ACTUALIZADO 30/11/2011: Ya ha pasado mas de medio año y además de las declaraciones del señor Andrés Guzmán Caballero haciendo uso de su “derecho a la replica” no se tuvo ninguna otra respuesta, el evento se dejo totalmente abandonado y lo que es peor, el mensaje con el defacement que dejó un grupo de personas “musulmanes” sigue estando online, demostrando el total desinterés de la empresa con su iniciativa.

No se tocara mas el tema en la comunidad, pero espero que esto sirva de precedente para que cualquier empresa que quiera “subirse al bus de la seguridad informática” con algún concurso o wargame por el estilo, lo piense 2 veces antes de hacer algo mediocre y con fines claros de marketing, por que la comunidad de la seguridad informática en Colombia no lo tolerará.

……

ACTUALIZADO: Ya pasó mas de un mes desde que hablamos sobre cómo NO hacer un Wargame, tomando como ejemplo la HACKING Party realizada por la firma Adalid Abogados, y a pesar que el señor Andrés Guzmán Caballero haciendo uso de su “derecho a la replica” (como buen abogado…) prometió tener el concurso totalmente renovado en solo 4 días (eso fue el 15 de julio de 2011), sorprendentemente HOY el concurso sigue igual de quieto, con la misma pagina eliminada, sin información y lo que me parece aun mas grabe con el mensaje que un grupo de personas “musulmanes” dejó en su portal web hace mas de un mes (Mirror), lo que deja claro que la firma de Abogados Adalid al parecer no esta interesada en llevar a cabo este concurso.

Es una lastima por que con los ajustes adecuados, Hacking Party 2011 podía ser un buen concurso para fomentar la cultura de la seguridad informática en nuestro país.

……

La cultura de la seguridad informática en Colombia ha crecido mucho en los últimos años, atrás quedó la época en que teníamos que esperar 2 años o mas por un buen evento de seguridad o un concurso sobre el tema; A día de hoy los congresos, capacitaciones, eventos y concursos de seguridad en Colombia están a la orden del día, algo que nos alegra mucho en La Comunidad DragonJAR.

Pero no siempre las cosas se hacen bien, algunos de nosotros recordaremos el caso del Wargame Loco en el Congreso Internacional de Redes y Telemática 2008 o el “Concurso Hacking de Alpina” en la Campus Party Colombia 2010, donde pretendían que se vulnerara la seguridad de un reconocido proveedor de hosting gratuito para cambiar una foto y ganar un ipod, esta vez tomaremos de ejemplo el concurso HACKING PARTY 2011 lanzado por la empresa Adalid Abogados que en mi opinión no se ha realizado como es debido.

En ningún momento se pretende desprestigiar al grupo de Abogados, de hecho conozco varios de los integrantes de su división de seguridad informática y se que son buenos profesionales, pero cuando las cosas no están bien hechas hay que decirlo, todo con el fin de aportar una critica constructiva, dicho esto les dejo el listado de cosas que NO se deben hacer al plantear un Wargame, CTF o Reto de Seguridad:

• COBRAR AL PARTICIPANTE: Todo Wargame, CTF o Reto de Seguridad, requiere una fuente de financiación, para el tema logístico y el premio (en este caso un viaje a la DefCON 2011), pero el participante NO DEBE SER la fuente de financiación; En vez de buscar cubrir gastos con el cobro de una inscripción, se deben buscar patrocinadores y anunciantes para el evento o en caso que la finalidad del evento sea la autopromoción/reconocimiento, los recursos, en la medida de lo posible, deberán ser propios.

• BASES DE CONCURSO POCO CLARAS: En este tipo de concursos es necesario definir claramente las bases del concurso, como se va a llevar a cabo, cuales son los objetivos, que penalidades tiene, cuales serán los puntales, que se puede y que no se puede hacer, pero la información expuesta en la pestaña “Metodología” y “Retos” no es suficientemente clara y da pie a equivocaciones.

En este apartado de metodología por ejemplo explican como se realizará el reto, pero especifican que los mejores 5 puntajes se les pagaran pasajes aéreos o terrestres, hospedaje y desayunos para asistir al congreso… ¿a cual congreso?, a la ¿DefCON?… y que el mejor puntaje tendrá los pasajes Aéreos Bogotá – Las Vegas, Las Vegas – Bogotá 4 Días de hotel con desayunos, ingreso a DefCON y $500US para gastos, ¿Qué pasa si el ganador no tiene visa?, ¿puede ceder el cupo?…

Los organizadores están en su derecho de dejar un reto sorpresa para el final, pero esto se presta para dar beneficios con o sin intención a alguna persona que sea experta en el área “sorpresa” del reto final. Personalmente no he tenido buenas experiencias con estos “retos sorpresa” y no los recomiendo.

