🛡️ CYBEREDU :: LABORATORI HACKER EDUCATIU

SIMULACIÓ D'ATACS CIBERNÈTICS & DEFENSA

Entorn educatiu i fictici per aprendre desenvolupament web segur en PHP i comprendre els mecanismes i riscos dels atacs DDoS i altres amenaces.

ACCEDIR AL PANELL DE CONTROL →

Objectiu del sistema

Aquesta plataforma simula serveis de ciberseguretat amb finalitats 100% acadèmiques i pedagògiques.
No es realitzen atacs reals, no s'emmagatzemen dades sensibles i no s'ofereixen serveis il·legals.
L'objectiu és formar desenvolupadors, estudiants i curiosos en seguretat web mitjançant exemples pràctics i teòrics.

Conceptes bàsics que cal conèixer

Phishing

Engany mitjançant correus, SMS, webs falses o trucades per obtenir credencials, instal·lar malware o fer transferències fraudulentes.

Malware / Ransomware

Programari maliciós dissenyat per danyar sistemes, robar informació, xifrar fitxers i demanar rescat (ransomware) o actuar com a backdoor.

SQL Injection

Injecció de codi maliciós en camps d'entrada per manipular consultes SQL: extreure dades, modificar registres o esborrar taules senceres.

XSS (Cross-Site Scripting)

Inserció de scripts maliciosos que s'executen al navegador de la víctima: robatori de cookies, keylogging, defacement o phishing intern.

Brute Force / Credential Stuffing

Atacs automatitzats provant milers de combinacions de contrasenyes o reutilitzant credencials filtrades d'altres bretxes.

DDoS (Distributed Denial of Service)

Saturació d'un servidor, aplicació o xarxa amb tràfic massiu provinent de múltiples fonts (botnet) per fer-lo inaccessible als usuaris legítims.

Què és realment un atac DDoS?

Un atac DDoS consisteix a enviar una quantitat enorme de peticions falses des de molts dispositius diferents (normalment una botnet controlada per un C&C) per saturar l'ample de banda, els recursos del servidor o les aplicacions.

Tipus principals:

Conseqüències típiques: indisponibilitat total o parcial del servei, pèrdua d'ingressos, danys a la reputació, costos elevats de mitigació i, en alguns casos, distracció per realitzar altres atacs simultanis (ex: ransomware).

Serveis simulats en aquesta plataforma

Simulació DDoS

Entendre el comportament teòric i visualitzar l'impacte en sistemes reals (sense tràfic real).

Monitorització de Tràfic

Exemples ficticis d'anàlisi de logs i detecció de patrons anòmals / anomalies.

Estratègies de Defensa

Rate limiting, WAF, CDN, blackholing, Geo-blocking, CAPTCHA adaptatiu, scrubbing...

Entrenament PHP segur

Sessions segures, validació estricta, prepared statements, hashing (bcrypt/argon2), protecció CSRF, headers de seguretat...

10 regles bàsiques de seguretat (que hauries de seguir avui)

  1. Contrasenya llarga i única → mínim 14–16 caràcters + gestor de contrasenyes
  2. Activa 2FA/MFA a tot arreu on sigui possible
  3. Mantingues actualitzat el sistema operatiu, navegador, plugins i aplicacions
  4. No cliquis enllaços ni obris adjunts de correus o missatges sospitosos
  5. Verifica sempre HTTPS + cadenat al navegador (i evita certificats dubtosos)
  6. Fes còpies de seguretat regulars (regla 3-2-1: 3 còpies, 2 mitjans, 1 fora de línia)
  7. Evita Wi-Fi públiques per a operacions sensibles (o usa VPN de confiança)
  8. Antivirus / EDR actualitzat (no només Windows Defender si fas tasques arriscades)
  9. Desactiva macros en documents Office per defecte
  10. Educa't contínuament — el factor humà és el vector d'atac més explotat

⚠️ AVÍS LEGAL IMPORTANT

Projecte exclusivament educatiu i acadèmic.
No promou ni facilita activitats il·legals de cap tipus.
No es recullen dades personals reals més enllà del necessari per a la simulació.
L'ús indegut d'aquesta plataforma per a finalitats no educatives està prohibit.

Recursos recomanats per seguir aprenent

INCIBE – Institut Nacional de Ciberseguretat
Terminologia ciberseguretat (Termcat)
Viquipèdia – Atac de denegació de servei
→ Plataformes pràctiques: TryHackMe, HackTheBox, OverTheWire, CTFtime
→ Cursos gratuïts: Cisco Networking Academy, Google Cybersecurity Certificate, INCIBE Formació