Int3pids
From Hack Story
INT3PIDS: UNA BANDA DE HACKERS DE CAMPEONATO
De "SexyPandas" a "Intrépidos Hackeadores"
Están entre los diez mejores equipos del mundo en competiciones de hacking
Para documentar la existencia de este grupo nada mejor que transcribir la entrevista que les hizo Mercè Molist para "El Mundo" en 2014, pero antes una pequeña introducción:
Cuando los hackers eran hackers y creaban sus propias herramientas no existían leyes ni barreras que restringiesen sus andadas. Pero eso acabó y hoy no es fácil ni razonable entrar en sistemas ajenos sin permiso de los dueños. Así que proliferan las competiciones de hacking, donde los hackers pueden ser otra vez hackers sin ponerse en peligro. Un equipo formado por 9 españoles, [1], participa a nivel mundial en estos juegos.
- Primeros en Madrid y Barcelona.
El palmarés de Int3pids ( https://ctftime.org/team/288) en los últimos dos años es de puros campeones y así lo refleja el ranking mundial CTFTime (https://ctftime.org/), donde están en séptimo lugar. Se han medido en más de un embate contra los mejores: los polacos Dragon Sector, los norteamericanos Plaid Parliament of Pwning y los rusos More Smoked Leet Chicken. De hecho, vuelven ahora de Rusia donde han quedado segundos, por poquísimos puntos (https://ctftime.org/event/146), frente a los campeones mundiales Dragon Sector.
Int3pids (pronunciado "intepids" y con cierto parecido a "intrépidos" ), se autodefinen como "un grupo de amigos apasionados por la seguridad informática que participamos en competiciones de seguridad".
Son expertos en el tema, pero no todos se dedican profesionalmente a ello.
Es su "hobby", especial y minoritario donde los halla, son:
José Carlos Luna Duran (https://twitter.com/dreyercito)
Eloi Sanfelix González ( https://twitter.com/esanfelix)
Daniel Kachakil ( https://twitter.com/Kachakil)
Mario Ballano ( https://twitter.com/marioballano)
Phiber
Albert Puigsech ( https://twitter.com/apuigsech)
Roman Medina-Heigl Hernández ( https://twitter.com/roman_soft)
Uri ( https://twitter.com/samsa2k8)
y
Albert Sellarès Torra ( https://twitter.com/whatsbcn)
El grupo nació en 2010 y desde entonces ha participado en decenas de estos concursos, llamados genéricamente "Capture the Flag" (Captura la bandera) o CTF [5], donde lo que se captura son ordenadores y servicios, o bien pruebas, según la modalidad a que se juegue: en los CTF de "Ataque y defensa", cada equipo tiene un servidor que debe defender, mientras conquista los del resto. Los CTF tipo "Jeopardy", en cambio, consisten en un panel de pruebas relacionadas con el hacking.
Se precisa un profundo conocimiento de informática y telecomunicaciones para participar en estas competiciones que podrían ser de verdad, pues se usan vulnerabilidades reales, armas reales y munición real para solucionar unas pruebas a veces incluso más rebuscadas que en el "mundo real", con filtros puestos adrede para dificultar su resolución. "Es como cuando Goku (de "Bola de Dragón") entrenaba con una gravedad mayor o se cargaba de pesas, para hacerse más fuerte y luego cepillarse fácilmente a sus adversarios", explican entre risas.
En sus cinco años librando batallas, Int3pids han visto de todo: "En el Swiss Cyber Strom III, en 2011, por la noche hubo una fiesta donde, por cada consumición que comprabas, te daban un papelito con unos símbolos raros que te ayudarían a resolver una prueba; cuantos más tuvieses mejor", explican. Un Int3pid usó una viea técnica de hacking, la ingeniería social (Ingeniería_social), para conseguir más papelitos que nadie: utilizó a una persona del servicio de catering, los españoles quedaron primeros.
"En este tipo de pruebas ayuda ser curioso, practicar mucho, no rendirse hasta superar la prueba y, como todo en el hacking, entender al detalle cómo funciona lo que vas a querer hackear", explican. En el congreso PHDays, en Rusia, un reto exótico donde los haya es el "2drunk2hack" [6] (demasiado borracho para hackear), individual y fuera de la competición principal. Consiste en "hackear" una aplicación web en media hora, con la particularidad de que hay que beber un chupito de Vodka cada cinco minutos.
PHDays es, dicen Int3pids, "posiblemente el mejor concurso de hacking" y en él se ven las pruebas más interesantes, como el llamado "Laberinto"
(https://www.youtube.com/watch?v=Fr_y1_JokqI#t=3m15)
donde hay que superar diversos retos en el mundo físico al mejor estilo James Bond: abrir cerraduras con una ganzúa, saltarse detectores de presencia, "bucear" entre un montón de papeles para encontrar información o desactivar una "bomba". Junto a PHDays, los mejores CTF del mundo según Int3pids se libran en Codegate en Seúl, y la DefCon, en Las Vegas.
En cuanto a los premios, suelen ser dinero 3.000 euros en PhDays, 20.000 en Codegate, pero no siempre.
En la DefCon los primeros ganan una chaqueta de cuero y un pase que da acceso perpetuo a la 'con'. En Suiza, en 2011, Int3pids ganaron un coche. De todas forman, aseguran: "No se compite por el dinero, de hecho lo normal es perder dinero, imagina la DefCon, pagar una vuelo y hotel en Las Vegas en agosto". Para paliarlo, muchos equipos están esponsorizados, la mayoría por universidades.
Int3pids se financian solos y no parecen estar cansados de las guerras de hackers: "Te permiten practicar en entornos controlados y suele haber pruebas bastante
creativas, con vulnerabilidades no del todo comunes. Es una buena forma de estar al día en las últimas técnicas", explican. Sin olvidar que fomentan el trabajo
en equipo o, como ellos dicen, "la vertiente social del hacking", y aportan conocimiento a la comunidad, pues los equipos de CTF suelen publicar en sus blogs cómo
superaron las diferentes pruebas.
