalhados de desafios e técnicas.
- CTF101 — referência rápida de técnicas e ferramentas por categoria.
- HackTheBox e TryHackMe — plataformas de prática contínua (não são CTFs no sentido estrito, mas o espírito é o mesmo).
Suporte
- Dúvidas técnicas sobre desafios: contato com os mantenedores via canais da residência.
- Bugs ou comportamento estranho da plataforma: reporte com o máximo de contexto (timestamp, navegador, payload se aplicável).
Boa caçada.