[HACK] Pandas with Gambas se clasifican en primer lugar para la Capture The Flag de la Defcon

[merce]

11/07/08 09:54:28


UN GRUPO ESPAÑOL LOGRA EL PRIMER PUESTO EN LAS SEMIFINALES DEL
CONCURSO DE HACKING MÁS LEGENDARIO


Mercè Molist
Se llaman "Pandas with Gambas" y se van de vacaciones a Las Vegas, a
la DefCon, la reunión de hackers más legendaria del planeta. Son
diez españoles con una edad media de 27 años, expertos en seguridad
que disfrutan defendiendo y atacando máquinas por el puro placer del
reto. Han superado ya el primero: ponerse a la cabeza de los 200
grupos que competían para participar en "Capture The Flag", el
principal concurso de hacking de la DefCon.

"Capture The Flag" (Captura La Bandera) es un tipo de "wargame" o
concurso de hacking y el de Las Vegas se considera el más duro del
mundo. Los equipos reciben una copia exacta de un servidor, con los
mismos programas instalados, creados por los organizadores. Cada
programa tiene al menos un fallo de seguridad y el juego consiste en
descubrirlos, para defender el propio servidor y atacar los de la
competencia.

"Hay trabajo para todos, en análisis de código, monitorización,
ataque, defensa, automatización; somos un grupo bastante heterogéneo
y tenemos especialistas de cada área", explican Pandas with Gambas.
El grupo se creó el año pasado, para competir en la DefCon, donde
quedaron terceros. El concurso les tuvo 72 horas sin dormir, pero
quieren repetir.

"Nos clasificamos 'in extremis', cuando resolvimos una prueba de
dificultad máxima en las últimas dos horas, fue de infarto",
recuerdan. Ya en la fase final, empezaron liderando la prueba pero
les pudieron "el cansancio y la desventaja en cuanto a integrantes
del grupo, ya que éramos sólo siete frente a los doce de media del
resto", aseguran.

Este año, la clasificación ha sido más cómoda "gracias a la ayuda
que hemos obtenido de la comunidad hacker española, que ha
sacrificado sus horas de sueño para echar un cable", explican. Las
25 pruebas clasificatorias estaban divididas en cinco áreas:
ingeniería inversa de programas, análisis forense, conocimientos,
explotación de programas y explotación avanzada. Han empatado con
otro grupo, "Routards", franco-suizo.

Así que, del 8 al 10 de agosto, estarán en Las Vegas: "Tenemos
posibilidades, pero será complicado porque el nivel de dificultad
aumenta cada año", aseguran. Por si acaso, están entrenando: "Es un
poco difícil porque cada uno tiene su trabajo y horarios, pero vamos
haciendo los ejercicios que no resolvimos el año pasado y también
desarrollamos herramientas que nos ayuden en el concurso".

Su buena actuación en las clasificatorias demuestra, según Pandas
with Gambas, que "en España hay gente muy buena, esperamos que las
nuevas generaciones tengan tantas ganas de aprender como nosotros a
su edad". Estos concursos son, precisamente, una forma de aprender
sin daños colaterales, ya que los ordenadores y programas están
controlados por la organización.

El origen de los concursos de hacking fueron las competiciones
científicas en las universidades, que se hacían también en las
facultades de informática y de aquí saltaron a Internet. A mediados
de los años 80, en la red de grupos de noticias Usenet se celebraban
las "Obfuscated C Contest" (Competiciones de C Ofuscado), que
consistían en crear el programa más raro. El sitio Hackerslab fue
pionero en organizar "wargames" a nivel internacional.

En España, los primeros concursos públicos de hacking fueron los
Torneos iZhal y Boinas Negras, del Instituto Seguridad Internet, en
2002 y 2003. Empresas como S21sec y blogs, como el del experto Chema
Alonso, organizan regularmente retos para la comunidad hispana. El
último ha sido el I Torneo de Seguridad BlindSec, de la empresa
Blind Security, que acabó el 3 de julio con casi 400 personas inscritas.

"Algunos sirven para crear comunidad y compartir conocimiento, otros
para concienciar a la gente de los peligros que acechan en la red,
otros simplemente para publicitar un producto", explican Pandas with
Gambas. Estos últimos son los más difíciles, ya que algunas empresas
hacen trampa y ponen límites de tiempo imposibles para atacar sus
productos, que después venderán como "a prueba de hackers".

Hay muchos tipos de "wargames": sobre criptografía, programación,
análisis de programas, aplicaciones web o multiprueba, como "Capture
The Flag". Algunos son para individuales y otros para equipos, los
hay públicos y también privados, pueden durar horas o semanas.
También varían los premios: desde sustanciosas cantidades, como en
el sitio HackerChallenge, hasta recompensas simbólicas, como en la
DefCon, donde Pandas with Gambas se llevarán, si ganan, la "Insignia
Negra".

"Estos concursos suponen un verdadero reto intelectual, sobre todo
cuando el fallo ha sido construido y colocado a propósito por los
organizadores, porque puede ser tan enrevesado como se les haya
ocurrido. Ellos han hecho el puzzle y te toca a tí resolverlo, esa
es la gracia", afirman los chicos, para quienes participar en
"wargames" es, dicen, "como para un alpinista escalar una montaña".




Pandas with Gambas
http://sexy.pandas.es

Pandas en la DefCon 2007
http://sexy.pandas.es/blog/2007/08/18/ctf07-report/

DefCon
http://www.defcon.org

"Capture The Flag"
http://en.wikipedia.org/wiki/Capture_the_flag

"Obfuscated C Contest"
http://www.catb.org/jargon/html/O/Obfuscated-C-Contest.html

Hackerslab
http://www.hackerslab.org

iZhal: una comunidad dedicada al hacking
http://www.rs-labs.com/papers/izhal.pdf

Chema Alonso
http://elladodelmal.blogspot.com

I Torneo de Seguridad Informática Blind Security
http://www.blindsec.com/info/noticias/I_Torneo_de_Seguridad_Informatica_Blindsec

Crackmes
http://crackmes.de

Hackerchallenge
http://www.hackerchallenge.org




Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire
article is permitted in any digital and no commercial medium,
provide this notice is preserved.