Sexy Pandas

From Hack Story

Los Sexy Pandas, también llamados Pandas with Gambas, fueron el germen precursor del principal grupo español participante en concursos Capture The Flag (CTF) internacionales, Int3pids. SexyPandas se crearon para participar en los CTF de la [DefCon]. Su mayor logro fue quedar terceros en la edición de 2007. En la siguiente consiguieron el primer puesto en las semifinales, por delante de 200 grupos.

"Capture The Flag" es un tipo de "wargame" o concurso de hacking y el de Las Vegas se considera el más duro del mundo. Los equipos reciben una copia exacta de un servidor, con los mismos programas instalados, creados por los organizadores. Cada programa tiene al menos un fallo de seguridad y el juego consiste en descubrirlos, para defender el propio servidor y atacar los de la competencia.

Formaban Sexy Pandas diez españoles, expertos en seguridad, con una edad media de 27 años. El grupo se creó en 2007, cuando quedaron terceros en la DefCon.

Hay trabajo para todos, en análisis de código, monitorización, ataque, defensa, automatización; somos un grupo bastante heterogéneo y tenemos especialistas de cada área. El año pasado quedamos terceros pero estuvimos 72 horas sin dormir. Nos clasificamos 'in extremis', cuando resolvimos una prueba de dificultad máxima en las últimas dos horas, fue de infarto. En la fase final empezamos liderando la pruebo pero nos pudieron el cansancio y la desventaja en cuanto a integrantes del grupo, ya que éramos sólo siete frente a los doce de media del resto.^[1]

Este año, la clasificación ha sido más cómoda "gracias a la ayuda que hemos obtenido de la comunidad hacker española, que ha sacrificado sus horas de sueño para echar un cable", explican. Las 25 pruebas clasificatorias estaban divididas en cinco áreas: ingeniería inversa de programas, análisis forense, conocimientos, explotación de programas y explotación avanzada. Han empatado con otro grupo, "Routards", franco-suizo.

Así que, del 8 al 10 de agosto, estarán en Las Vegas: "Tenemos posibilidades, pero será complicado porque el nivel de dificultad aumenta cada año", aseguran. Por si acaso, están entrenando: "Es un poco difícil porque cada uno tiene su trabajo y horarios, pero vamos haciendo los ejercicios que no resolvimos el año pasado y también desarrollamos herramientas que nos ayuden en el concurso".

Su buena actuación en las clasificatorias demuestra, según Pandas with Gambas, que "en España hay gente muy buena, esperamos que las nuevas generaciones tengan tantas ganas de aprender como nosotros a su edad". Estos concursos son, precisamente, una forma de aprender sin daños colaterales, ya que los ordenadores y programas están controlados por la organización.

El origen de los concursos de hacking fueron las competiciones científicas en las universidades, que se hacían también en las facultades de informática y de aquí saltaron a Internet. A mediados de los años 80, en la red de grupos de noticias Usenet se celebraban las "Obfuscated C Contest" ^[2], que consistían en crear el programa más raro. El sitio Hackerslab fue pionero en organizar "wargames" a nivel internacional.

En España, los primeros concursos públicos de hacking fueron los Torneos iZhal ^[3] y Boinas Negras ^[4], del Instituto Seguridad Internet, en 2002 y 2003. Empresas como S21sec y blogs, como el del experto Chema Alonso, organizan regularmente retos para la comunidad hispana. El último ha sido el I Torneo de Seguridad BlindSec, de la empresa Blind Security, que acabó el 3 de julio con casi 400 personas inscritas.

"Algunos sirven para crear comunidad y compartir conocimiento, otros para concienciar a la gente de los peligros que acechan en la red, otros simplemente para publicitar un producto", explican Pandas with Gambas. Estos últimos son los más difíciles, ya que algunas empresas hacen trampa y ponen límites de tiempo imposibles para atacar sus productos, que después venderán como "a prueba de hackers".

Hay muchos tipos de "wargames": sobre criptografía, programación, análisis de programas, aplicaciones web o multiprueba, como "Capture The Flag". Algunos son para individuales y otros para equipos, los hay públicos y también privados, pueden durar horas o semanas. También varían los premios: desde sustanciosas cantidades, como en el sitio HackerChallenge, hasta recompensas simbólicas, como en la DefCon ^[5], donde Pandas with Gambas se llevarán, si ganan, la "Insignia Negra".

"Estos concursos suponen un verdadero reto intelectual, sobre todo cuando el fallo ha sido construido y colocado a propósito por los organizadores, porque puede ser tan enrevesado como se les haya ocurrido. Ellos han hecho el puzzle y te toca a tí resolverlo, esa es la gracia", afirman los chicos, para quienes participar en "wargames" es, dicen, "como para un alpinista escalar una montaña".

Notas

1. ↑ Un grupo español, en la final del DefCon, el concurso de 'hacking' más legendario. Mercè Molist "El País" (24-07-08)
2. ↑ (Competiciones de C Ofuscado) http://www.catb.org/jargon/html/O/Obfuscated-C-Contest.html
3. ↑ iZhal http://www.rs-labs.com/papers/izhal.pdf
4. ↑ Boinas Negras https://mailman.jcea.es/pipermail/hacking/2003-July/001695.html
5. ↑ Defcon http://www.defcon.org

Enlaces externos

• http://sexy.pandas.es (Pandas with Gambas)
• http://sexy.pandas.es/blog/2007/08/18/ctf07-report/ (Pandas en la DefCon 2007)

Chema Alonso divulgando SexyPandas

• http://www.elladodelmal.com/2009/03/exportando-sexy-pandas.html (SexyPandas)
• http://www.elladodelmal.com/2010/02/entervista-ero-carrera-de-sexy-pandas.html (Entrevista a Ero Carrera)

Security By Default

• http://www.securitybydefault.com/2009/05/hacking-challenges.html

iZhal: una comunidad dedicada al hacking

• http://www.rs-labs.com/papers/izhal.pdf

Crackmes

• http://crackmes.de

El Pais

• http://elpais.com/diario/2008/07/24/ciberpais/1216863621_850215.html (SexyPandas)