jueves, 26 de diciembre de 2013

El timo del h4ckc0nt3st en GSICKMINDS 2013



EDIT a finales de 2015: Por fin, en Octubre de este año, hemos recibido un correo de los actuales organizadores de GSICKMINDS dándonos la razón en nuestro enfado y disculpándose por lo ocurrido.
Han quedado además de pedir una disculpa pública, que creo que pondrán los próximos días en alguna de sus webs (y enlazaré desde aquí)
Además, y realmente esto es algo que no hacía falta pero se agradece, han considerado como ganadores a los dos equipos que estábamos en los primeros puestos y nos han dado el premio a cada uno, pADAwan (de la gente que luego fundamos la asociación de Eurasia) y ka0labs, por nuestra parte hemos decidido donar el premio a la asociación Eurasia y aún dará para un par de charlas este año :)
La verdad es que es un detalle, y dada la difusión que tuvo esto en su día me veía obligado a rectificar en el mismo sitio donde expresé mis quejas . ¡Más vale tarde que nunca!



----------------------------------------

Ya ha pasado un tiempo prudencial desde que decidí ir con mis alumnos a este evento organizado por el grupo GSIC (Grupo de Seguridad de la Información) de la Universidade de A Coruña, y este tiempo me ha valido para dos cosas, por una parte para ver objetivamente los hechos sin el calentón lógico de esos días y por otra para esperar respuesta a algunas cuestiones por parte de la organización o la universidad, en definitiva, no ha valido para nada. 

Por eso, después de este tiempo voy a publicar esto por aquí, que es la carta al rector que escribí informando de lo ocurrido y que es un resumen perfecto de la super-organización de uno de los supuestos eventos punteros de seguridad en este país, que encaja a la perfección en la mentalidad españistaní que reina por aquí últimamente.

También aprovecho para publicar los writeups de las challenges (que por cierto no eran nada fáciles, no es que hayamos ido de paseo) que algunos estaban esperando, porque me parece que si esperamos por la organización vamos apañados y ha pasado ya un tiempo razonable.

Aquí la prueba 2

Aquí la prueba 4 

Aquí la prueba 6

Y al tema, el correo: 

---


Estimado Señor Rector:


Me pongo en contacto con usted para ponerle al corriente de unos hechos que creo pueden ser de su interés, y que paso a detallar a continuación.


En el transcurso de nuestra participación en GSICKMINDS 2013 organizado por el Grupo de seguridad de la información de A Coruña en el Aula Magna de la Fac. de Informática de A Coruña los días 24,25 y 26 y en donde la FIC es el principal patrocinador y organizador. según anuncian en la información del evento


"GSICKMINDS es un evento organizado por el Grupo de seguridad de la Información de A Coruña (GSIC), nacido en 2009 bajo el patrocinio de la Facultad de Informática de A Coruña y la Universidad de A Coruña, con objeto de fomentar el desarrollo de sistemas de información seguros y proponer soluciones que salvaguarden la integridad y confidencialidad de los activos digitales."


hemos observado y sufrido una falta absoluta de organización y transparencia



En la página web del evento se anuncia una actividad llamada "h4ckc0nt3st" cuya descripción es la siguiente




----
La competición de seguridad y hacking creada por Miguel Gesteiro que celebramos en GSICKMINDS por tercer año consecutivo. Si te gustan las emociones fuertes te lo pasarás en grande porque habrá desafíos de todas las clases: criptografía, ingeniería inversa, programación, esteganografía, forense, análisis de red...


Para participar necesitas:


Apuntarte (tu equipo o tú solo) en el portal web que indicaremos DURANTE LA PRESENTACIÓN DE LA JORNADAS el jueves 24.
Curiosidad por saber cómo funcionan las cosas (¡espíritu hacker!)
Un ordenador (aunque NO para todos los desafíos... ;)
Uno de los objetivos de la actividad es promover la Seguridad Informática de forma práctica y desde un punto de vista ofensivo (tendrás que comportarte como lo haría un atacante real...). Pero nunca estarás solo: podrás hacernos todas las preguntas
que quieras y te daremos pistas.