Empresas y gobiernos descubren poco a poco las ventajas de los CTF, para captar talento o mejorar la capacitación de sus empleados en concursos internos. Algunas están apoyadas económicamente por empresas que tienen a gobiernos detrás, aseguran en Int3pids: "La National Security Agency (NSA) esponsoriza el PicoCTF (https://picoctf.com), orientado a estudiantes de instituto norteamericanos". El equipo Plaid Parliament of Pwning (PPP), segundo en el ranking mundial, organiza el PicoCTF así como un concurso propio, PlaidCTF ( https://ctftime.org/event/119).
En España, algunos congresos de seguridad informática han albergado CTFs, pero sin relevancia mundial. Asimismo, los guerreros españoles que se atreven a luchar en aguas internacionales son pocos, como puede verse en el ranking mundial ( https://ctftime.org/stats/2014/ES), donde Int3pids van séptimos, muy por delante del siguiente grupo español, OGT ( https://ctftime.org/team/6717), en el puesto 217.
Esta falta de efectivos se vive también en los equipos. Los contrincantes de Int3pids tienen el doble o triple de integrantes, lo que dificulta ganar las pruebas donde la cantidad importa. "Buscamos gente que aporte técnica y humanamente, pero también que se comprometa con el equipo y esté dispuesto a 'perder' algún fin de semana compitiendo, y a día de hoy es muy difícil encontrar gente así", explican. Y es que, además de ponerle ganas y no desinflarse al segundo concurso, hay que ser un hacker de bandera: "La competencia tienen un nivel muy alto y si queremos ser competitivos necesitamos gente muy preparada".
¿SABRÍA USTED RESOLVER ESTAS PRUEBAS?
Int3pids explican en su blog ( http://int3pids.com/) las principales pruebas que han superado en los CTF donde han participado. Entre ellas destaca la que quizás
sea más curiosa ( http://int3pids.com/2012/05/plaidctf-2012-traitor-200-pts.html): consistía en un fichero de audio donde se escuchaba a alguien tecleando en el ordenador. A partir de aquí, había que deducir qué se había tecleado. Int3pids fue el único grupo que lo resolvió.
Hemos pedido al grupo que permita jugar a nuestros lectores, con un par de ejemplos sencillos, sacados de pruebas a las que se hayan enfrentado. Estos son los retos de descifrado "fácil" que propone Int3pids:
Reto 1. "Cqrm cq sly npsczy bc agdpybm qclagjjy"
Reto 2. "BHX0ICLgmxFvIwOqoGOqJHWqIGhxliLdIHWqJQvwkGXzlMKdSQvenNXgkGBj"
Soluciones
Reto 1. "Esto es una prueba de cifrado sencilla"
Reto 2. Int3pids invita a quien lo resuelva a mandarles la solución directamente a ellos.
Entrevista:
1. ¿Qué es Int3pids? ¿Un grupo de hackers que participan en competiciones de seguridad informática? ¿o qué...? ¿Cómo os definís?
- No nos parece mala definición. En esencia somos eso un grupo de amigos apasionados de la seguridad informática que participamos en competiciones de seguridad o CTFs. Obviamente es un tema que a todos nos apasiona.
Por cierto, el nombre del equipo (que se pronuncia como "intrepids") es un juego de palabras. Por un lado, palabras como "int3" o "pid" tienen un significado en el mundo técnico (no entramos en detalles). Y por otro, se asemeja a "intrépidos".
2. ¿Cuántas personas forman el grupo, cuáles son sus nombres o sus
apodos, de dónde son, de qué edades? (lo que queráis contar) :
- Oficialmente somos 9, todos españoles aunque viviendo en diferentes ubicaciones (incluso paises).
Por estricto orden alfabético, nuestros nicks son:
- dreyer. Jose Carlos Luna Duran. Viviendo en suiza. Twitter: @dreyercito
- esanfelix. Eloi Sanfelix Gonzalez. Viviendo en Holanda. Twitter: @esanfelix
- kachakil. Daniel Kachakil. Viviendo en España. Twitter: @Kachakil
- nullsub Mario Ballano. Viviendo en Irlanda. Twitter: @marioballano
- phiber. Viviendo en España.
- ripe Albert Puigsech, 31 años viviendo en Barcelona. Twitter: @apuigsech
- romansoft. Román Medina-Heigl Hernández, 38 años, actualmente viviendo en Madrid. Twitter: @roman_soft
- uri. Twitter: @samsa2k8
- whats. Albert Sellarès Torra. 30 años. Viviendo en Barcelona. Twitter: @whatsbcn
3. ¿Los integrantes de Int3pids trabajan en seguridad informática? Si és así, ¿no es un poco rollo trabajar de una cosa y después jugar a lo mismo? 0:)
- Unos si, otros no :)
Eloi: trabajo como Security Analyst en Riscure, aunque el enfoque es ligeramente distinto al de CTFs y nos centramos mas en seguridad de dispositivos electronicos (embedded systems, smart cards, smart meters) que 'computer security'. Y no, no es "un poco rollo", porque en los CTF se suelen tocar temas que no toco en el trabajo y viceversa.
Kachakil: Desde hace 8 meses trabajo en Eleven Paths, en la que sí me dedico a la seguridad informática, aunque anteriormente trabajé durante unos 10 años en mi propia empresa (de la que era cofundador) y que nada tenía que ver con la seguridad. En cualquier caso, no suele ser lo mismo lo que nos encontramos en un CTF y en el trabajo, pero ambas cosas se complementan bien.
Román: Yo trabajo en el área de Seguridad Informática de una gran empresa multinacional española. Mi rol de gestión me impide apenas tocar temas muy técnicos así que me "desquito" con los CTFs. También me dedico en casa a tratar de seguir aprendiendo nuevas técnicas (o practicando las viejas, que si no se olvidan) para no quedarme obsoleto.
Dreyer: Trabajo desde hace 11 años en el CERN, llevo un pequeño equipo de desarrollo de software para gestion de las redes informaticas del centro.