• PROMOCIONAR POCO EL EVENTO: Aunque un evento sea online, la promoción es esencial y se debe difundir por todos los medios posibles, en comunidades donde se hablen del tema, listas de correo, etc… Además en el portal del evento se encuentra 2 botones a redes sociales uno de Twitter (que redirecciona a twitter.com sin cuenta) y una de Facebook que evidencia la poca promoción que se le ha realizado al evento aunque lleve desde el 1 de Julio online.

• NO PREOCUPARSE POR LA SEGURIDAD: En un evento de esta índole, y siendo Adalid Abogados una empresa de seguridad es importante tener en cuenta este aspecto a la hora de publicar un reto a entusiastas de la seguridad informática, ya que si el sitio donde se publica el reto es vulnerable o sus aplicaciones son vulnerables se pueden buscar “atajos” para ganar el reto dejando por fuera las personas que participaron legalmente (que además PAGARON por hacerlo) y la imagen de la empresa que lo anuncie puede verse perjudicada.

Nota dejada por un grupo de personas “musulmanes” en la pagina del evento.

Ahora que saben cómo NO hacer un Wargame, CTF o Reto de Seguridad, espero tomen nota y en los próximos eventos que piensen realizar, tengan en cuenta los consejos de como NO hacer las cosas.

Nota: En el momento que se escribía este articulo, la pagina del evento fue suprimida y los pantallazos corresponden a la cache de google del sitio (la carpeta /pipermail/ aun se encuentra con el mensaje) por tanto podemos observar fechas diferentes en la cuenta regresiva.

También puede interesarte...

• EKO Party 2010
• WarGame Reto Panda 2010
• Tercer Encuentro Internacional de Seguridad Informática – Día III
• Memorias Securinf v2.0

El próximo 16 y 17 y Setiembre se realizará en Buenos Aires, la conferencia de seguridad mas grande de Latinoamérica, La EKOParty una “CON” que no tiene nada para envidiarle a las estadounidenses o europeas, donde reconocidos investigadores y especialistas de varios países presentaran sus últimos descubrimientos en temas de seguridad informática.

Pero… ¿que diferencia la EKO Party de las demás conferencias de seguridad?

• AMBIENTE: La mayoría de nosotros estamos acostumbrados a realizar o recibir conferencias, en un gran salón con muchas sillas y una pantalla en frente, en este escenario el ponente es quien realmente crea el “ambiente”, pero en la EKO Party, los organizadores quisieron salirse de lo común y decorar los espacios donde interactuan los asistentes, de tal forma que se sientan totalmente involucrados con el evento, por ejemplo en la 5ta edición de la EKO Party, el escenario era una replica del Sistema WOPR (de la película Juegos de guerra).
• CONTENIDOS: Todas las charlas, talleres y presentaciones, son realizadas por algunos de los mas reconocidos profesionales, quienes te hablaran de los descubrimientos más importantes en seguridad informática y ademas en tu idioma. amenosquestecomuniquesenklingon
  
• WARDRIVING (BUS EDITION): Un recorrido turístico como cualquier otro, la única diferencia es que el bus esta lleno de geeks armados con sus laptops y el guía nos enseña cuales son los SSID mas famosos de la ciudad, al final del tour podemos disfrutar de la bonita guía turística generada durante el trayecto.
• LOCKPICK VILLAGE: Un taller donde los participantes pueden aprender de primera mano sobre las vulnerabilidades de diferentes cerraduras, las técnicas utilizadas para explotar estas vulnerabilidades, y practicar con cerraduras de diversos niveles de dificultad. sedicequemacgyverlotomóantesdeserfamoso

• RUMBA Y CERVEZA GRATIS: El jueves 16, se realiza una integración en un PUB cerca al evento, donde podrás conversar con los asistentes y ponentes sobre diversos temas (mujeres, deportes, política, religión, poesía.. todo menos sobre PC’s sicomono), ademas la casa invita la primera ronda de cervezas!!!, para rematar, el ultimo día del evento, se realiza un “remate” en uno de los mas prestigiosos sitios de la ciudad…
• WARGAME: Ademas de todo lo anterior, existe un wargame el cual esta especialmente diseñado, para que te enganche completamente ytepierdastodaslascharlas, pongas a prueba tus habilidades y de paso te lleves unos muy buenos premios.
• TRAININGS: Se realizaran capacitaciones muy especializadas unos días antes del evento, estas capacitaciones están dictadas por algunos de los ponentes que participaran en el evento, por lo que su calidad esta garantizada, si puedes permitírtelo, te recomiendo que le eches un vistazo al listado de trainings que hay disponibles en esta edición de la EKO Party.