Happy hacking!


Horario: desde las 10:00 del jueves 24, hasta las 12:00 del sábado 26 (24 h non-stop)
Fechas: jueves 24 , viernes 25 y sábado 26
Lugar: on-line (en la red WiFi de las jornadas)
Plazas: ilimitadas
Precio: gratuita
Premios: 1º 150€ | 2º 75€ | 3º 35€
----


Como formo parte de un grupo interesado en estos temas, y además imparto clase de seguridad informática en un centro privado, decido después de ver la descripción en la página apuntarme con mis alumnos reservando en los respectivos trabajos unas horas para poder asistir al evento.


El Jueves 24 a las 10:00 empezamos el evento, con los siguientes contratiempos:


- El evento empezó a las 18:00 después de numerosos retrasos, lo que es inaceptable, y aún lo es más que no se ofreciera ningún tipo de explicación convincente o al menos una disculpa por parte de la organización después de 8 horas de retraso en las que nos limitamos a esperar en el hall de la facultad.


- Cuando el evento empezó, se nos facilitó una web con unas normas internas del concurso que entre otras cosas especificaban que los no inscritos en las jornadas como asistentes podían participar pero sin derecho a premio, norma que entiendo debería ser anunciada en alguno de los múltiples anuncios previos al evento, y no con posteridad, cuando ya los equipos se han desplazado y apuntado.


- Decidimos continuar a pesar de estar participando ya sin derecho a premio. Dentro del esquema lógico del concurso, había 5 pruebas iniciales que fuimos resolviendo a medida que pasaba el tiempo .A falta de dos horas, se anunció la última prueba, algo del todo irregular y desequilibrante. A pesar de esto, resolvimos ya fuera de tiempo dicha prueba.


- Una de las pruebas, consistente en abrir un candado, es anulada después de que varios equipos la completaran con éxito, entre esos equipos el nuestro.


- Cuando el concurso acaba, a las 12:00 del sábado, detectamos que algún equipo todavía está realizando las pruebas y desde la organización nos contestan que "acabará a las 13:00 porque la hora del ordenador que usamos está una hora retrasado"



A pesar de esto, nuestro equipo ganó el evento con una diferencia de 20 puntos sobre el segundo, y no solo eso, sino que escribimos informes de cómo realizamos las pruebas que reenviamos a la organización, incluso hicimos la prueba del sábado a las 10:00 aunque fuera de tiempo, pero cuando asistimos a la conferencia de clausura, donde se iba a realizar la entrega de premios, no hubo ni una sola mención al concurso excepto que había "dudas razonables" en alguno de los puestos, y tenían que pasar un proceso de revisión, que anunciarían en twitter los ganadores.


Tras varios días y múltiples preguntas en twitter, no hemos obtenido ninguna respuesta por parte de la organización.


Después de estos hechos creemos que la imagen que ha dado la organización del evento ha sido totalmente irrespetuosa con los participantes, opaca y nos genera cierta desconfianza el método utilizado para ir poniendo trabas a determinados equipos en base a reglas no anunciadas con anterioridad.


Nosotros no hacemos esto por dinero, de hecho sólo el desplazamiento de las cinco personas de mi equipo desde Ferrol a Coruña durante tres días, más gastos, no hubiera compensado los 150€ que se anunciaban como premio, nosotros participábamos por poner a prueba los conocimientos adquiridos y por el reconocimiento que implica ganar un evento de estas características, pero el no tener ni una simple mención después de haber ganado es una terrible falta de respeto.


Por eso nos hemos puesto en contacto con usted, porque creemos que los actos que se organicen en la Universidad, con su patrocinio y aprobación, deberían tener cierto grado de control y unos mínimos de calidad que en esta ocasión no se han alcanzado.


Atentamente


David Carracedo Martínez


---

La respuesta llegó bastante tiempo después, desentendiéndose del asunto, porque la UDC pone las instalaciones pero GSIC es un grupo de alumnos y ex-alumnos no relacionado directamente, etc, etc..

