tag:blogger.com,1999:blog-2098400166368127252.post5525811397554598951..comments2023-10-27T10:39:03.662+02:00Comments on El Blog de David Carracedo: El timo del h4ckc0nt3st en GSICKMINDS 2013Avantahttp://www.blogger.com/profile/12956305446750913309noreply@blogger.comBlogger8125tag:blogger.com,1999:blog-2098400166368127252.post-78677550915540676752013-12-28T15:07:14.743+01:002013-12-28T15:07:14.743+01:00Siguiente tema: la satisfacción personal.
Es geni...Siguiente tema: la satisfacción personal.<br /><br />Es genial resolver pruebas de CTF, cada semana resuelvo 1 o 2 y mola mucho.. ahora, si no van a publicar un ranking, dar los premios que anunciaron y/o al menos hacer una mención al tema, entonces que no le llamen CTF, que no le den publicidad, y a lo mejor yo me planteo si ir o no, que para hacer deberes y sentirme muy capaz ya los saco de Internet y los resuelvo yo solo. <br /><br />¿No lo entiendes? ok, dile a un equipo que gana la liga que eh, eso es un deporte, ¡y lo importante del deporte es participar y la salud y tal!, o al pintor que manda su obra a un concurso, ¡que pinte por amor al arte! después de anunciar otra cosa eso si. Vamos que no veo en donde está escrito que la satisfacción esté reñida con la competitividad y el reconocimiento.<br /><br /><br />Otro tema, lo de las pruebas<br /><br />Este es el anuncio de la web:<br /> criptografía, ingeniería inversa, programación, esteganografía, forense, análisis de red...<br /><br />Hubo las 2 primeras, no hubo nada de programación, stego, forensics o análisis de red. A no ser claro, que programación sea que los binarios los programó alguien en algún momento, stego sea la información oculta (cof cifrándola cof) en una de las pruebas, forensics lo que están haciendo ellos con los 20 GB de logs (cof cof cof) y análisis de red lo que hicieron en las primeras 8 horas para poner a andar la web. Total, 2 de 6.<br /><br /><br />Y por último, lo del dinero, que de verdad.. que no nos importa, como dices tu son "250 miserables euros", pero es que vamos a ver.. ¿dónde están?, si no los van a dar, ¡que no lo anuncien!, es así de fácil.<br /><br />Y lo del bus, de verdad... me parece increible que lleguemos a que YO tenga que justificar lo que gasté o dejé de gastar en ir a un concurso ¿para qué? en fin.. ya puestos<br /><br />7,50 el viaje *5* 2 (ida y vuelta ) *3 días = 225€ quedándose a comer allí, con sólo 2 viajes al día<br /><br />Pongo esto porque preguntas por el bus, obviamente no fuimos en bus, porque tenemos trabajos, horarios y familias, y nos dejamos BASTANTE MÁS dinero porque tuvimos que ajustar al máximo los horarios para ir en las horas libres en nuestros coches particulares.<br /><br />Pero de todas formas, no creo que tenga interés, como dije antes, ni de coña nos compensarían los 150€ lo que hemos gastado en ir, pero es que me da igual, ¿entiendes?, ¡que se los coman con patatas hombre!, me-da-igual, si me importara nos hubiéramos ido el día 1, cuando nos dijeron lo de las normas "bis". Pero no es eso, esto es un asunto de dignidad y de que cada uno tiene derecho reclamar lo que es suyo, fin.Avantasiahttps://www.blogger.com/profile/15784808390852020671noreply@blogger.comtag:blogger.com,1999:blog-2098400166368127252.post-75933250261243500722013-12-28T15:06:56.488+01:002013-12-28T15:06:56.488+01:00A ver, como te molestas en dar tu punto de vista, ...A ver, como te molestas en dar tu punto de vista, te contesto parte por parte, pero creo que estás intentando defender lo indefendible la verdad. (pongo la contestación en 2 partes, que blogger me lo corta)<br /><br />Tunelko no es de mi equipo, pero si participo normalmente con el en otro equipo digamos más "profesional", y me voy a permitir hablar por el para no liar más el tema, no creo que se le haya ido la pinza pero se que como yo ha alucinado un poco con este tema cuando se lo conté y a lo mejor le pudo la emoción. <br /><br />Precisamente llevamos un montón de CTF este año y el 90% están organizados por voluntarios, asociaciones non-profit, grupos de usuarios, etc.. precisamente este era uno de los más patrocinados, y nos esperábamos mucho más, lo de la falta de experiencia no es excusa para no poder tratar bien a la gente o al menos para responder, lo que me lleva a ...