EDIT a finales de 2015: Por fin, en Octubre de este año, hemos recibido un correo de los actuales organizadores de GSICKMINDS dándonos la razón en nuestro enfado y disculpándose por lo ocurrido.
Han quedado además de pedir una disculpa pública, que creo que pondrán los próximos días en alguna de sus webs (y enlazaré desde aquí)
Además, y realmente esto es algo que no hacía falta pero se agradece, han considerado como ganadores a los dos equipos que estábamos en los primeros puestos y nos han dado el premio a cada uno, pADAwan (de la gente que luego fundamos la asociación de Eurasia) y ka0labs, por nuestra parte hemos decidido donar el premio a la asociación Eurasia y aún dará para un par de charlas este año :)
La verdad es que es un detalle, y dada la difusión que tuvo esto en su día me veía obligado a rectificar en el mismo sitio donde expresé mis quejas . ¡Más vale tarde que nunca!
----------------------------------------
Ya ha pasado un tiempo prudencial desde que decidí ir con mis alumnos a este evento organizado por el grupo GSIC (Grupo de Seguridad de la Información) de la Universidade de A Coruña, y este tiempo me ha valido para dos cosas, por una parte para ver objetivamente los hechos sin el calentón lógico de esos días y por otra para esperar respuesta a algunas cuestiones por parte de la organización o la universidad, en definitiva, no ha valido para nada.
Por eso, después de este tiempo voy a publicar esto por aquí, que es la carta al rector que escribí informando de lo ocurrido y que es un resumen perfecto de la super-organización de uno de los supuestos eventos punteros de seguridad en este país, que encaja a la perfección en la mentalidad españistaní que reina por aquí últimamente.
También aprovecho para publicar los writeups de las challenges (que por cierto no eran nada fáciles, no es que hayamos ido de paseo) que algunos estaban esperando, porque me parece que si esperamos por la organización vamos apañados y ha pasado ya un tiempo razonable.
Aquí la prueba 2
Aquí la prueba 4
Aquí la prueba 6
Y al tema, el correo:
---
---
Edit: Añado algo de información sobre el evento porque claro, en la carta al rector no me metí mucho en el tema técnico porque supuse que no le resultaría muy interesante, así que explico un poco.
Un CTF es una competición de seguridad informática que consiste en capturar una "bandera" (de ahí el nombre, capture the flag) que suele ser una palabra clave escondida detrás de algún tipo de protección que hay que saltarse.
Este en concreto es un CTF de tipo jeopardy, en el que se apuntan equipos y tienen entre 1 y 3 días normalmente para realizar pruebas de varios tipos en distintas categorías que suelen ser (puede variar) network, crypto, forensics, reversing, binary, web, stego, programación, a veces preguntas tipo trivia .. de todo un poco, las pruebas dan puntos según su nivel de dificultad y más o menos es un standard que las pruebas más fáciles den 100 y las más dificiles 400, pero repito, esto depende del concurso y puede variar.
Se puede ver que hay una comunidad bastante activa a nivel internacional en sitios como ctftime.org que intenta llevar un control y un ranking sobre los eventos.
Dicho esto, desde el punto de vista técnico el concurso fue un desastre también, ¿por qué? pues..
Han quedado además de pedir una disculpa pública, que creo que pondrán los próximos días en alguna de sus webs (y enlazaré desde aquí)
Además, y realmente esto es algo que no hacía falta pero se agradece, han considerado como ganadores a los dos equipos que estábamos en los primeros puestos y nos han dado el premio a cada uno, pADAwan (de la gente que luego fundamos la asociación de Eurasia) y ka0labs, por nuestra parte hemos decidido donar el premio a la asociación Eurasia y aún dará para un par de charlas este año :)
La verdad es que es un detalle, y dada la difusión que tuvo esto en su día me veía obligado a rectificar en el mismo sitio donde expresé mis quejas . ¡Más vale tarde que nunca!