Albert (Ripe): Trabajo desde hace más de 12 años en servicios relacionados con seguridad informática. Actualmente mi trabajo se centra mayormente en la gestión, por lo que sólo toco temas técnicos en contadas ocasiones. Los CTFs y otras actividades fuera del trabajo son precisamente la forma de abstraerse un poco del curro, además de mantenerse al día en los diversos temas que van saliendo y con la mente despierta.
Albert Sellarès (whats): Trabajo desde hace más de 8 años en el entorno de la salud y el diagnóstico por la imágen. También tengo un rol más de gestión por el que los CTFs me sirven para poder tocar a fondo el bajo nivel. Según mi opinión en España si quieres avanzar un poco profesionalmente tienes que decantarte hacia la gestion y la mayoría de los puestos de trabajo relacionados con la seguridad informática tampoco acostumbran a ser nada del otro mundo. Aprovecho para hacer un poco de spam :P: Recientemente he creado una empresa con unos compañeros para formar a niños pequeños en todos los conceptos de la programación, robótica y el pensamiento computacional en el que los niños aprenden jugando como en un videojuego (http://codelearn.cat ). En septiembre abrimos dos centros en Barcelona.
Mario: Trabajo desde hace 6 años para Symantec donde me dedico principalmente a la investigacion de amenazas y al desarrollo de herramientas de analisis. Anterioremente he trabajado para mpresas espanholas relacionadas con la seguridad informatica.
4. ¿Para entrar en Int3pids hay que superar alguna prueba, tener título universitario, llevar X años en seguridad informática..? ¿Cómo se decide quién forma parte del equipo? Da la impresión que son pocos los que se atreven a esto... supongo que no tendréis overbooking de peticiones para ser Int3pids :)
- Hasta ahora es una decisión de grupo. Generalmente, algun miembro del grupo propone invitar a alguien a formar parte del equipo y el resto dan su opinión. En general se trata de gente a la que conocemos bien via otros CTF o via conferencias o similares. Somos un equipo pequeño en
cuanto a número de gente, sobre todo en comparación con otros equipos, y siempre está bien crecer pero hasta ahora hemos preferido hacerlo de forma controlada. Buscamos gente que aporte (técnica y humanamente) pero también que se comprometa con el equipo (esté dispuesto a "perder" algún que otro finde compitiendo, se involucre en las distintas discusiones internas, proponga ideas y mejoras para el equipo, etc).
En realidad nos gustaría poder crecer un poco como equipo ya que la inferioridad numérica actual nos lo exige pero a día de hoy nos es muy difícil encontrar gente así.
5. ¿Es cierto que romansoft es el líder de Int3pids o son cosas que se dicen? ¿es un grupo jerárquico? ¿Cómo se reparten las tareas?
- El equipo funciona muy bien sin ningún tipo de líder. Todos somos iguales, todo se decide en consenso y cuando hay que decidir quién va a competir presencialmente a algún tipo de evento hasta ahora nunca hemos tenido ningún problema (funciona muy bien la auto-crítica, combinado con
que más bien suele faltar gente dispuesta a viajar a este tipo de eventos). Aunque desde luego nuestro "int3pid" mas mediático es Roman! Por eso es nuestro RRPP de facto.
6. Si no me equivoco el grupo surge de Pandas with Gamas, creado en...
¿2007?.. y que en ¿qué año? pasa a llamarse Sexy Pandas. Y en
2010 se reconvierte en Int3pids. ¿Por qué se deja el rollo panda?
¿Cuándo, cómo, dónde exactamente nace Int3pids?
En Hackstory sale este párrafo. No sé si está correcto:
En 2007 y relacionado estrechamente con el colectivo 48bits, formado por algunos de los ya citados más nombres emergentes como Rubén Santamarta (madalenas), Mario Ballano (Nullsub) y otros, aparece ¡por fin! un nuevo grupo de hackers en el estado español. Se llaman Pandas with Gambas y se dedican a participar en concursos de hacking, como el reputado "Capture The Flag" de la convención norteamericana DefCon. Entre sus integrantes hay gente más que destacada, como Sha0 y Pancake, pero se niegan a revelar sus identidades a la prensa[75]. En 2009 el grupo cambia de nombre, se llamará Int3pids. Shao y Pancake lo dejan, mientras siguen RomanSoft, Whats, Dreyer...
- Román: Pues no está muy correcto. Tendría que tirar "de archivo", yo te cuento mi punto de vista (romansoft). En mi caso, creo recordar que dreyer o uri (los conocía desde tiempos de zhal, Boinas Negras, etc; muuuuuuchos años atrás) me comentó acerca de la loca idea de ir a Defcon a competir por primera vez (un equipo español). Yo oficialmente no me uní porque no tenía intención de viajar a Las Vegas pero ofrecí mi ayuda en lo que fuera necesario (que no requiriese estar ahí físicamente; por ejemplo, las Quals, que se juegan online). En ese momento, tampoco estaba claro (o por lo menos yo no lo percibí así) que la idea fuera hacer un equipo español para competir en CTFs sino que me pareció más un experimento o una excursión aislada. El caso es que de esa excursión" nació el equipo de los Pandas (fueron modificando el nombre ligeramente a lo largo de los años), el cual se fue consolidando y que acudió a Vegas en varias ocasiones. En todo ese tiempo, yo participé con ellos en as Defcon Quals pero nunca me consideré miembro oficial del team (si es que hay lista oficial del team). Más tarde (principios de 2010 ??), Uri, Dreyer y Nullsub abandonaron "Sexy Pandas" y junto a Kachakil y a mí se formó "int3pids", ya con la idea de ser un "CTF team" en toda regla (participar en más CTFs -no solo en Defcon- y de forma más regular). Más tarde se unirían, cronológicamente: whats (Mayo/2010), esanfelix (Jun/2011), phiber (Mar/2013) y ripe (May/2013).
