Cómo NO hacer un Wargame, CTF o Reto de Seguridad – Adalid Corp

Exploiting Cómo NO hacer un Wargame, CTF o Reto de Seguridad   Adalid Corp

ACTUALIZADO 30/11/2011: Ya ha pasado mas de medio año y además de las declaraciones del señor Andrés Guzmán Caballero haciendo uso de su “derecho a la replica” no se tuvo ninguna otra respuesta, el evento se dejo totalmente abandonado y lo que es peor, el mensaje con el defacement que dejó un grupo de personas “musulmanes” sigue estando online, demostrando el total desinterés de la empresa con su iniciativa.

No se tocara mas el tema en la comunidad, pero espero que esto sirva de precedente para que cualquier empresa que quiera “subirse al bus de la seguridad informática” con algún concurso o por el estilo, lo piense 2 veces antes de hacer algo mediocre y con fines claros de marketing, por que la comunidad de la seguridad informática en Colombia no lo tolerará.

……

ACTUALIZADO: Ya pasó mas de un mes desde que hablamos sobre cómo NO hacer un Wargame, tomando como ejemplo la HACKING Party realizada por la firma Adalid Abogados, y a pesar que el señor Andrés Guzmán Caballero haciendo uso de su “derecho a la replica” (como buen abogado…) prometió tener el concurso totalmente renovado en solo 4 días (eso fue el 15 de julio de 2011), sorprendentemente HOY el concurso sigue igual de quieto, con la misma pagina eliminada, sin información y lo que me parece aun mas grabe con el mensaje que un grupo de personas “musulmanes” dejó en su portal web hace mas de un mes (Mirror), lo que deja claro que la firma de Abogados al parecer no esta interesada en llevar a cabo este concurso.

Es una lastima por que con los ajustes adecuados, 2011 podía ser un buen concurso para fomentar la cultura de la seguridad informática en nuestro país.

……

La cultura de la seguridad informática en Colombia ha crecido mucho en los últimos años, atrás quedó la época en que teníamos que esperar 2 años o mas por un buen evento de seguridad o un concurso sobre el tema; A día de hoy los congresos, capacitaciones, eventos y concursos de seguridad en Colombia están a la orden del día, algo que nos alegra mucho en La Comunidad DragonJAR.

Adalid HackingParty 5 Cómo NO hacer un Wargame, CTF o Reto de Seguridad   Adalid Corp

Pero no siempre las cosas se hacen bien, algunos de nosotros recordaremos el caso del Wargame Loco en el Congreso Internacional de Redes y Telemática 2008 o el “Concurso Hacking de Alpina” en la Campus Party Colombia 2010, donde pretendían que se vulnerara la seguridad de un reconocido proveedor de hosting gratuito para cambiar una foto y ganar un ipod, esta vez tomaremos de ejemplo el concurso HACKING PARTY 2011 lanzado por la empresa que en mi opinión no se ha realizado como es debido.

En ningún momento se pretende desprestigiar al grupo de Abogados, de hecho conozco varios de los integrantes de su división de seguridad informática y se que son buenos profesionales, pero cuando las cosas no están bien hechas hay que decirlo, todo con el fin de aportar una critica constructiva, dicho esto les dejo el listado de cosas que NO se deben hacer al plantear un Wargame, o Reto de Seguridad:

  • COBRAR AL PARTICIPANTE: Todo Wargame, CTF o Reto de Seguridad, requiere una fuente de financiación, para el tema logístico y el premio (en este caso un viaje a la DefCON 2011), pero el participante NO DEBE SER la fuente de financiación; En vez de buscar cubrir gastos con el cobro de una inscripción, se deben buscar patrocinadores y anunciantes para el evento o en caso que la finalidad del evento sea la autopromoción/reconocimiento, los recursos, en la medida de lo posible, deberán ser propios.

Adalid HackingParty 1 Cómo NO hacer un Wargame, CTF o Reto de Seguridad   Adalid Corp

  • BASES DE CONCURSO POCO CLARAS: En este tipo de concursos es necesario definir claramente las bases del concurso, como se va a llevar a cabo, cuales son los objetivos, que penalidades tiene, cuales serán los puntales, que se puede y que no se puede hacer, pero la información expuesta en la pestaña “Metodología” y “Retos” no es suficientemente clara y da pie a equivocaciones.

Adalid HackingParty 2 Cómo NO hacer un Wargame, CTF o Reto de Seguridad   Adalid Corp

En este apartado de metodología por ejemplo explican como se realizará el reto, pero especifican que los mejores 5 puntajes se les pagaran pasajes aéreos o terrestres, hospedaje y desayunos para asistir al congreso… ¿a cual congreso?, a la ¿DefCON?… y que el mejor puntaje tendrá los pasajes Aéreos Bogotá – Las Vegas, Las Vegas – Bogotá 4 Días de hotel con desayunos, ingreso a DefCON y $500US para gastos, ¿Qué pasa si el ganador no tiene visa?, ¿puede ceder el cupo?…

Adalid HackingParty 3 Cómo NO hacer un Wargame, CTF o Reto de Seguridad   Adalid Corp
Los organizadores están en su derecho de dejar un reto sorpresa para el final, pero esto se presta para dar beneficios con o sin intención a alguna persona que sea experta en el área “sorpresa” del reto final. Personalmente no he tenido buenas experiencias con estos “retos sorpresa” y no los recomiendo.