Por otra parte, hemos intentado contactar con la organización por twitter, por mail, y las respuestas han sido de lo más graciosas, porque vereis, después de quedar primeros en un concurso de seguridad, que te contesten esto:


estamos analizando la máquina recién llegada: 20GB. Nos va a llevar un poquito :)

¿20 GB de logs de qué? si las pruebas consistían principalmente en binarios, te los descargabas y los hacías en tu propia máquina, ¿que tienen que revisar?, luego dicen que 

¡El server! :) tenemos que revisar logs para ver que no alteramos el ranking al introducir los puntos de

¿El ranking genera 20 GB de logs ? si éramos unos 20 equipos participantes y solo había que entrar ahí para descargar las pruebas y meter los códigos de las puntuaciones, ¿cuántas peticiones puede haber en este log?, 200, 20000, 200000... 20GB???!!

Y nada, después de eso han dejado de contestar básicamente, así que supongo que hasta el año que viene, cuando vuelvan a pedir instalaciones y fondos no se les verá el pelo, así que enhorabuena a la organización por un acto tan desastroso.

---
Edit: Añado algo de información sobre el evento porque claro, en la carta al rector no me metí mucho en el tema técnico porque supuse que no le resultaría muy interesante, así que explico un poco.

Un CTF es una competición de seguridad informática que consiste en capturar una "bandera" (de ahí el nombre, capture the flag) que suele ser una palabra clave escondida detrás de algún tipo de protección que hay que saltarse.

Este en concreto es un CTF de tipo jeopardy, en el que se apuntan equipos y tienen entre 1 y 3 días normalmente para realizar pruebas de varios tipos en distintas categorías que suelen ser (puede variar) network, crypto, forensics, reversing, binary, web, stego, programación, a veces preguntas tipo trivia .. de todo un poco, las pruebas dan puntos según su nivel de dificultad y más o menos es un standard que las pruebas más fáciles den 100 y las más dificiles 400, pero repito, esto depende del concurso y puede variar.

Se puede ver que hay una comunidad bastante activa a nivel internacional en sitios como ctftime.org que intenta llevar un control y un ranking sobre los eventos.

Dicho esto, desde el punto de vista técnico el concurso fue un desastre también, ¿por qué? pues..




----
La competición de seguridad y hacking creada por Miguel Gesteiro que celebramos en GSICKMINDS por tercer año consecutivo. Si te gustan las emociones fuertes te lo pasarás en grande porque habrá desafíos de todas las clases: criptografía, ingeniería inversa, programación, esteganografía, forense, análisis de red...
---

Lo normal, sin embargo cuando abrimos las pruebas nos encontramos 5 pruebas con el siguiente contenido:

Prueba 1: Una pregunta chorra: "de que color es el logo de la organización?"
Prueba 2: Reversing de un binario en arm
Prueba 3: Crypto, una prueba de criptografía mortal puesta por kachakil del equipo int3pids, aún no la hemos descifrado a día de hoy (primero estaba cifrado con XOR, de ahí sacabas un rar, ahí unos números y luego una locura :D divertido, pero no se pudo hacer)
Prueba 4: Reversing de otro binario!!! este demencial (ver el writeup arriba)
Prueba 5: Abrir un candado. Si, un candado físico, porque había un taller sobre eso en las jornadas.. sería divertido también, pero cuando 3 o 4 ya lo habíamos abierto el que organizaba la prueba dijo "uy.. es que es demasiado fácil, así que anulada, la repetimos con otro", y nos puso otro candado que no pudimos abrir, sin embargo la prueba la hizo más gente que la primera vez y no la volvieron a anular.

El CTF duraba 3 días, 72 horas.. y estas fueron las pruebas (decían que iban a poner más, pero nanai), cuando quedaban 3 o 4 horas para finalizar ponen..