----------------------------------------
Ya ha pasado un tiempo prudencial desde que decidí ir con mis alumnos a este evento organizado por el grupo GSIC (Grupo de Seguridad de la Información) de la Universidade de A Coruña, y este tiempo me ha valido para dos cosas, por una parte para ver objetivamente los hechos sin el calentón lógico de esos días y por otra para esperar respuesta a algunas cuestiones por parte de la organización o la universidad, en definitiva, no ha valido para nada.
Por eso, después de este tiempo voy a publicar esto por aquí, que es la carta al rector que escribí informando de lo ocurrido y que es un resumen perfecto de la super-organización de uno de los supuestos eventos punteros de seguridad en este país, que encaja a la perfección en la mentalidad españistaní que reina por aquí últimamente.
También aprovecho para publicar los writeups de las challenges (que por cierto no eran nada fáciles, no es que hayamos ido de paseo) que algunos estaban esperando, porque me parece que si esperamos por la organización vamos apañados y ha pasado ya un tiempo razonable.
Aquí la prueba 2
Aquí la prueba 4
Aquí la prueba 6
Y al tema, el correo:
---
Estimado Señor Rector:
Me pongo en contacto con usted para ponerle al corriente de unos hechos que creo pueden ser de su interés, y que paso a detallar a continuación.
En el transcurso de nuestra participación en GSICKMINDS 2013 organizado por el Grupo de seguridad de la información de A Coruña en el Aula Magna de la Fac. de Informática de A Coruña los días 24,25 y 26 y en donde la FIC es el principal patrocinador y organizador. según anuncian en la información del evento
"GSICKMINDS es un evento organizado por el Grupo de seguridad de la Información de A Coruña (GSIC), nacido en 2009 bajo el patrocinio de la Facultad de Informática de A Coruña y la Universidad de A Coruña, con objeto de fomentar el desarrollo de sistemas de información seguros y proponer soluciones que salvaguarden la integridad y confidencialidad de los activos digitales."
hemos observado y sufrido una falta absoluta de organización y transparencia
En la página web del evento se anuncia una actividad llamada "h4ckc0nt3st" cuya descripción es la siguiente
----
La competición de seguridad y hacking creada por Miguel Gesteiro que celebramos en GSICKMINDS por tercer año consecutivo. Si te gustan las emociones fuertes te lo pasarás en grande porque habrá desafíos de todas las clases: criptografía, ingeniería inversa, programación, esteganografía, forense, análisis de red...
Para participar necesitas:
Apuntarte (tu equipo o tú solo) en el portal web que indicaremos DURANTE LA PRESENTACIÓN DE LA JORNADAS el jueves 24.
Curiosidad por saber cómo funcionan las cosas (¡espíritu hacker!)
Un ordenador (aunque NO para todos los desafíos... ;)
Uno de los objetivos de la actividad es promover la Seguridad Informática de forma práctica y desde un punto de vista ofensivo (tendrás que comportarte como lo haría un atacante real...). Pero nunca estarás solo: podrás hacernos todas las preguntas
que quieras y te daremos pistas.
Happy hacking!
Horario: desde las 10:00 del jueves 24, hasta las 12:00 del sábado 26 (24 h non-stop)
Fechas: jueves 24 , viernes 25 y sábado 26
Lugar: on-line (en la red WiFi de las jornadas)
Plazas: ilimitadas
Precio: gratuita
Premios: 1º 150€ | 2º 75€ | 3º 35€
----
Como formo parte de un grupo interesado en estos temas, y además imparto clase de seguridad informática en un centro privado, decido después de ver la descripción en la página apuntarme con mis alumnos reservando en los respectivos trabajos unas horas para poder asistir al evento.
El Jueves 24 a las 10:00 empezamos el evento, con los siguientes contratiempos:
- El evento empezó a las 18:00 después de numerosos retrasos, lo que es inaceptable, y aún lo es más que no se ofreciera ningún tipo de explicación convincente o al menos una disculpa por parte de la organización después de 8 horas de retraso en las que nos limitamos a esperar en el hall de la facultad.