- Dreyer: En el 2007 Tora tuvo la idea de formar un equipo para simplemente participar en las clasificatorias de la Defcon de ese año, por contactos nos juntamos unos poquitos de los primeros pandas (tora, ripe, nullsub, uri, dreyer, parki, pancake y perdon si me dejo algun otro nombre) y de rebote nos clasificamos. Medio en broma medio en serio nos armamos de valor para ir a Las Vegas y nos encanto la experiencia, con lo que decidimos jugar año tras año aumentando el equipo. El nombre siempre tenia algo relacionado con sexy pandas porque era un nombre que nos hacia gracia. Por sexy pandas ha pasado mucha genteEro, parki, sha0, slow, zhodiac y muchos mas aparte de los mencionados y la comunidad nos ayudo mucho en los primeros años. La epoca panda fue muy divertida pero nos paso como a muchos equipos de futbol aficionado, como todo hobby la gente se cansa, los hay que ya no querian jugar, otros empezaron a tener familia u otros compromisos y poco a poco las ganas del principio se empezaron a marchitar. Los que queriamos continuar decidimos que lo mejor era empezar desde cero con la gente que seguia teniendo ganas y empezar a buscar nueva gente. Asi que nace entonces int3pids justo en el boom de los CTFs que empezaron a aparecer como setas, sacamos la hacker-agenda y empezamos a formar el grupo.
7. Si lo he entendido bien, nacéis como grupo para participar en la CTF
de la DefCon. ¿Es cierto? ¿Por qué la Defcon? ¿Es la CTF más importante
del mundo? ¿La más difícil? (Por cierto, hablando de la Defcon, me dices
roman que estáis clasificados para la final de este año pero
posiblemente no vais a ir. ¿Y pues?)
- El nombre de int3pids aparece por primera vez para participar en la final de Codegate 2010, en Seúl (Corea del Sur). A partir de ahí hemos participado en todo tipo de CTFs (incluido Defcon pero también muchos otros). Actualmente hay muchísimos CTFs (si lo comparamos con la época en la que empezamos; mira la siguiente lista, que no tiene que estar completa:
Quizás, dentro de los presenciales, los principales (aunque esto es bastante subjetivo) son actualmente: Codegate (Seúl / Corea del sur), Phdays (Moscú / Rusia) y Defcon (Las Vegas / USA). Este año acabamos de lograr la segunda posición (muyyyy cerca en cuanto a puntos a los ganadores) en Phdays. Se nos dan mejor los CTFs donde se limitan el número de participantes por equipo (tradicionalment, Defcon NO ha sido uno de ellos porque ha habido equipos hasta de 30-50 personas!!). La Defcon es una de las principales porque es una de las primeras, ahi es donde nace el concepto de CTF (competicion ataque-defensa) en materia de seguridad.
Se ha abusado mucho del termino CTF, ya que en el pasado ya existian juegos de seguridad denominados por aquel entonces Wargames (por ejemplo hackerslab, izhal, boinas negras). Originalmente se le llamaba CTF solo a aquellas competiciones que eran de ataque y defensa, aunque ahora tanto a los Wargames como a las competiciones de ataque-defensa se les denomina simplemente CTFs. El otro gran grupo de CTFs se denomina "jeopardy" (el típico panel donde cada porción del mismo representa una prueba, y las pruebas se agrupan por categorías; a cada prueba se le asigna una puntuación acorde a la dificultad de la misma). Aquí tienes un buen resumen de lo que puede ser hoy en día un
CTF: https://ctftime.org/ctf-wtf/.
Eloi: Yo diria que DefCon es el mas conocido, por ser de los primeros que hubo. Por ello es "el mas importante" en cuanto a fama, pero no es el mas importante en cuanto a premios ni tiene por que ser el que tiene pruebas mas interesantes. En nuestra experiencia, phdays esta bastante
bien montado, con mucho dinero y esfuerzo invertido en el evento. Eso lo hace uno de los eventos mas importantes a dia de hoy.
8. ¿Podeis facilitarme una lista de las competiciones donde habeis
participado, su calidad dentro del mundo de los CTFs y los puestos
conseguidos? ¿Cuál os ha gustado más y por qué? ¿Acabáis de conseguir un
2o puesto en Rusia, en una CTF que parecía bastante buena, es así? (no
tengo ni idea de qué CTFs son punteras ahora mismo en el mundo,
agradeceré información de contexto)
- Epoca Pandas:
[3] Finales Defcon 2007
Clasificados en 2007, 2008, 2009 (top 10) en las quals de la defcon (no se si es importante poner los puestos, un año quedamos primeros empatados con routards)
[2] Finales codegate 2009
- Epoca int3pids:
- [1] Swiss Cyber Storm 3 - CarGame Challenge (2011)
- [1] SbD Wargame 2011
- [1] Rooted Arena 2012
- [1] EbCTF 2013
- [1] Facebook CTF 2013
- [2] PHDays 2014
- [2] Codegate 2012
- [3] Insomnihack 2013
- [3] PHDays 2012
- [3] Codegate 2010
Nos hemos clasificado bien por quals, bien por resultados todos los años para la Defcon, aunque como int3pids solo hemos ido en 2011.
10. Creo que fue en 2010, hablo de memoria, ganasteis un coche no sé
dónde. ¿Qué hicisteis con él? ¿En qué suelen consistir los premios de
las CTF? ¿Dinero? ¿Cuánto?
- Los premios varian mucho de un CTF a otro. El CTF de DefCon por ejemplo, pese a ser de los mas conocidos, no tiene premio en metalico alguno. El premio simplemente consiste en una chaqueta de cuero y un 'black badge' que da acceso perpetuo a DefCon (y el honor de ser campeon, claro :)) .
En Corea del Sur hay dos CTF que suelen tener premios en metalico bastante altos: Codegate y SecuInside. En ambos casos el primer premio esta en torno a los 20000 euros. En Rusia, el primer premio es de unos 3000 euros.
En algunos CTFs (como Codegate, PHDays o actualmente Defcon) nos pagan parte de los gastos del viaje, importe que no suele superar ni la mitad de los gastos totales (vuelos, hoteles, etc). El coche que ganamos en Swiss Cyberstorm 3 (mayo de 2011) lo revendimos y nos repartimos el importe entre los 5 que participamos.