Prueba 6: Reversing de otro binario!! que obviamente nadie pudo hacer a tiempo, porque era también bastante difícil, pero que hicimos un rato después de acabar, por cabezonada, y porque el último día no teníamos pensado ir, pero al ver que habían puesto una nueva prueba vía twitter, arrancamos el coche y nos desplazamos a Coruña otra vez, para asegurar el #1 en el ranking, cuando llegamos allí y vimos el panorama, ya nos dimos cuenta de que dificilmente se podría haber hecho a tiempo.


Total, que de las pruebas que prometían nada, la gente que no hace reversing fue de paseo, cada vez que hablábamos con alguien de la organización nos decía "tranquiiilos ahora mismo subimos otra prueba", pero nada, un fracaso total.

Quería añadir esto más que nada para la gente que ya sabe de que va el mundillo este, y para animar a los que no lo saben a que hagan cosas de estas.. fuera de españa :D hay un montón de CTF muy buenos a lo largo del año!









8 comentarios:

  1. Mis dos céntimos...

    Aparte de los fallos en la organización, que para los que hemos ido a otros eventos en la FIC ya sabemos cómo funcionan las cosas y no siempre es culpa de los chavales, que ponen mucha ilusión y ganas (y obviamente no cobran un euro), sino de que las redes, la instalación eléctrica y el material parecen cuánticos, no entiendo a qué viene tanta queja, la verdad.

    Reversing. Si no tienes ni idea de análisis de binarios y te vas a un CTF, pues hombre, qué decir. Piensa que tanto una prueba de reversing como una de exploitation requieren básicamente de las mismas capacidades del participante, ¿te llevarías a una prueba de triatlon a un tipo que no sabe montar en bici y nada regular? Pues eso.

    Candados. Lo suyo es que las pruebas sean complejas, más todavía viendo los writeups que has puesto y que teníais, de entrada, 72 horazas para completar la prueba. Por contra, en el CTF de la NcN de este año eran unas 12 horas si no recuerdo mal, y el de la Rooted habitualmente es un día.

    Irregularidades, sí, pero no creo que hubiese malicia sino falta de experiencia. Montar un CTF no es algo que se pueda hacer en un par de días, y no sólo por las pruebas, esa es la parte sencilla, sino por la infraestructura y que siempre viene algún listo con ganas de joder a los demás.

    Total, que entiendo tu mala leche, pero tal vez convendría ponerse en la posición de los que han organizado el evento.

    ResponderEliminar
    Respuestas
    1. A ver por partes, lo del equipo y el reversing: Los CTF tienen varios tipos de pruebas, obviamente no todo el mundo en un team de CTF sabe de todo, los que le dan a binarios se lo pasarían en grande aquí, porque todas las pruebas técnicas menos una eran de reversing que no es lo que anunciaron

      De todas formas no me quejo de que hayan sido complicadas para nosotros eh, sobre todo porque resolvimos las que había (menos crypto) el primer día y quedamos #1 en el ranking hasta el final ya, pero entiendo que había gente que esperaba pruebas de network, web, .. vamos, lo que anunciaban. De todas formas creo que llevamos a la gente adecuada, y por eso quedamos como quedamos.

      Por otra parte viendo los writeups siempre parece todo muy fácil (porque entiendo que 72 horas te parece mucho para estas pruebas) pero nadie hizo dos de los tres binarios salvo nuestro equipo, el resto solo hicieron el de ARM, si quieres comparamos los binarios con otros de otras competiciones, creo que salvo el ese el resto tenían una dificultad bastante elevada, claro que al no haber otras pruebas se le pudo dedicar bastante tiempo, pero ponen esto en un CTF normal y seguramente se dejaría de lado.

      Además estas pruebas suelen ir aumentando en dificultad, aquí había una prueba fácil, un candado, una pregunta sobre un color y 3 bastante complicadas.