- Cuando el evento empezó, se nos facilitó una web con unas normas internas del concurso que entre otras cosas especificaban que los no inscritos en las jornadas como asistentes podían participar pero sin derecho a premio, norma que entiendo debería ser anunciada en alguno de los múltiples anuncios previos al evento, y no con posteridad, cuando ya los equipos se han desplazado y apuntado.
- Decidimos continuar a pesar de estar participando ya sin derecho a premio. Dentro del esquema lógico del concurso, había 5 pruebas iniciales que fuimos resolviendo a medida que pasaba el tiempo .A falta de dos horas, se anunció la última prueba, algo del todo irregular y desequilibrante. A pesar de esto, resolvimos ya fuera de tiempo dicha prueba.
- Una de las pruebas, consistente en abrir un candado, es anulada después de que varios equipos la completaran con éxito, entre esos equipos el nuestro.
- Cuando el concurso acaba, a las 12:00 del sábado, detectamos que algún equipo todavía está realizando las pruebas y desde la organización nos contestan que "acabará a las 13:00 porque la hora del ordenador que usamos está una hora retrasado"
A pesar de esto, nuestro equipo ganó el evento con una diferencia de 20 puntos sobre el segundo, y no solo eso, sino que escribimos informes de cómo realizamos las pruebas que reenviamos a la organización, incluso hicimos la prueba del sábado a las 10:00 aunque fuera de tiempo, pero cuando asistimos a la conferencia de clausura, donde se iba a realizar la entrega de premios, no hubo ni una sola mención al concurso excepto que había "dudas razonables" en alguno de los puestos, y tenían que pasar un proceso de revisión, que anunciarían en twitter los ganadores.
Tras varios días y múltiples preguntas en twitter, no hemos obtenido ninguna respuesta por parte de la organización.
Después de estos hechos creemos que la imagen que ha dado la organización del evento ha sido totalmente irrespetuosa con los participantes, opaca y nos genera cierta desconfianza el método utilizado para ir poniendo trabas a determinados equipos en base a reglas no anunciadas con anterioridad.
Nosotros no hacemos esto por dinero, de hecho sólo el desplazamiento de las cinco personas de mi equipo desde Ferrol a Coruña durante tres días, más gastos, no hubiera compensado los 150€ que se anunciaban como premio, nosotros participábamos por poner a prueba los conocimientos adquiridos y por el reconocimiento que implica ganar un evento de estas características, pero el no tener ni una simple mención después de haber ganado es una terrible falta de respeto.
Por eso nos hemos puesto en contacto con usted, porque creemos que los actos que se organicen en la Universidad, con su patrocinio y aprobación, deberían tener cierto grado de control y unos mínimos de calidad que en esta ocasión no se han alcanzado.
Atentamente
David Carracedo Martínez
---
La respuesta llegó bastante tiempo después, desentendiéndose del asunto, porque la UDC pone las instalaciones pero GSIC es un grupo de alumnos y ex-alumnos no relacionado directamente, etc, etc..
Por otra parte, hemos intentado contactar con la organización por twitter, por mail, y las respuestas han sido de lo más graciosas, porque vereis, después de quedar primeros en un concurso de seguridad, que te contesten esto:
@avanta estamos analizando la máquina recién llegada: 20GB. Nos va a llevar un poquito :) #paciencia #gsickminds #h4ckc0nt3st
¿20 GB de logs de qué? si las pruebas consistían principalmente en binarios, te los descargabas y los hacías en tu propia máquina, ¿que tienen que revisar?, luego dicen que
@avanta ¡El server! :) tenemos que revisar logs para ver que no alteramos el ranking al introducir los puntos de #lockpicking #h4ckc0nt3st
¿El ranking genera 20 GB de logs ? si éramos unos 20 equipos participantes y solo había que entrar ahí para descargar las pruebas y meter los códigos de las puntuaciones, ¿cuántas peticiones puede haber en este log?, 200, 20000, 200000... 20GB???!!
