lunes, 20 de diciembre de 2010

Este fin de semana estuvo movido por el 1er CTF - RuCTF, (1 cada año) en el cual tuve la posibilidad de participar por Colombia con el grupo de Hacking LowNoiseHG. Universidades de Rusia, Italia, Alemania, Francia, España y Colombia (Uniandes, UNAL, UDEA) entre otras participaron en este evento.


Para los que no sepan que es un CTF (Capture The Flag) voy a dar una breve inducción.

Se trata de un concurso de Hacking en donde cada equipo se conecta a una red privada mediante una conexion VPN (Virtual Private Network) la cual debe ser configurada y puesta a punto días anteriores al evento, también se debe desacargar una imagen de una máquina virtual que está cifrada con PGP y la contraseña es entregada 1 hora antes de que empiecen a atacar :), ésta imagen contiene 8 aplicaciones que tienen huecos de seguridad que permiten acceder a las banderas de otros equipos.

La idea principal es capturar unas cadenas de texto con un formato definido las cuales se les llama las banderas y básicamente son 31 letras seguidas de un igual ejemplo "aaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=", una vez capturadas estas banderas hay que enviarlas a un servidor que actúa como jurado y nos va dando puntos por cada vez que enviemos una bandera de otro equipo.

Ya conociendo la idea de lo que es un CTF voy a contar lo que sucedió en este CTF.

Días anteriores estuvimos en la casa de ByteMare preparando la infraestructura y adecuando el espacio para que todo estuviera listo el día del evento.

Nos reunimos 3 horas antes de dar inicio a la competencia para probar que todo funcionara como esperabamos y asi fué, el nerviosismo reinaba en el ambiente y más la curiosidad de saber con qué retos nos ibamos a encontrar.
Más allá de ostentar el 1er lugar con la jugosa suma de 900$ dolares, teníamos la idea de ser los conejillos de india y grabar todos los ataques que nos hicieran los Rusos, para luego tener material de estudio y así aprender de nuevas tecnologías de Hacking, llevándonos una grata sorpresa que cerca de 2 horas despues de haber iniciado el juego pudimos llevar a cabo 8 ataques de manera exitosa, los cuales nos generaron los puntos que con la que a la final terminariamos.
Intentamos crear herramientas que automatizaran los ataques, pero cometimos errores muy inocentes debido a la presión de la emoción que sentíamos en ese momento de saber que estabamos atacando a otros equipos y con ataques 100% exitosos.
Tuvimos que lidiar y tratar de bloquear ataques de todo tipo, como son intrusiones de virus, redirección de información, denegación de servicio y finalmente el objetivo del concurso, captura de nuestras banderas.
Nos defendimos hasta el último segundo lo que nos permitió tener un muy merecido 70% de defensa, comparable con puestos como el 10-20 de las Universidad de Italia, Rusia, Estados Unidos etc, donde los superamos ampliamente.
Luego de 12 horas continuas de
Lo importante de esto fué haber podido poner el nombre de Colombia en este tipo de competiciones y sentir la satisfacción del reconocimiento realizado por los otros equipos respecto a nuestra participación.



1 comentarios:

J3L dijo...

No se pueden ver?

Páginas vistas en total

Con la tecnología de Blogger.

Entradas populares

Seguidores