      Sobre la falta de experiencia, pues bueno.. teniendo en cuenta que lo organizaba Miguel Gesteiro, que ha organizado mil CTF antes, que colaboraron con kachakil que está en el equipo de CTF español con mejores resultados de los últimos años, y que no es la primera ni la segunda vez que hacen esto, no me esperaba encontrarme con falta de experiencia ni con estos problemas. Y si, se que lleva tiempo, yo he preparado uno mucho más pequeño para la Kernel Party en Mugardos y nos llevó meses prepararlo todo, pero le pusimos algo más de cariño creo yo, por respeto a los que se pasan los dos días de party partiéndose el coco más que nada.

      Comparaciones con otros CTF, que si la NcN y la Rooted.. uf, prefiero no comparar, este año he participado en decenas de CTF y este ha sido el peor, pero con mucha diferencia, el menos transparente, etc.. pero ya que lo mencionas en segundo lugar estarían las quals de la NcN, que tuvieron su tela también, en donde no fueron 12 horas sino 3 o 4 días para 3 pruebas de risa y se evaluaban en secreto tras enviar el writeup, la presencial ya no se como fue porque ni nos planteamos desplazarnos allí.


      Eliminar
    2. Ah y se me olvidaba una cosa, ¿los premios?, aunque no sea lo que más nos importe... hay 250€ en premios de los que nadie sabe nada, y ¿el ranking?, y que dejen de responder en twitter ¿eso es la falta de experiencia también?

      Eliminar
    3. Si ya te digo que entiendo el cabreo, y no dudo de la capacidad de vuestro equipo ni nada de eso (esto va también por tunelko, que parece que se le ha ido la pinza un poco con el asunto, ¿corruptos?, ¿me estás vacilando? xD).

      Pero...

      No tengo yo tan claro que el CTF se lo hayan currado entre Gesteiro y Kachakil, exclusivamente, pero ahí no entro porque no tengo datos. Me parecería raro que en un evento como éste no hayan colaborado otros voluntarios. Tampoco veo que en la web anunciasen pruebas de pentesting web, sí de red, así que tienes razón en que no han cumplido esa promesa. Resumiendo, montarse un CTF y caer en la asunción de que todo va a funcionar bien a la primera es un fallo gordo, máxime si hablamos de las instalaciones de la FIC. Y sí, no saber cómo tratar a la gente es también un problema de experiencia.

      Igual es que yo soy un pardillo, vamos, pero no creo que os intenten timar por 250 miserables euros. Aparte, si te has fijado, parece que lo de resolver los diplomas también les cuesta lo suyo.

      El derecho a pataleta lo tenemos todos, qué duda cabe. Y, por si las moscas, ya os digo que mi interés en GSIC es nulo.

      Pero hasta donde llega mi conocimiento, y quizá me equivoque, GSIC es un grupo que pertenece a la FIC y por tanto lo lleva gente de ahí, así que no estamos hablando de un evento montado por profesionales sino por voluntarios y aficionados a la seguridad. Podeis despellejarlos todo lo que querais, pero, y esto es una apreciación personal, siempre he creído que lo de los CTF es algo que tiene más que ver con la satisfacción personal que con el reconocimiento público, y es que he visto gente quedando en un puesto bajísimo en un CTF que se va con la cabeza bien alta por haber resuelto una prueba, ¿qué problema hay?

      Por cierto, este año estuve en la NcN y el CTF fue muy, muy interesante. Yo no participé pero unos colegas sí lo hicieron. Nivel muy alto, pruebas chulas y una ambientación con mapa del mundo al estilo Risk incluido que era la leche. Pero es lo que tiene la pasta y que el CTF lo patrocine Facebook. Las quals, por otra parte, dependían de la rapidez y de la calidad del writeup, lo cual tampoco me parece nada raro.

      Resumiendo, vive y deja vivir, y si tienes mucho, mucho interés en saber qué ha pasado, busca a los chavales del GSIC (me imagino que tendrán un despacho diminuto en algún lugar de la FIC), les invitas a una cerveza en la cafetería y que te cuenten su vida, seguro que es algo mucho más productivo que acusarles de inútiles o de matar gatitos. O, en lugar de escribir al rector (que suena al típico "a mamá que vas"), ¡escríbeles a ellos! No creo que se escondan ni que sea tan complicado encontrar sus correos por ahí...