Aún así, recalcar que no se compite por dinero (entre otras cosas porque nunca sabes si vas a ganar; y de hecho, es harto complicado conseguir un top-3 en las competiciones anteriores). De hecho, lo normal es perder dinero (!!!). Por poner un ejemplo, una final en Defcon supone pagar un vuelo a USA en Agosto (~1200 eur para arriba) + manuntención (desde el año pasado, Defcon costea la entrada al evento [~100 USD] y 2 macro-habitaciones -total: 8 personas-; años atrás, Defcon no costeaba nada de nada y te lo tenías que costear tú absolutamente todo!).
Lo anterior es solo un ejemplo pero no es de extrañar que existan muchos equipos que están sponsorizados (normalmente por Universidades). Nosotros nunca nos lo hemos planteado en serio (alguna vez ha salido el tema en alguna conversación pero nunca nos hemos lanzado a un "call-for-sponsor" ni hemos tanteado siquiera el terreno).
11. Supongo que os han sucedido un montón de anécdotas, queréis
compartir alguna?
- Román: en el "Swiss Cyber Storm III" (a.k.a. donde ganamos el coche) hicieron una cosa que a mí me pareció curiosa: eran 2 días de concurso pero el concurso se interrumpía durante la noche, en la cual había un fiesta cuyo objetivo era fomentar el networking entre los participantes. Para asegurarse de que todos acudíamos, hicieron un challenge curioso durante la misma, que puntuaba para la competición global, y que consistió en lo siguiente: por cada consumición que comprabas (alcohol :-)) te daban un papelito con una especio de símbolos raros (estilo "jeroglífico"). La primera parte de la prueba consistía en acumular papelitos para ver qué sentido tenían esos símbolos. Había varias formas: bien comprando más consumiciones... o incluso había gente que de repente te llegaba por la espalda y te tiraba una foto con el móvil mientras estabas leyendo el papel!!; o la forma alternativa que encontró uno de nuestros compañeros "hackeando al personal del catering" (!!!). Por no alargarme, al resolver la primera parte obtenías una URL, que era realmente la prueba que había que resolver.
- Albert (Ripe): (En la Epoca de los SexyPandas) Tora se casó con una chica que conoció en un CTF en Corea, no se si merece la pena mencionar o algo así :)
- Albert (whats): El tema del 2drunk2hack y el francés que se despertó al día siguiente pinchado?
12. ¿Cómo es exactamente una Capture The Flag? Para que los lectores
puedan hacerse una idea. ¿Qué se hace? ¿En qué consiste? ¿Cuánto tiempo
puede durar?... ¿Siempre es obligado asaltar servidores y salvaguardar
los conseguidos, o hay variantes más o menos imaginativas?
(esto ya lo hemos comentado más arriba, pero bueno... :-)).
- Principalmente hay dos tipos de CTF:
- - Jeopardy:
Los participantes acceden a un panel donde se encuentran las descripciones de las pruebas. Generalmente hay varias categorias (criptografia, web, exploits, ingenieria inversa, etc.) y varias pruebas por categoria. Cada prueba tiene una puntuacion distinta. Al resolver la prueba, obtienes un flag (un conjunto de caracteres, normalmente alfanuméricos, que demuestran que has resuelto la prueba; puede ser desde un hash MD5 hasta "4lg0_t4n_t1p1c0_c0m0_3st0"), que puedes enviar en el panel de control para obtener los puntos.
- - Ataque y defensa:
Cada equipo participante recibe una maquina virtual o acceso a un servidor en el cual corren los servicios de la prueba. En este caso, los equipos deben analizar los servicios, encontrar vulnerabilidades y explotarlas en los sistemas de otros equipos para obtener puntos (también es legal analizar el tráfico de red y tratar de reproducir los ataques "que se ven" por el cable). Ademas, deben mantener sus servicios funcionando, tratando de evitar que sean explotados (por ejemplo, parcheando los binarios o implementando filtrado a nivel de red).
Luego hay concursos como phdays en el que se combinan ambas vertientes: tienes varios servicios que mantener y explotar en los servidores de otros equipos, y luego en paralelo tienes un panel donde acceder a otras pruebas. También hay pruebas adicionales más exóticas que requieren salir al mundo físico: pruebas de lockpicking, "dumpster diving" (literalmente "bucear" en un recinto cerrado lleno de papeles en busca de información útil / flags), pero ese exotismo es puntual , las pruebas son categorizadas en explotación, ingenieria inversa, criptografia, web, redes, análisis forenses, etc donde se deben usar las técnicas más modernas de hacking usadas en el mundo real. Explotación en sistemas operativos actuales, bypass de antivirus, intrusión web, implementaciónes inseguras de algoritmos criptográficos son temas habituales entre tanta prueba.
Normalmente dan puntos extra por estar entre los tres primeros en resolver una prueba, aunque según las reglas de cada CTF, otras veces ese tipo de bonus no se aplica y el tiempo de resolución únicamente se tiene en cuenta en caso de empate a puntos. También hay casos en los que las pruebas "caducan" (bien basado en un tiempo de vida definido de forma absoluta, o por ejemplo, expira cuando trascurre X tiempo desde que la prueba fue resuelta por algún equipo).
En los congresos siempre están buscando como hacer para que el público se distraiga y encuentre el CTF entretenido: en codegate hacen lo del yut (FIXME: explicar qué es); en phdays lo montan como un videojuego con videos, historias de rol, etc.
Tambien puede ser interesante explicar la parte de las pruebas físicas que ponen en phdays como lo de la bomba, el detector de movimiento, los laser s, etc
13. Sería chulo poder poner una prueba facilita de una CTF como ejemplo, como "despiece" de la entrevista, para quien quiera probar. Quizás algo de cripto facilito... ¿Cómo lo veis?
- En nuestro blog oficial (http://int3pids.com)
<http://int3pids.com%29/> tenemos algunas resoluciones de pruebas (se denominan "write-ups" y es normal que diferentes teams las publiquen bien en blogs de equipo o en blogs personales). Una prueba bastante curiosa es ésta:
http://int3pids.com/2012/05/plaidctf-2012-traitor-200-pts.html.