Este año tengo la fortuna de participar en este espectacular evento como conferencista, realizando el reto forense de la EKO Party, (que seguro pondrá a pensar a mas de uno), ademas de viajar con un excelente grupo de personas quienes representaremos a Colombia en este gran evento (si deseas viajar con nosotros, visita este hilo en nuestro foro).

Espero que después de leer esto, por lo menos te sientas motivado en asistir a la EKO Party, si vas a estar en el evento, déjate ver siempre me gusta conocer las personas que hay detrás de un nick y una pantalla.

También puede interesarte...

• 1st Security Blogger Summit
• Memorias Securinf v2.0
• Call for Papers abierto para el ACK Security Conference
• ACK Security Conference
• Se acerca la No Con Name 2011
• ACK Security Conference – Reviviendo el EISI – Manizales Colombia
• Todas las charlas de DojoCON 2010 en Video
• Todas las charlas de la NoConName 2010 en Video

Acabo de recibir un correo de Alejandro Fernandez Barba quien trabaja para Panda Security invitándonos a participar en el 2do WarGame Reto Panda y de paso ganarnos un iPad, les dejo entonces la invitación para que participen en este reto:

Buenos días desde Panda Security equipo de DragonJAR

Como sabéis tenemos puesto en marcha el Reto Panda 2010. Un WarGame que ya consideramos un clásico en Panda Security y que comenzará este sábado 17 de Julio.

Este año tenemos iPad como suculentos premios. Aún así, sabemos que el mejor premio es el placer de quedar el primero frente a miles de participantes en todo el mundo. El año pasado fueron mas de 4000 participantes los que formaron parte del reto demostrando un gran nivel.

Por eso desde Panda Security estamos contactando con las principales comunidades del sector como DragonJAR para informaros, animaros a participar y haceros partícipes de primera mano de la edición de este año.

Deseando suerte a todos a todos os enviamos la información con los detalles del Reto por si queréis hacer partícipe a vuestra comunidad.

¡Un saludo y gracias por vuestro tiempo!

En el Reto Panda de este año, los concursantes tendrán que descifrar la solución a dos pruebas prácticas que se publicarán en el Blog de PandaLabs: en la primera, los usuarios se podrán descargar un juego y tendrán que hacer un “keyfile” para poder jugar al mismo; el segundo, consistirá en buscar una “licencia válida” para un programa.

El primer reto se publicará el sábado 17 de julio a las 09:00 AM (GMT + 2) y se podrá enviar la solución hasta el lunes 19 de julio a las 17:00 PM (GMT + 2). El segundo reto se publicará el siguiente fin de semana, el sábado 24 de julio a la misma hora, y se tendrá que enviar su solución el lunes 26 de julio. Ganará el concursante que envíe la solución más rápidamente a pandachallenge@pandasecurity.com.

Cualquiera puede participar desde cualquier país, sin que sea necesario un registro previo ni cumplir ningún requisito. Todos los participantes podrán seguir e interactuar entre ellos en Twitter utilizando el hashtag #PC2010.

Más información sobre el reto, la podrás encontrar en la pagina de Pensa de Panda Security.

También puede interesarte...

• Cómo localizar usuarios de twitter y flickr a través de sus fotos
• Cómo NO hacer un Wargame, CTF o Reto de Seguridad – Adalib
• Nuestros Retos Forenses
• ¿Cómo Recuperar una Cuenta de Twitter?
• Reto Forense Campus Party Colombia 2011
• Recupera tu Password de Twitter
• Resultados e Informes – 3er Reto Forense Comunidad DragonJAR
• Nuevo Gusano en Twitter

Empezamos el día con david batanero y su charla sobre la tecnología GSM, en la que nos explica como funciona, los posibles ataques que se pueden realizar sobre esta tecnológica y por que debemos poner mas atención a la seguridad de nuestros dispositivos móviles.

Descargar Charla de David Batanero sobre GSM

Después martín rubio nos presenta su charla en la que habla de como ser un hacker realmente, que necesitamos saber y hacer para realmente ser catalogado como un hacker.

Descargar Charla de Martin Rubio sobre Como ser un Hacker Realmente

Leonardo Huertas, también conocido como SamuraiBlanco, moderador global en nuestra comunidad, compartió con nosotros su charla sobre Equipos Gubernamentales de respuesta a incidentes de seguridad de la información (CSIRT), en la que explica como crear un CSIRT, para que sirve y como va el proceso de la creación de un CSIRT colombiano.