<br /><br />Obviamente ya hemos intentado contactar con ellos, en persona, via mail y via twitter (que es por donde dijeron que iban a dar los resultados), y como se puede ver, hace un buen rato que dejaron de responder, a mi y a todo el mundo que tiene otros problemas (diplomas, camisetas, etc..), se han esfumado, lo que me faltaba era tener que ir hasta allí y aún encima invitarles a algo ;).<br /><br />Otro tema, lo de escribirle al Rector.<br /><br />Yo he dejado mi centro para hacer actividades a grupos que no están directamente relacionados conmigo (noites drupal, charlas de SL, temas de impresión 3D, etc..), y si algo así pasara en esos eventos no solo vería normal que los participantes se pusieran en contacto conmigo, sino que lo agradecería, porque en el momento en el que yo pongo mis instalaciones para organizar algo, ese evento queda asociado a mi nombre, al de mi empresa o en este caso al de la Universidad, lo mismo con los patrocinadores etc.. , por otra parte es un tirón de orejas a ellos pero también a la Universidad, porque si en realidad ha fallado la infraestructura, deberían poner los medios para que no pase otra vez. <br /><br />Lo que está claro es que meter la mierda debajo de la alfombra es una actitud con la que no vamos a ningún sitio, ¿qué quieres que hagamos? acaba el tema y todo el mundo se da palmaditas en la espalda porque todo ha salido muy bien, y si no ha sido así ignoramos lo que ha salido mal, y si alguien no quiere que se ignore, que lo arregle en el bar...¿? no entiendo a donde quieres llegar por ese camino la verdad.Avantasiahttps://www.blogger.com/profile/15784808390852020671noreply@blogger.comtag:blogger.com,1999:blog-2098400166368127252.post-47133373188853105992013-12-28T14:55:13.471+01:002013-12-28T14:55:13.471+01:00No hombre, no es un vacile ni se me ha ido la pinz...No hombre, no es un vacile ni se me ha ido la pinza xD. No te estoy llamando corrupto, ni mucho menos. Mi comentario final califica tu aportación en condicional. Si crees que todo ha sido 'normal', que veo que ya aclaras que no, si meto tu comentario en el mismo saco que a los que organizan (quienes sean me da igual), que sí les veo un puntito de poca transparencia, al menos. <br /><br />Creo que mientras los responsables no aclaren el asunto, podemos hablar de muchas cosas, pero la cuestión se quedará sin resolver. <br /><br />Para mí el tiempo invertido vale mucho mas que el dinero. Pero es una opinión. <br /><br /> <br />tunelkohttps://www.blogger.com/profile/02881758338018313313noreply@blogger.comtag:blogger.com,1999:blog-2098400166368127252.post-51759114654849671492013-12-28T13:22:37.805+01:002013-12-28T13:22:37.805+01:00Si ya te digo que entiendo el cabreo, y no dudo de...Si ya te digo que entiendo el cabreo, y no dudo de la capacidad de vuestro equipo ni nada de eso (esto va también por tunelko, que parece que se le ha ido la pinza un poco con el asunto, ¿corruptos?, ¿me estás vacilando? xD).<br /><br />Pero...<br /><br />No tengo yo tan claro que el CTF se lo hayan currado entre Gesteiro y Kachakil, exclusivamente, pero ahí no entro porque no tengo datos. Me parecería raro que en un evento como éste no hayan colaborado otros voluntarios. Tampoco veo que en la web anunciasen pruebas de pentesting web, sí de red, así que tienes razón en que no han cumplido esa promesa. Resumiendo, montarse un CTF y caer en la asunción de que todo va a funcionar bien a la primera es un fallo gordo, máxime si hablamos de las instalaciones de la FIC. Y sí, no saber cómo tratar a la gente es también un problema de experiencia.<br /><br />Igual es que yo soy un pardillo, vamos, pero no creo que os intenten timar por 250 miserables euros. Aparte, si te has fijado, parece que lo de resolver los diplomas también les cuesta lo suyo.<br /><br />El derecho a pataleta lo tenemos todos, qué duda cabe. Y, por si las moscas, ya os digo que mi interés en GSIC es nulo.<br /><br />Pero hasta donde llega mi conocimiento, y quizá me equivoque, GSIC es un grupo que pertenece a la FIC y por tanto lo lleva gente de ahí, así que no estamos hablando de un evento montado por profesionales sino por voluntarios y aficionados a la seguridad. Podeis despellejarlos todo lo que querais, pero, y esto es una apreciación personal, siempre he creído que lo de los CTF es algo que tiene más que ver con la satisfacción personal que con el reconocimiento público, y es que he visto gente quedando en un puesto bajísimo en un CTF que se va con la cabeza bien alta por haber resuelto una prueba, ¿qué problema hay?