Y nada, después de eso han dejado de contestar básicamente, así que supongo que hasta el año que viene, cuando vuelvan a pedir instalaciones y fondos no se les verá el pelo, así que enhorabuena a la organización por un acto tan desastroso.
---
Edit: Añado algo de información sobre el evento porque claro, en la carta al rector no me metí mucho en el tema técnico porque supuse que no le resultaría muy interesante, así que explico un poco.
Un CTF es una competición de seguridad informática que consiste en capturar una "bandera" (de ahí el nombre, capture the flag) que suele ser una palabra clave escondida detrás de algún tipo de protección que hay que saltarse.
Este en concreto es un CTF de tipo jeopardy, en el que se apuntan equipos y tienen entre 1 y 3 días normalmente para realizar pruebas de varios tipos en distintas categorías que suelen ser (puede variar) network, crypto, forensics, reversing, binary, web, stego, programación, a veces preguntas tipo trivia .. de todo un poco, las pruebas dan puntos según su nivel de dificultad y más o menos es un standard que las pruebas más fáciles den 100 y las más dificiles 400, pero repito, esto depende del concurso y puede variar.
Se puede ver que hay una comunidad bastante activa a nivel internacional en sitios como ctftime.org que intenta llevar un control y un ranking sobre los eventos.
Dicho esto, desde el punto de vista técnico el concurso fue un desastre también, ¿por qué? pues..
----
La competición de seguridad y hacking creada por Miguel Gesteiro que celebramos en GSICKMINDS por tercer año consecutivo. Si te gustan las emociones fuertes te lo pasarás en grande porque habrá desafíos de todas las clases: criptografía, ingeniería inversa, programación, esteganografía, forense, análisis de red...
---
Lo normal, sin embargo cuando abrimos las pruebas nos encontramos 5 pruebas con el siguiente contenido:
Prueba 1: Una pregunta chorra: "de que color es el logo de la organización?"
Prueba 2: Reversing de un binario en arm
Prueba 3: Crypto, una prueba de criptografía mortal puesta por kachakil del equipo int3pids, aún no la hemos descifrado a día de hoy (primero estaba cifrado con XOR, de ahí sacabas un rar, ahí unos números y luego una locura :D divertido, pero no se pudo hacer)
Prueba 4: Reversing de otro binario!!! este demencial (ver el writeup arriba)
Prueba 5: Abrir un candado. Si, un candado físico, porque había un taller sobre eso en las jornadas.. sería divertido también, pero cuando 3 o 4 ya lo habíamos abierto el que organizaba la prueba dijo "uy.. es que es demasiado fácil, así que anulada, la repetimos con otro", y nos puso otro candado que no pudimos abrir, sin embargo la prueba la hizo más gente que la primera vez y no la volvieron a anular.
El CTF duraba 3 días, 72 horas.. y estas fueron las pruebas (decían que iban a poner más, pero nanai), cuando quedaban 3 o 4 horas para finalizar ponen..
Prueba 6: Reversing de otro binario!! que obviamente nadie pudo hacer a tiempo, porque era también bastante difícil, pero que hicimos un rato después de acabar, por cabezonada, y porque el último día no teníamos pensado ir, pero al ver que habían puesto una nueva prueba vía twitter, arrancamos el coche y nos desplazamos a Coruña otra vez, para asegurar el #1 en el ranking, cuando llegamos allí y vimos el panorama, ya nos dimos cuenta de que dificilmente se podría haber hecho a tiempo.
Total, que de las pruebas que prometían nada, la gente que no hace reversing fue de paseo, cada vez que hablábamos con alguien de la organización nos decía "tranquiiilos ahora mismo subimos otra prueba", pero nada, un fracaso total.
Quería añadir esto más que nada para la gente que ya sabe de que va el mundillo este, y para animar a los que no lo saben a que hagan cosas de estas.. fuera de españa :D hay un montón de CTF muy buenos a lo largo del año!