      P.D. ¿Os ha costado más de 150 pavos ir tres días a Coruña? ¿Para cinco personas? ¿A cuánto está el autobús?

      Eliminar
    4. No hombre, no es un vacile ni se me ha ido la pinza xD. No te estoy llamando corrupto, ni mucho menos. Mi comentario final califica tu aportación en condicional. Si crees que todo ha sido 'normal', que veo que ya aclaras que no, si meto tu comentario en el mismo saco que a los que organizan (quienes sean me da igual), que sí les veo un puntito de poca transparencia, al menos.

      Creo que mientras los responsables no aclaren el asunto, podemos hablar de muchas cosas, pero la cuestión se quedará sin resolver.

      Para mí el tiempo invertido vale mucho mas que el dinero. Pero es una opinión.


      Eliminar
    5. A ver, como te molestas en dar tu punto de vista, te contesto parte por parte, pero creo que estás intentando defender lo indefendible la verdad. (pongo la contestación en 2 partes, que blogger me lo corta)

      Tunelko no es de mi equipo, pero si participo normalmente con el en otro equipo digamos más "profesional", y me voy a permitir hablar por el para no liar más el tema, no creo que se le haya ido la pinza pero se que como yo ha alucinado un poco con este tema cuando se lo conté y a lo mejor le pudo la emoción.

      Precisamente llevamos un montón de CTF este año y el 90% están organizados por voluntarios, asociaciones non-profit, grupos de usuarios, etc.. precisamente este era uno de los más patrocinados, y nos esperábamos mucho más, lo de la falta de experiencia no es excusa para no poder tratar bien a la gente o al menos para responder, lo que me lleva a ...

      Obviamente ya hemos intentado contactar con ellos, en persona, via mail y via twitter (que es por donde dijeron que iban a dar los resultados), y como se puede ver, hace un buen rato que dejaron de responder, a mi y a todo el mundo que tiene otros problemas (diplomas, camisetas, etc..), se han esfumado, lo que me faltaba era tener que ir hasta allí y aún encima invitarles a algo ;).

      Otro tema, lo de escribirle al Rector.

      Yo he dejado mi centro para hacer actividades a grupos que no están directamente relacionados conmigo (noites drupal, charlas de SL, temas de impresión 3D, etc..), y si algo así pasara en esos eventos no solo vería normal que los participantes se pusieran en contacto conmigo, sino que lo agradecería, porque en el momento en el que yo pongo mis instalaciones para organizar algo, ese evento queda asociado a mi nombre, al de mi empresa o en este caso al de la Universidad, lo mismo con los patrocinadores etc.. , por otra parte es un tirón de orejas a ellos pero también a la Universidad, porque si en realidad ha fallado la infraestructura, deberían poner los medios para que no pase otra vez.

      Lo que está claro es que meter la mierda debajo de la alfombra es una actitud con la que no vamos a ningún sitio, ¿qué quieres que hagamos? acaba el tema y todo el mundo se da palmaditas en la espalda porque todo ha salido muy bien, y si no ha sido así ignoramos lo que ha salido mal, y si alguien no quiere que se ignore, que lo arregle en el bar...¿? no entiendo a donde quieres llegar por ese camino la verdad.

      Eliminar
    6. Siguiente tema: la satisfacción personal.

      Es genial resolver pruebas de CTF, cada semana resuelvo 1 o 2 y mola mucho.. ahora, si no van a publicar un ranking, dar los premios que anunciaron y/o al menos hacer una mención al tema, entonces que no le llamen CTF, que no le den publicidad, y a lo mejor yo me planteo si ir o no, que para hacer deberes y sentirme muy capaz ya los saco de Internet y los resuelvo yo solo.

      ¿No lo entiendes? ok, dile a un equipo que gana la liga que eh, eso es un deporte, ¡y lo importante del deporte es participar y la salud y tal!, o al pintor que manda su obra a un concurso, ¡que pinte por amor al arte! después de anunciar otra cosa eso si. Vamos que no veo en donde está escrito que la satisfacción esté reñida con la competitividad y el reconocimiento.