<br /><br />Por cierto, este año estuve en la NcN y el CTF fue muy, muy interesante. Yo no participé pero unos colegas sí lo hicieron. Nivel muy alto, pruebas chulas y una ambientación con mapa del mundo al estilo Risk incluido que era la leche. Pero es lo que tiene la pasta y que el CTF lo patrocine Facebook. Las quals, por otra parte, dependían de la rapidez y de la calidad del writeup, lo cual tampoco me parece nada raro.<br /><br />Resumiendo, vive y deja vivir, y si tienes mucho, mucho interés en saber qué ha pasado, busca a los chavales del GSIC (me imagino que tendrán un despacho diminuto en algún lugar de la FIC), les invitas a una cerveza en la cafetería y que te cuenten su vida, seguro que es algo mucho más productivo que acusarles de inútiles o de matar gatitos. O, en lugar de escribir al rector (que suena al típico "a mamá que vas"), ¡escríbeles a ellos! No creo que se escondan ni que sea tan complicado encontrar sus correos por ahí...<br /><br />P.D. ¿Os ha costado más de 150 pavos ir tres días a Coruña? ¿Para cinco personas? ¿A cuánto está el autobús?Anonymoushttps://www.blogger.com/profile/10689697675060883401noreply@blogger.comtag:blogger.com,1999:blog-2098400166368127252.post-73839600198058084602013-12-27T12:57:11.327+01:002013-12-27T12:57:11.327+01:00Voy a contestar a lo escrito por Manuel.
En prim...Voy a contestar a lo escrito por Manuel. <br /><br />En primer lugar empiezas diciendo "Aparte de los fallos en la organización". Vale, párate aquí. Ya no sigas escribiendo más. Todo lo que dices después, son defensas injustificables ante un hecho claro: aquí hubo un CTF donde se invita a la gente a participar, con pruebas muy trabajadas donde hay una personas que emplean tiempo y esfuerzo y que son tratados "post-evento" con un desprecio que jamás he visto en otras competiciones de seguridad. Y te puedo asegurar que he participado en unas cuantas y con gente muy preparada. Y organizado, cuando lo he hecho, comprometiéndome a elaborar y 'dar soporte' a participantes. Y cumpliendo. <br /><br />Por otra parte, ponte tu a hacer y resolver las pruebas de reversing y luego nos comentas. Se resolvieron, y obviamente esta fuera de lugar lo de 'Si no tienes idea de análisis de binarios'. <br /><br />Volviendo al tema principal, si, ya sé, no es tan grave que se organice un evento de seguridad y que no se cumplas las normas establecidas previamente. No se acaba el mundo amigo, pero es una vergüenza y por supuesto es denunciable. Por que aquí estamos acostumbrados al 'no ha sido con malicia' (que nadie juzga esto) y no pasa nada. Pues si pasa, que le toman el pelo a la gente con decisiones como las anunciadas por twitter, a saber: <br /><br />- Que si estamos analizando el ranking con 20GB de logs. WTF!<br />- Qué si, que publicamos los writeups ahora mismito. mentira. <br />- Que vosotros (los primeros) no tenéis nada que ver y vuestra posición es inamovible.<br />- Que la duda está en los otros. <br /><br />Bien, que anuncien: no hay ranking. Y ya está. Pero la opacidad en estos casos no suele agradar mucho a la gente. <br /><br />Y si ahora sigues defendiendo y quitándole importancia a estos hechos, te devuelvo tus dos céntimos, están manchados y corruptos. <br />tunelkohttps://www.blogger.com/profile/02881758338018313313noreply@blogger.comtag:blogger.com,1999:blog-2098400166368127252.post-59378086005741641672013-12-27T12:00:09.082+01:002013-12-27T12:00:09.082+01:00Ah y se me olvidaba una cosa, ¿los premios?, aunqu...Ah y se me olvidaba una cosa, ¿los premios?, aunque no sea lo que más nos importe... hay 250€ en premios de los que nadie sabe nada, y ¿el ranking?, y que dejen de responder en twitter ¿eso es la falta de experiencia también?Avantasiahttps://www.blogger.com/profile/15784808390852020671noreply@blogger.comtag:blogger.com,1999:blog-2098400166368127252.post-9973851862258390832013-12-27T11:51:02.560+01:002013-12-27T11:51:02.560+01:00A ver por partes, lo del equipo y el reversing: Lo...A ver por partes, lo del equipo y el reversing: Los CTF tienen varios tipos de pruebas, obviamente no todo el mundo en un team de CTF sabe de todo, los que le dan a binarios se lo pasarían en grande aquí, porque todas las pruebas técnicas menos una eran de reversing que no es lo que anunciaron<br /><br />De todas formas no me quejo de que hayan sido complicadas para nosotros eh, sobre todo porque resolvimos las que había (menos crypto) el primer día y quedamos #1 en el ranking hasta el final ya, pero entiendo que había gente que esperaba pruebas de network, web, .. vamos, lo que anunciaban. De todas formas creo que llevamos a la gente adecuada, y por eso quedamos como quedamos.