En ella, te daban un fichero de audio donde se escuchaba a alguien tecleando en su ordenador. Y solo con eso tienes que deducir lo que se ha teclado. Parece magia, ¿verdad? Pues int3pids fue el único equipo que lo resolvió (fuera de tiempo, y por tanto, no puntuamos, pero lo resolvimos).
14. ¿Para qué sirve participar en CTFs? ¿Para qué os sirve? ¿Para qué
sirve a la comunidad?
- Es educacional, te permite practicar con vulnerabilidades en entornos "controlados", y suele haber pruebas bastante creativas con vulnerabilidades no del todo comunes. Ademas, junto con la publicacion periodica de 'write-ups' por parte de los equipos participantes, permite a gente mas nueva aprender sin necesidad de ponerse a romper sistemas de otra gente :p
Es una buena forma de estar al día en las ultimas técnicas de explotacion, vulnerabilidades y protecciones. Las pruebas suelen ser simples en funcionalidad lo que permite practicar yendo mas o menos al grano.Además, la variedad de pruebas (diferentes tipologías, etc) obliga a un conocimiento multi-disciplinar. Por último, se fomentan otras habilidades como el "teaming" o la coordinación dentro del equipo, optimización del trabajo en equipo, etc. Y tiene también una componente "social" (compitiendo contra equipos y personas de todo el mundo se hacen amigos y en definitiva, se conoce a mucha gente, se hacen contactos, etc).
¿En qué se benefica la comunidad? Básicamente se comparte conocimiento (los write-ups publicados son oro puro), y como decíamos antes, se fomenta la vertiente social del hacking.
No lo has preguntado pero ¿puede ser beneficioso organizar / sponsorizar un CTF? Entre otras razones, se me ocurren dos argumentos de peso que justifican una respuesta afirmativa: 1/ aptación de talento (mucho mejor tener una referencia de una persona del mundo de los CTFs que leer un CV o hacer una prueba técnica puntual). 2/ Fomentar la cultura de Seguridad en diferentes sectores y países (la NSA sponsoriza el PicoCTF -un CTF orientado a estudiantes de "high-school" de nacionalidad norteamericana-). 3/ Tambien puede ser interesante mencionar que algunas companhias organizan CTFs internos para que sus empleados se familiaricen con practicas de seguridad.
15. Ejemplos de otros teams?
- [[ FIXME: Creo que es interesante comentar que nivel tienen otros de los teams que participan. En ellos hay gente bastante famosa como geohot, ex nsa, el tio del ida pro book, etc etc (alguien puede explicarlo bien? :P) -> A mí me parece perfecto, pero yo me he hinchado de escribir, ahora le toca a otro :-) ]]
17. ¿Qué significa o qué es "int3" y "pid"?¿?¿?
- El nombre viene de la interrupcion 3, una interrupcion que se utiliza para depurar programas, tarea que a menudo es requerida para comprender el funcionamiento de estos y que empleamos en muchas de las pruebas que realizamos en CTFs. La segunda parte del nombre se refiere a "pids" process identifier(s)), es decir el identificador de un determinado proceso en un sistema. La pronunciacion seria "int-three-pids" o "intrepids" que en ingles, aunque no se pronuncia exactamente así, vendría a ser intrépidos :)
18. Me comentais que sois un grupo pequeño. ¿Cuánta gente suelen tener
los otros equipos?
- Pues depende, 15, 20, 30 o incluso mas de 40. Los equipos en las primeras posiciones suelen tener mas de 10 personas, aunque hay de todo.
19. Decís que es muy difícil encontrar a gente "así" para participar en
CTFs. ¿Qué significa "así"? :DDD ¿Qué se requiere para participar en
CTF? qué extraños superpoderes? :D
- Ya lo contesté en la pregunta 4. "Gente así" es: "Buscamos gente que aporte (técnica y humanamente) pero también que se comprometa con el equipo (esté dispuesto a "perder" algún que otro finde compitiendo, se involucre en las distintas discusiones internas, proponga ideas y mejoras para el equipo, etc)."
En definitiva, gente apasionada por la seguridad y los CTFs, y que no se desinfle al segundo o tercer CTF. De nada serviría meter 10 personas más si luego no les vemos el pelo y siempre participamos los mismos. En cuanto a los "superpoderes", no nos engañemos: la competencia (resto de equipos) tiene un nivel muy alto, y si queremos ser competitivos necesitamos gente muy preparada (ya sea en alguna disciplina muy concreta o bien polivalente) o en su defecto dispuesta a dedicarle el tiempo que sea necesario para estarlo. Al final, el conocimiento está en la red.
20. ¿Cuáles son los 1 o 2 mejores grupos de CTF del mundo ahora mismo? ¿Vosotros sois los mejores de España? ¿Y los únicos? Recuerdo que ha habido algún otro grupo, uno que era mezcla espñoles y coreanos y otro que era sólo españoles. No recuerdo sus nombres y supongo que han durado lo que dura un CTF. ¿Es así? ¿Tenéis más info sobre ellos?
- Del mundo, actualmente (a fecha 12/06/14, y de acuerdo a:
los mejores son:
1.- Dragon Sector (Polonia)
2.- Plaid Parliament of Pwning (USA)
3.- More Smoked Leet Chicken (Rusia)
Int3pids ocupa el puesto #7 actualmente. Si no conoces ctftime, es lo más parecido a una liga pero de CTFs (hacen seguimiento de los diferentes CTFs de todo el año, les asignan un peso en función de su relevancia, e importan el ranking de cada uno de ellos, ponderando con el peso asignado al ctf; no es lo mismo quedar 1º en un CTF local con apenas reconocimiento que ganar un Phdays o un Defcon, p.ej). Añadir también que hay muchisimos CTFs y que jugar a muchos tambien influye en la posicion en ctftime (si no juegas, no puntúas).