Descargar Charla de Leonardo Huertas sobre CSIRT

Después de leonardo una de las charlas mas esperadas del EISI, Luciano Bello nos explica el famoso fallo del openssl que afecto a la distribución Debian y sus derivadas, nos habla sobre la historia del fallo, como fue descubierto y nos enseña de una forma practica y amena como se explota esta vulnerabilidad.

Descargar Charla de Luciano Bello sobre predicción de números aleatorios en openssl

Después de luciano seguía mi charla sobre Amenazas y Contramedidas de seguridad Web, en ella explicaba los fallos mas comunes que encontramos en aplicaciones o sitios web (algunas se encuentran en el top 10 del proyecto OWASP) y cómo evitar ser victima de estos ataques a nivel de usuario y desarrollador, como les prometí comparto con ustedes la charla y todo un entorno portable para aumentar sus conocimientos en esta área.

Descargar Charla de Jaime Andrés Restrepo sobre Amenazas y Contramedidas de Seguridad Web

Después de mi charla, chema alonso nos presentaría su charla sobre LDAP Injection & Blind LDAP Injection pero decidió darnos una sorpresa que no esperábamos, en vez de dar la charla que tenia programada, en esta ocasión nos hablaría de una nueva técnica descubierta por el equipo de informatica64 llamada Connection String Attacks, la cual permite inyectar parámetros arbitrarios a la configuración de conexión en un servidor ):-D, esta charla fue expuesta por primera vez en la pasada ekoparty y nos trajo el tema “fresquito” a Colombia .

En su blog (un informático del lado del mal) chema nos explica mas en detalle las Connection String Attacks

• Connection String Attacks (I de VI)
• Connection String Attacks (II de VI)
• Connection String Attacks (III de VI)
• Connection String Attacks (IV de VI)
• Connection String Attacks (V de VI)
• Connection String Attacks (VI de VI)

Descargar Charla de Chema Alonso sobre Connection String Attacks

La ultima charla del EISI, titulada “Falsos Antivirus (El negocio detrás de estos)” estuvo a cargo de Marcelo Rivero, en ella nos relata una historia verídica de una infección y poco a poco nos explica como funcionan los falsos antivirus y cual es el negocio de delincuencia organizada que opera detrás de ellos, seguimos a la espera de las memorias que pronto nos enviara marcelo rivero para todos nuestros visitantes.

Después de la ultima charla se pasa a realizar la premiación del wargame (el cual explicaremos en detalle en un próximo post) los equipos “DragonJAR” y “PST” ocuparon el primer y segundo lugar respectivamente, desde aquí una sinceras felicitaciones a los 2 equipos por el trabajo realizado.

En el foro de cierre los ponentes darían su opinión sobre el pasado, presente y futuro de la seguridad informática y después se pasaría a las preguntas del publico, fue un excelente espacio para aclarar algunas dudas y compartir con todos los asistentes del evento.

Como no podía faltar en un evento de este tipo un excelente remate en el reconocido bar-c de la ciudad de Manizales.

Revisa el reporte de los otros 2 días:

• Tercer Encuentro Internacional de Seguridad Informática – Día I
• Tercer Encuentro Internacional de Seguridad Informática – Día II
• Tercer Encuentro Internacional de Seguridad Informática – Día II

También puede interesarte...

• EKO Party 2010
• ¿Cómo protegernos de los peligros en Internet?
• Memorias del VI OWASP Spain Chapter Meeting
• BioHacking – Conceptos Básicos
• Charla de Seguridad Web Gratuita – Barcelona España
• Memorias Securinf v2.0
• OWASP.TV, videos en línea de las conferencias OWASP
• Proyectos OWASP en español

Les dejo las diapositivas que tengo del evento:

Descargar Charla sobre Clickjacking

Descargar Archivos Utilizados en la Charla de Clickjacking

Descargar Charla de Phishing

Descargar Vídeo de Introducción a Charla de Phishing

Tan pronto tenga las diapositivas de la charla sobre cracking de software las publicaré también.

También puede interesarte...

• EKO Party 2010
• Seminario de Seguridad Informática SecurInf v2.0 – Popayán
• Memorias y registro del Seminario de Seguridad Informática en Popayán
• Respuesta jurídica frente ataques informáticos
• Memorias de la RootedCON 2010
• El futuro de la industria de la Seguridad Informática
• Tercer Encuentro Internacional de Seguridad Informática – Día III
• 1st Security Blogger Summit