  • PROMOCIONAR POCO EL EVENTO: Aunque un evento sea online, la promoción es esencial y se debe difundir por todos los medios posibles, en comunidades donde se hablen del tema, listas de correo, etc… Además en el portal del evento se encuentra 2 botones a redes sociales uno de Twitter (que redirecciona a twitter.com sin cuenta) y una de Facebook que evidencia la poca promoción que se le ha realizado al evento aunque lleve desde el 1 de Julio online.

Adalid HackingParty 4 Cómo NO hacer un Wargame, CTF o Reto de Seguridad   Adalid Corp

  • NO PREOCUPARSE POR LA SEGURIDAD: En un evento de esta índole, y siendo Adalid Abogados una empresa de seguridad es importante tener en cuenta este aspecto a la hora de publicar un reto a entusiastas de la seguridad informática, ya que si el sitio donde se publica el reto es vulnerable o sus aplicaciones son vulnerables se pueden buscar “atajos” para ganar el reto dejando por fuera las personas que participaron legalmente (que además PAGARON por hacerlo) y la imagen de la empresa que lo anuncie puede verse perjudicada.
Adalid HackingParty 6 Cómo NO hacer un Wargame, CTF o Reto de Seguridad   Adalid Corp
Nota dejada por un grupo de personas “musulmanes” en la pagina del evento.
Adalid HackingParty 7 Cómo NO hacer un Wargame, CTF o Reto de Seguridad   Adalid Corp
Pagina del evento mostrando abiertamente los banners del servidor.

Ahora que saben cómo NO hacer un Wargame, CTF o Reto de Seguridad, espero tomen nota y en los próximos eventos que piensen realizar, tengan en cuenta los consejos de como NO hacer las cosas.

Nota: En el momento que se escribía este articulo, la pagina del evento fue suprimida y los pantallazos corresponden a la cache de google del sitio (la carpeta /pipermail/ aun se encuentra con el mensaje) por tanto podemos observar fechas diferentes en la cuenta regresiva.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • http://1hackparaloschicos.org Sunplace

    Muy Buen Articulo !!!
    Como siempre !!

  • c1b3rh4ck

    La verdad habia pensado en participar,pero al igual conocia dos colegas que son excelentes profesionales…muy bueno el post y gracias por la reflexion :-D

  • http://jocsan.com baktron

    Al ver como esta empresa decidió organizar su evento de “hacking ético” no se si reir y ponerlo en mi blog, o ponerme a llorar

  • http://kmilo0.blogspot.com/ Kmilo

    Buen articulo :)

    Pdt:
    Un pequeño error: DeftCON

  • Andrés Felipe Londoño Cruz

    Muy buen artículo, ahí que aprender de las críticas constructivas de los otros. Interesante.

    • Soniolo

      … y HAY que aprender a escribir ;) todo es critica constructiva aquí… O destructiva?????

  • minux

    sigue activo el defaced lo acbo de porbar que mal ah

  • ADALID CORP.

    Hola
    El Dr. Andrés GUZMAN CABALLERO, Gerente de ADALID, quiere en uso de su derecho de replica decir:
    “Hola, muchas gracias por la critica …… constructiva, de verdad que nuestra compañía esta muy orgullosa de organizar eventos como este, pero no sobran ayudas y comentarios de personas externas, el objetivo del concurso es saber quienes tienen talento, ayudarles a formase, para lo que se organizó este proyecto, que no hemos publicitado mucho, por que actualmente esta en beta, y bien por sus comentarios haremos un cambio estructural, que en 4 días vamos a sacar, quiero dejar claro que ADALID no busca beneficio económico de esto, sólo piense que son 11 premios que cuestan más de Us 10000 lo que no se recibirá jamás de ingresos, con $100.000.oo de los cupos, a no ser que sean unos 1000 inscritos, que no creo …….. queremos tener un concurso Colombiano, con gente Colombiana, no señores que hablan y hablan pero de aquello nada………..de todos modos, en el concurso recargado además de la opción de pagar colocaremos un reto y los que lo pasen quedan inscritos,(quienes ya pagaron les regresaremos el dinero) verán cuando se enteren quienes son los jurados, como es el juego y quienes serán los que se atrevan a afrontarlo…….. espero seas uno de ellos, saludos a todos los que hacen parte de esta comunidad.

  • Juan Escobar

    #owned #fail

  • http://www.alexanderdiaz.net.tc Alx-Novax

    Buen Articulo para aquellos que aun desconocen como llevar a cabo una verdadera Planificación, Logística y Experiencias en los eventos, conferencias y congresos relacionados con la Seguridad Informática al Estilo DEFCON.

    Exito!

  • netboyfire

    lo unoc cierto es que son un asco…. si no saben ahcer las cosas que no las hagan, o si lo que quieren es estafar que se busquen otro tipo de personas.. no a los expertos en seguridad…..

    que tengan un lindo dia….

  • 4bx

    creo que no todos leen los comentarios y asi se atreven a opinar bueno……..¬¬

  • dekar

    Muy buen articulo tiene un Excelente contenido

  • Andres GUZMAN CABALLERO

    Un especial saludo, debo informar que lamentablemente el concurso como estaba planteado fue cancelado, lo anterior debido a los comentarios suscitados en esta comunidad, además del gran riesgo de que inescroulosos hicieran ataques a la infraestructura corporativa.

    Así las cosas, el premio lo institucionalizamos para todos aquellos que prestan o han prestado sus servicios a la compañía en los diferentes proyectos de ADALID en el 2011, sean de forense o Hack, ……. Finalmente no me queda más que agradecer su interés y comentarios respetuosos sobre el tema, y felicitarle por los logros de este blog de seguridad de la información, esperando este año tenga tanto éxito.

    Un especial saludo.