De España, somos los mejores con diferencia (aunque quede feo decirlo) aunque tampoco es que haya muchos equipos. Antiguamente existía otro gran equipo ("painsec"), con el que manteníamos cierta rivalidad (amistosa) pero desaparecieron (algunos miembros se integraron en otros equipos como "OGT"). El otro equipo que mezclaba españoles/coreanos también desapareció ("sapheads" -de hecho, nuestro "whats" proviene de este equipo-)
En cualquier caso, esta es la clasificación actual, filtrando solo por .es:
https://ctftime.org/stats/2014/ES
21. Por lo que entiendo, cuando hay un CTF o similar, si es presencial
parte del grupo viaja allí (¿cuántos mínimo, 3, 4?) y el resto ayudan
online. ¿Es así?
- Mínimo: 4 (Codegate) Máximo: depende (p.ej, actualmente 8 en Defcon CTF)
En los CTFs presenciales no suele estar permitido "ayudar online" (eso es trampa). Nosotros somos legales pero la realidad es que es muy difícil controlar que todo el mundo lo sea.
22. Supongo que los que viajan siempre son del grupo, pero en cuanto a
la ayuda online, hay más gente que ayude, sin ser del grupo? En un
respuesta comentais por ejemplo que en la época de Pandas la comunidad
ayudó mucho. ¿En qué consiste esta ayuda de gente externa al grupo?
- En las quals de Defcon (que se juegan online) es normal juntarse muchíiiisima gente, y si quieres ser competitivo, necesitas gente externa al grupo (amigos, etc). Las reglas permiten expresamente un número ilimitado de miembros lo que da a entender que "todo vale" (excepto chivarse flags y soluciones entre equipos, claro).
23. ¿Cuantos CTFs se celebran en Spain? ¿Qué tal están de calidad? En cuanto a los antiguos, sé qué era Boinas Negras, pero de Izhal tengo mucha menos info y HackersLab ya ni me suena.. ¿Tenéis enlaces o algo donde pueda conseguir más información sobre estos wargames? ¿Cuál fue el primero made in Spain? (me suena que había que se hacían desde latinoamérica, creo que era Izhal?¿)
- Muy pocos. Los CTFs españoles no tienen el punto de mira hoy en dia de ser competiciones internacionales de alto nivel de dificultad.
Lo realmente dificil es crear un CTF que sea no solo original y novedoso sino adecuado a la audiencia a la que está orientada. Si estas condiciones se cumplen, sera un CTF de calidad (que no de alta dificultad).
De nada sirve montar un CTF de dificultad DEFCON si tu publico no es internacional. De la misma forma, suele ser poco atractivo para equipos internacionales competir en CTFs que no esten orientados a ese tipo de nivel.
Sobre wargames antiguos en general y sobre izhal en particular, puedes leer este artículo de @roman_soft (2002):
http://rs-labs.com/papers/izhal.pdf
- Yo diría que Boinas Negras fue el primero en España y que más se acerca a lo que es hoy un CTF (salvando las distancias). Antes de eso, me suena (yo no he estado) que había algún que otro concurso en el seno de CONs locales (ej, la "toma de la bastilla" en la antigua NcN de Mallorca)
pero éstos serían de pequeña magnitud y más bien algo accesorio al congreso y no realmente con entidad como para considerarlo un CTF. Pero esto es mi opinión solo (Román).
24. Me comentais que desde aproximadamente 2010 se han disparado los CTFs. De hecho se ve como en 2011 participais en 5 y en 2013 estáis en más de doble. ¿Por qué? ¿Hay más hackers hoy que en 2000? ¿Es más peligroso ser un hacker in the wild hoy que en 2000 y se prefieren estos entornos? ¿Es una moda? De hecho... quizás pueda darnos una pista saber quiénes són los organizadores-tipo de estos eventos y qué persiguen con ello. ¿Lo sabéis?
- Empezando por el final, ya hemos contestado, quizás de forma más genérica, en la pregunta 14. En cualquier caso, los que se curran el CTF son gente muy técnica, casi siempre, que participa o ha participado, y por tanto tiene amplia experiencia, en CTFs; a veces, incluso todo un equipo que participa en otros CTFs organiza el suyo propio: p.ej el "plaidCtf" lo organizan los "PPP" (actual #2 en ctftime, y años atrás, el #1).
Detrás de estas competiciones y congresos siempre hay empresas con más o menos vinculación de los gobiernos. Por ejemplo los phdays los organiza una empresa llamada Positive Technologies y dedica varias personas durante unos 6 meses de trabajo cada año para prepararlo todo. La verdad es que se gastan mucho dinero en ello.
Realmente ha habído un boom en cuanto a gente técnica y empresas del sector. A su vez, todo el mundo digital (films incluidos) ha hecho más atractivo todo el mundo del hacker y los gobiernos de todo el mundo son conscientes de su importancia.
25. Comentáis que en el PHDays habéis quedado segundos por pocos puntos.
¿Cuántos?
- Unos 300 puntos (33162 obtuvo el equipo ganador y 32850 nosotros), menos que cualquiera de las pruebas que costaban menos de resolver. Es decir, que con haber resuelto la mas mínima tontería, podriamos haberganado.
Para ganar puntos, debías abrir pruebas y pagar por ellas. Al final dejemos unas cuantas abiertas sin resolver; solo habiendo abierto una menos, habríamos ganado. En cada ronda de 5 min, anabamos puntos por tener los servicios funcionando correctamente, en la parte final conseguimos tumbar un servicio del primer equipo de manera que en unas 3 rondas sin hacer "nada" les pasábamos en juntos.
26. Hablando de puntos.. Veo en https://ctftime.org/team/288 que por
cada CTF os dan unos puntos y unos rating points. ¿Que significa? Tiene
algo que ver con una competición mundial anual por ver quién hace más
puntos en los CTFs? Si es asi, ¿qué os lleváis con esto?
- En la pregunta 20 ya hemos hablado de ctftime. Se trata de una inicitiva privada de un grupo de rusos que tambien son apasionados de los CTF, y sí, simplemente sirve para presumir, nada mas.
Nadie se lleva nada con eso. En realidad es lo mismo si te refieres a la pagina principal, luego en cada competicion tienes los CTF points, que son los puntos conseguidos en cada ctf teniendo en cuanta las reglas de cada uno de ellos (hay ctfs que por una prueba te dan 1 punto, y otros 1000), y luego los rating points que es una estandarizacion subjetiva de los que han hecho la pagina de ctftime.