<br /><br />Por otra parte viendo los writeups siempre parece todo muy fácil (porque entiendo que 72 horas te parece mucho para estas pruebas) pero nadie hizo dos de los tres binarios salvo nuestro equipo, el resto solo hicieron el de ARM, si quieres comparamos los binarios con otros de otras competiciones, creo que salvo el ese el resto tenían una dificultad bastante elevada, claro que al no haber otras pruebas se le pudo dedicar bastante tiempo, pero ponen esto en un CTF normal y seguramente se dejaría de lado. <br /><br />Además estas pruebas suelen ir aumentando en dificultad, aquí había una prueba fácil, un candado, una pregunta sobre un color y 3 bastante complicadas.<br /><br />Sobre la falta de experiencia, pues bueno.. teniendo en cuenta que lo organizaba Miguel Gesteiro, que ha organizado mil CTF antes, que colaboraron con kachakil que está en el equipo de CTF español con mejores resultados de los últimos años, y que no es la primera ni la segunda vez que hacen esto, no me esperaba encontrarme con falta de experiencia ni con estos problemas. Y si, se que lleva tiempo, yo he preparado uno mucho más pequeño para la Kernel Party en Mugardos y nos llevó meses prepararlo todo, pero le pusimos algo más de cariño creo yo, por respeto a los que se pasan los dos días de party partiéndose el coco más que nada.<br /><br />Comparaciones con otros CTF, que si la NcN y la Rooted.. uf, prefiero no comparar, este año he participado en decenas de CTF y este ha sido el peor, pero con mucha diferencia, el menos transparente, etc.. pero ya que lo mencionas en segundo lugar estarían las quals de la NcN, que tuvieron su tela también, en donde no fueron 12 horas sino 3 o 4 días para 3 pruebas de risa y se evaluaban en secreto tras enviar el writeup, la presencial ya no se como fue porque ni nos planteamos desplazarnos allí.<br /><br /><br />Avantasiahttps://www.blogger.com/profile/15784808390852020671noreply@blogger.comtag:blogger.com,1999:blog-2098400166368127252.post-87089298281039324262013-12-27T10:28:05.596+01:002013-12-27T10:28:05.596+01:00Mis dos céntimos...
Aparte de los fallos en la or...Mis dos céntimos...<br /><br />Aparte de los fallos en la organización, que para los que hemos ido a otros eventos en la FIC ya sabemos cómo funcionan las cosas y no siempre es culpa de los chavales, que ponen mucha ilusión y ganas (y obviamente no cobran un euro), sino de que las redes, la instalación eléctrica y el material parecen cuánticos, no entiendo a qué viene tanta queja, la verdad.<br /><br />Reversing. Si no tienes ni idea de análisis de binarios y te vas a un CTF, pues hombre, qué decir. Piensa que tanto una prueba de reversing como una de exploitation requieren básicamente de las mismas capacidades del participante, ¿te llevarías a una prueba de triatlon a un tipo que no sabe montar en bici y nada regular? Pues eso.<br /><br />Candados. Lo suyo es que las pruebas sean complejas, más todavía viendo los writeups que has puesto y que teníais, de entrada, 72 horazas para completar la prueba. Por contra, en el CTF de la NcN de este año eran unas 12 horas si no recuerdo mal, y el de la Rooted habitualmente es un día.<br /><br />Irregularidades, sí, pero no creo que hubiese malicia sino falta de experiencia. Montar un CTF no es algo que se pueda hacer en un par de días, y no sólo por las pruebas, esa es la parte sencilla, sino por la infraestructura y que siempre viene algún listo con ganas de joder a los demás.<br /><br />Total, que entiendo tu mala leche, pero tal vez convendría ponerse en la posición de los que han organizado el evento.<br /><br /> Anonymoushttps://www.blogger.com/profile/10689697675060883401noreply@blogger.com