|
|
Nuestro compañero del laboratorio, Michael (Gynvael), estuvo el pasado fin de semana en la final del Security Days 5.
Para llegar a la final hay que pasar dos rondas preliminares de calificación por Internet, que incluyen todo tipo de pruebas teórico y prácticas: ronda de preguntas sobre protocolos y seguridad, análisis de código fuente en el que deben detectar bugs y corregirlos, análisis forense de logs de apache para determinar ataques e intrusiones, etc.
También hay pruebas online, donde deben encontrar bugs inéditos para algunas webs de cara a conseguir el acceso al panel de administración, y en algunas shells donde también deben lograr privilegios de root. En todos los casos es necesario descubrir las vulnerabilidades y desarrollar los exploits, ya que no es software estándar con vulnerabilidades conocidas, sino que está programado por la organización del concurso para la ocasión.
Después de las dos rondas que se realizan de forma remota, y donde participaron unas 600 personas, los 5 mejores clasificados pasan a la final que se celebra ya de forma física y controlada en un aula de informática. Se les "encierra" durante 3 horas en una misma sala donde se les suministra un equipo.
Michael bromeando con el avituallamiento antes de empezar (foto cortesía de klocek / SD5 team)
La final, con cuenta atrás, constaba de 5 retos: vulnerar 3 webs y 2 aplicaciones linux. Tres de los finalistas consiguieron pasar 1 de los 5 retos, el segundo clasificado 2 de 5, y Michael se llevó el primer puesto al lograr 4 de 5 ... está flojillo, mira que dejarse una sin hacer :p
En España se echa de menos cosas como ésta, en su día tuvieron bastante aceptación retos online como iZhal, Boinas Negras, también hack21 tuvo más de una edición, los retos forenses de RedIris... A día de hoy creo que sólo Chema / Informatica64 está sacando regularmente pequeños retos, pero claro, con un primer premio de una caricatura no motiva mucho al personal, si al menos fuera una cena romántica con él... Bromas aparte, ¿se están haciendo más retos por el estilo?.
Ahora que hay tanto movimiento en seguridad (organismos, catedras, congresos,...) y recursos ($$$), lo mismo nos podíamos juntar para hacer algo todos los años.
|
La verdad es que se echan de menos retos como los de izhal (aunque en algunas fases se pasaban), boinas negras, hack21, ngsecurity, etc, la verdad es que se aprende muchos de ellos.
A parte de los que comentas de Chema (muy interesantes por cierto, Chema, luego me das lo convenido ;) ), hace poco un compañero (Mandingo) montó lo de Yoire, y hace un poco menos pusimos un reto de ingeniería inversa que justo hoy pusimos la solución
Enhorabuena a Michael, que se le ve muy concentrado en la foto!! Sería buena idea hacer una especie de gymkana entre webs superando diferentes pruebas (cada prueba lo pondría una web), me recuerda a mis tiempos de scout :)
Si, David, sería buena idea hacer algo conjunto. Y aprovechando que fuéramos varios, y con empresas por detrás, se podría meter un incentivo apañao: viaje a la defcon/LasVegas el año que viene con todos los gastos pagados o cosas así.
Hablando de la LasVegas, también habría que felicitar al grupo de Panda creo (no se si oficial o se rejuntaron unos cuantos y era por su cuenta) que este año quedaron terceros en el capture-the-flag en la defcon.
En primer lugar quiero deciros que espero que el solucionario del reto 4 os guste, que a partir del día 4/10 quedará público.
En segundo lugar, Sergio, tú has tenido cenas romanticas conmigo y hasta hemos dormido juntos!!. O es que ya no te acuerdas con quien compartiste hotel en Pamplona y en León? Amén de compartir... otras cosas.
Respecto a lo de hacer algo conjunto, no voy a deciros nada porque hasta la saciedad os he invitado, suplicado, pedido y tentado, para que participarais en el cenorro que tenemos para el día 3 en Madrid (dónde somos unos 20 tipos) y al evento del día 4, dónde el señor Quintero, el señor Cea y el "pajarraco" de los Santos han sido invitados para dar una ponencia, pero claro, nosotros no tenemos el galmour del tipo ese de la mahonesa con el que comparte cartel pajarraco.
No obstante, en Sevilla, en Octubre hay una cosa con "gente seria" en la que compartimos cartel, asi que, espero que sea un buen momento para que tengamos una quedada. Esa cena la pago yo, (y queda aquí públicamente dicho).
Saludos malignos!
Por cierto, si vienes a verme y cenar conmigo pajarraco, te llevarás una caricatura tuya que te estoy preparando.
"... me humillo ante tí y me faltas al respecto ..."
;)
> Sergio, tú has tenido cenas romanticas conmigo y hasta
Chema, que Sergio aquí no ha dicho nada... el post y comentario era mío, pero ya veo que lo vuestro es atracción fatal (no quiero ni pensar que ocurrió en esas noches de hotel).
Y lo que comentaba David, más que hacer reuniones o charlas, era organizar algún concurso-reto entre todos... como tu te apuntas a todo, ya seríamos S21sec, Informatica64 y nosotros, en la reunión del día 3 a ver si consigues engañar a SIA u otra gente que tengas en el cartel. Ponemos un reto y 1.000 o 2.000 euros cada uno, y se monta un concurso bastante apañao... de esos a los que le gusta criticar a Romansoft (dale recuerdos de mi parte).
¿De que va tu ponencia para la "gente seria"?