      Otro tema, lo de las pruebas

      Este es el anuncio de la web:
      criptografía, ingeniería inversa, programación, esteganografía, forense, análisis de red...

      Hubo las 2 primeras, no hubo nada de programación, stego, forensics o análisis de red. A no ser claro, que programación sea que los binarios los programó alguien en algún momento, stego sea la información oculta (cof cifrándola cof) en una de las pruebas, forensics lo que están haciendo ellos con los 20 GB de logs (cof cof cof) y análisis de red lo que hicieron en las primeras 8 horas para poner a andar la web. Total, 2 de 6.


      Y por último, lo del dinero, que de verdad.. que no nos importa, como dices tu son "250 miserables euros", pero es que vamos a ver.. ¿dónde están?, si no los van a dar, ¡que no lo anuncien!, es así de fácil.

      Y lo del bus, de verdad... me parece increible que lleguemos a que YO tenga que justificar lo que gasté o dejé de gastar en ir a un concurso ¿para qué? en fin.. ya puestos

      7,50 el viaje *5* 2 (ida y vuelta ) *3 días = 225€ quedándose a comer allí, con sólo 2 viajes al día

      Pongo esto porque preguntas por el bus, obviamente no fuimos en bus, porque tenemos trabajos, horarios y familias, y nos dejamos BASTANTE MÁS dinero porque tuvimos que ajustar al máximo los horarios para ir en las horas libres en nuestros coches particulares.

      Pero de todas formas, no creo que tenga interés, como dije antes, ni de coña nos compensarían los 150€ lo que hemos gastado en ir, pero es que me da igual, ¿entiendes?, ¡que se los coman con patatas hombre!, me-da-igual, si me importara nos hubiéramos ido el día 1, cuando nos dijeron lo de las normas "bis". Pero no es eso, esto es un asunto de dignidad y de que cada uno tiene derecho reclamar lo que es suyo, fin.

      Eliminar
  2. Voy a contestar a lo escrito por Manuel.

    En primer lugar empiezas diciendo "Aparte de los fallos en la organización". Vale, párate aquí. Ya no sigas escribiendo más. Todo lo que dices después, son defensas injustificables ante un hecho claro: aquí hubo un CTF donde se invita a la gente a participar, con pruebas muy trabajadas donde hay una personas que emplean tiempo y esfuerzo y que son tratados "post-evento" con un desprecio que jamás he visto en otras competiciones de seguridad. Y te puedo asegurar que he participado en unas cuantas y con gente muy preparada. Y organizado, cuando lo he hecho, comprometiéndome a elaborar y 'dar soporte' a participantes. Y cumpliendo.

    Por otra parte, ponte tu a hacer y resolver las pruebas de reversing y luego nos comentas. Se resolvieron, y obviamente esta fuera de lugar lo de 'Si no tienes idea de análisis de binarios'.

    Volviendo al tema principal, si, ya sé, no es tan grave que se organice un evento de seguridad y que no se cumplas las normas establecidas previamente. No se acaba el mundo amigo, pero es una vergüenza y por supuesto es denunciable. Por que aquí estamos acostumbrados al 'no ha sido con malicia' (que nadie juzga esto) y no pasa nada. Pues si pasa, que le toman el pelo a la gente con decisiones como las anunciadas por twitter, a saber:

    - Que si estamos analizando el ranking con 20GB de logs. WTF!
    - Qué si, que publicamos los writeups ahora mismito. mentira.
    - Que vosotros (los primeros) no tenéis nada que ver y vuestra posición es inamovible.
    - Que la duda está en los otros.

    Bien, que anuncien: no hay ranking. Y ya está. Pero la opacidad en estos casos no suele agradar mucho a la gente.

    Y si ahora sigues defendiendo y quitándole importancia a estos hechos, te devuelvo tus dos céntimos, están manchados y corruptos.

    ResponderEliminar