Segun nuestro entender, los puntos que dan por competición no estan super bien balanceados y el hecho de participar a muchos más por pequeños que sean te hace estar bastante más arriba que si vas solo a los grandes y los ganas de manera que no es 100% representativo.
27. Si algunos CTFs son presenciales y otros sólo online, intuyo que los
más numerosos serán los online, ¿es así?
- Si, además la mayoría de los presenciales tienen una fase de calificacion online (lo que se conoce como "quals"). Como en presencial las plazas son limitadas, solo invitan a los que mejor lo han hecho en la fase online.
28. Qué significa el cactus? 0xCC ya he mirado en Google: es = int3 en
no sé qué capa de programación xD pero y el cactus? :D
- El cactus es simplemente para desconcertar a la competencia y que se hagan esa misma pregunta, aunque se nos ocurrió por el 0xCC (CaCtus). Aparte de que el cactus que nos diseñó pancake mola mil!
29. ¿Cómo se hackea al personal del catering? xD
- Eso te lo puede contar mejor algún que otro miembro del equipo :) En realidad, me refería a que convencía al personal del catering para que le fuera dando más "papelillos" de esos que hacían
falta para resolver aquella prueba en Suiza (la ingeniería social es una rama del hacking, ¿no? :-)).
- En este otro tipo de prueba ayuda mucho el hecho de ser curioso, practicar mucho, no rendirse hasta superar la prueba y como todo en el hacking entender al detalle como funciona lo que vas a querer hackear. ;)
30. ¿Qué es 2drink2hack?
- En realidad es "2drunk2hack" (Too drunk to hack - demasiado borracho para hackear).
http://www.phdays.com/program/contests/#16287
Se juega dentro del "phdays" (cuando acaba el CTF principal), es individual, y dura poco tiempo (media hora). La gracia del concurso es que se va penalizando, cada 5 min, a los participantes con un "shot" de vodka. Es "peligroso" y comprenderás por qué no puede durar mucho xDDD Una imagen vale más que mil palabras (para que veas la expectación que genera):
Y no, nosotros nunca hemos participado en eso :)
31. Me sorprende que comentáis que en los CTFs hay público. El único que
he estado en mi vida, el de la Noconname, estaban todos encerrados en
una habitación y el "público" básicamente éramos 2 o 3 que nos paseamos
un rato por ahí y nos fuimos... ¿Podéis explicarlo un poco mejor?
Público en plan plató de TV, animando a sus equipos? qué clase de gente
se pasa horas mirando a unos tíos delante de una pantalla?¿?¿?
- En el video de antes, tienes un ejemplo (aunque no es lo habitual: sería estresante si el público te rodeara de esa forma).
Pero sí es habitual tener música a tope, grandes pantallas proyectando no solo el scoreboard actual sino p.ej ataques en tiempo real. Realmente no es algo para sentarse a mirar 2h, sino más bien, darse un paseo por la sala de vez en cuando, ver la expectación que hay, las pantallas, cómo van cambiando los scores, quién se adelanta, quien pierde posiciones, etc. En phdays, sacan hasta una aplicación para el móvil donde se puede seguir el CTF :-)
En definitiva se trata de darle un toque de gamificación para que un publico pueda ver los quipos como rivales entre si.
32. YUT en Codegate. ¿qué es eso?
- YUT es un juego tradicional coreano, en realidad es simplemente adaptar las pruebas sobre el modo de juego. Es como si en España pusieramos pruebas y resolverlas te diera puntos para moverte en un tablero de parchis.
33. Pruebas físicas en Phdays. ¿Cómo cuáles? ¿Hacerle pruebas físicas a un geek no debería ser sacrilegio?
- Por ejemplo el laberinto, como seria largo de explicar lo mejor es un
mini video:
https://www.youtube.com/watch?v=Fr_y1_JokqI
Saltarse medidas de seguridad fisicas: detectores de presencia, lasers, microfonos ocultos, abrir cerraduras, encontrar contraseñas en una piscina de papeles, y desactivar una "bomba" tieniendo informacion de su implementación y de ahí sacar que cable cortar.
34. Es muy bueno lo de la prueba del teclado que me pasáis, para ofrecer
a los lectores como muestra de este arte de los CTFs. Pero si además me
pasaseis otra prueba más fácil... pienso en algo que pueda implicar a
algún viejo resolvedor compulsivo de pasatiempos a dedicarle 5 minutos y
sentirse un poco hacker. En la charla de Navaja Negra, kachakil puso
algunos criptoejemplos que creo podrían servir, los más fáciles.
- Lo más fácil podría ser algo como:
"Cqrm cq sly npsczy bc agdpybm qclagjjy"
(Descifrado: "Esto es una prueba de cifrado sencilla") (rot24 , o dicho de otra forma, una particularización del conocido cifrado clásico "César")
Otra sencilla (a ver si la sacan tus lectores!! :-))):
"BHX0ICLgmxFvIwOqoGOqJHWqIGhxliLdIHWqJQvwkGXzlMKdSQvenNXgkGBj"
Notas
- ↑ Int3pids ( http://int3pids.com/)
- ↑ ( http://archive.swisscyberstorm.com/program/winner-cargame.html)
- ↑ Rusia ( https://ctftime.org/event/146)
- ↑ (https://ctftime.org/event/18).
- ↑ (https://ctftime.org/ctf-wtf/)
- ↑ (http://www.phdays.com/program/contests/#16287)
Enlaces externos
Mención de Chema Alonso en su blog y entrevistas a dreyer y dani:
- http://www.elladodelmal.com/2008/10/entrevista-dani-doctor-kachakil.html (Dani "The Doctor" Kachakil)
Publicación soluciones en el blog SbD:
- http://www.securitybydefault.com/search/label/int3pids (Soluciones Security By Default)
Artículo en hackplayers:
Esto es todo y no te olvides "Un Hacker no es un pirata Informático, es una persona con curiosidad técnica y ética profesional"