Hola Bernardo!
si es que estoy obsesionado con pajarraco!. La frase es de los Soprano, serie que nos une y que le pienso destripar aunque sea dedicandole un post con el final ;)
Yo me apunto, ya sabéis que sí, pero me habrá que preparar un reto anti-mandigos, anti-romansofts :P. El día 3 charlamos por ahí a ver que "se cuece".
Con la gente seria no se aún de que voy a hablar en mi tiempo, pero tengo que hacer amigos, que como voy a Argentina, quiero que me cuiden allí.
¿Vienes a cenar a Sevilla?
Hola!,
Me parece una muy buena idea, en 48bits de vez en cuando también organizamos algún "reto", pero en plan cutre, ya que no tenemos recursos para organizar algo serio. Os animo a que os pongáis manos a la obra, se echa de menos una competición técnica de seguridad informática a nivel estatal. Lo más parecido que hay es el hack-it de la euskal que organiza con mucho esfuerzo Pablo Garaizar y al que no suele acudir mucha gente del entorno, supongo que en parte debido a que los premios dan un poco la risa.
En fin, estaría bien que un evento de este tipo reuniera a participantes de todo el panorama estatal, seguro que sería un buen momento para hacer también una de esas cenas que tanto leo que le gustan a Chema ;-)
Por cierto, a lo que comentaba Bernardo antes, el equipo de CTF que fuimos a la Defcon, no es oficial de Panda, solamente amigos de diferentes sitios :-). Y creo que si montaraís esto, acudiríamos ;-).
Enhorabuena también a vuestro compañero de laboratorio por ese primer puesto.
Un saludo,
Pues bueno, parece que ya tenemos unos cuantos voluntarios, voy recopilando la gente que ha salido:
- Bernardo
- Chema 'el Maligno'
- Pablo Garaizar
- Mario (48bits y/o Sexy Pandas)
- David
En total, 5 grupos (¿5 pruebas?), y como comenta Bernardo, poniendo cada uno unos cuantos euros para premios es suficiente. Se podría involucrar también a Paco (Rediris) y la gente de SIA/514, jfs de Germinus, ... La lista puede ser larga :)
A mi me gustaría montar algo tipo gymkana como dije, en donde cada grupo monte una prueba, y cada prueba de una serie de puntos, y gana el que haga todo en el menor tiempo. Tan sólo tendríamos que compartir un portal de resultados.
>En total, 5 grupos (¿5 pruebas?)...
>A mi me gustaría montar algo tipo gymkana como dije, en donde cada
>grupo monte una prueba, y cada prueba de una serie de puntos
Supongo que cada grupo montaría/gestionaría su prueba y tendría la potestad de repartir, por ejemplo, 100 puntos. Creo que lo mejor es que cada grupo decida como los participantes se juegan sus 100 puntos, si a un todo o nada a una única prueba, si en función del tiempo en resolverla o cualquier otra variable, en proponer una prueba con diferentes fases para poder repartir los 100 puntos entre ellas, etc.
Ese esquema permitiría independencia a cada grupo para montar la prueba como quiera. Por ejemplo, en nuestro caso, que tenemos llegada a un público muy heterogéneo, me gustaría hacer un pequeño reto por fases con dificultad creciente, para fomentar la participación y dar opción a cualquiera a llevarse algunos puntos, no que de entrada se peguen contra una pared.
Como dice David, además de que cada grupo gestione sus puntos/ranking, tendríamos que tener un sitio centralizado/neutral para ir viendo los progresos y el global de los participantes.
A mi me parece debuti, Rodol y yo estamos preparando para final de año una cosa como la que dice Bernardo, con niveles y eso. Pablo aka "Txipi" suele hacer algo similar en el hack it.
Pero... tendríamos que hacer un comité que no participara y que evaluara la complejidad de la resolución de todas las pruebas para "que no se nos fuera la mano en ninguna de ellas" y todos los grupos fueran de dificultad similares. Además de no pisarnos los métodos. Tal vez dividiendonos áreas o como acordáramos. ;)
Para estoy habría que reunirse y montar una cena/fiesta/cachondeo y esas cosas... ;)
>Para estoy habría que reunirse y montar una cena/fiesta/cachondeo
Tú con tal de cachondeo, lo que sea... estoy de acuerdo contigo en que los que montan la prueba no puedan participar directamente, como mínimo que no puedan hacerlo sobre su prueba (no tendría mucha gracia). Tampoco deberían tener opción al premio global (aunque lo ganaran sin los puntos de su prueba, así se evita la suspicacia de que alguien pusiera una prueba muy difícil a conciencia).
Por lo demás, no se hasta que punto es necesario que todos conozcamos las pruebas del resto, porque supongo que a algunos les gustaría jugar a la prueba de otro grupo (aunque no cuente para el premio). Yo votaría por dejar carta blanca a cada grupo para que lo monte como quiera (incluida la dificultad), en la diversidad está la gracia. Puede que algunos 100 puntos sean bastante más caros de conseguir que otros, pero para esto está la picaresca del jugador que tendrá que decidir que recursos dedica a cada reto.
http://icpcres.ecs.baylor.edu/onlinejudge/index.php
Aquí hay que resolver unos cuantos problemas, algunos tienen algún truquillo :P Como suelen decir los profesores "lo mas importante es entender el enunciado".
probando, probando... que Romansoft "acusa" de que están cerrados los comentarios...
Chema mira que no decir nada del Wargame de de elhacker.net :(
http://warzone.elhacker.net
A ver si el Michael (Gynvael) ese es capaz de pasar todas las pruebas xDD
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/240/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
|
