Soluciones y fin del concurso de Seguridad "Web challenges from RootedCON'2010 CTF"
Todo lo bueno se acaba... Tras algo más de un mes de concurso y una magnífica acogida, doy por concluído el concurso de seguridad. Las estadísticas han sido impresionantes: más de 1000 participantes (700+ inscritos a fecha de comienzo del concurso) y 18 "web ninjas" que consiguieron pasar todas y cada una de las pruebas (un número relativamente elevado teniendo en cuenta que había pruebas realmente complicadas).
El ganador del premio (iPod touch 4G) ha sido el primer clasificado: PPP (Plaid Parliament of Pwning), un equipo estadounidense de conocida solvencia técnica, que se ha tenido que batir con otros equipos muy curtidos en el hacking de aplicaciones web como "FluxFingers" [tercer clasificado] (quién no ha leído los magníficos artículos de Reiners: [1], [2] y [3]) e incluso con personas en solitario como nuestro crack y amigo Kachakil (además de compañero de equipo en "int3pids") [segundo clasificado].
Ha habido un gran nivel técnico y el concurso no era fácil (potentes y conocidos equipos como los franceses Nibbles no consiguieron superar todas las pruebas) por lo que me quito el sombrero ante los que sí han logrado terminarlas todas con éxito: ius, pepelux, okaboy, s3ntin3l, phib, ...). Por supuesto, también hay que reconocer el esfuerzo y el mérito del resto de participantes. Podéis consultar el top 25 de los clasificados o incluso acceder al "hall of fame" completo.
El concurso, que pudo ser seguido en todo momento gracias a mi twitter (@roman_soft), contó con una peculiaridad más: el "hall of shame" (o muro de la vergüenza :-)). Esta funcionalidad del nuevo panel no pretendía ser más que un experimento y a la vez una especie de broma: cuando un participante intentaba hackear el panel, éste automáticamente lo introducía en el "hall of shame", sin más. El participante no era descalificado (a pesar de estar expresamente prohibido atacar el panel, según las reglas del concurso). Simplemente quería demostrar cómo la gran mayoría de los participantes intentarían hackear el panel y de hecho así fue (aunque por suerte para mí, sin éxito :-P). Como resultado, gran parte de los ganadores forman parte no sólo del "hall of fame" sino también del "hall of shame" :-) A nivel técnico, sólo coloqué unos cuantos check-points, situados estratégicamente, a modo de honeypot. Fue más que suficiente ;-)).
Seguro que muchos de vosotros tenéis curiosidad por saber cómo se pasaban una o más pruebas... ¿no es así? Os dejo los cuatro solucionarios que he recibido, comprimidos en un único fichero. Sus autores son: ppp, pepelux, danitorre y miguel (¡muy buen trabajo, chicos!). Para más información, no olvides leer el "readme" que hay dentro. Y si quieres seguir practicando (o probar algunas de las técnicas descritas en los solucionarios), date prisa y aprovecha ahora que todavía es posible: dejaré el reto online por un tiempo (quizás otro mes más aunque no es seguro) aunque por supuesto, ya no será posible puntuar. Como siempre, trataré de avisar vía twitter de cualquier novedad.
Finalmente agradecer de nuevo a Bernardo Quintero e Hispasec Sistemas, sponsor del concurso, su apoyo desinteresado. Y como no, a todos los que habéis participado en el concurso y que sois los que de verdad habéis hecho que este evento haya sido grande en todos los sentidos. ¡Gracias a todos!
Fuente: Roman Soft
El ganador del premio (iPod touch 4G) ha sido el primer clasificado: PPP (Plaid Parliament of Pwning), un equipo estadounidense de conocida solvencia técnica, que se ha tenido que batir con otros equipos muy curtidos en el hacking de aplicaciones web como "FluxFingers" [tercer clasificado] (quién no ha leído los magníficos artículos de Reiners: [1], [2] y [3]) e incluso con personas en solitario como nuestro crack y amigo Kachakil (además de compañero de equipo en "int3pids") [segundo clasificado].
Ha habido un gran nivel técnico y el concurso no era fácil (potentes y conocidos equipos como los franceses Nibbles no consiguieron superar todas las pruebas) por lo que me quito el sombrero ante los que sí han logrado terminarlas todas con éxito: ius, pepelux, okaboy, s3ntin3l, phib, ...). Por supuesto, también hay que reconocer el esfuerzo y el mérito del resto de participantes. Podéis consultar el top 25 de los clasificados o incluso acceder al "hall of fame" completo.
El concurso, que pudo ser seguido en todo momento gracias a mi twitter (@roman_soft), contó con una peculiaridad más: el "hall of shame" (o muro de la vergüenza :-)). Esta funcionalidad del nuevo panel no pretendía ser más que un experimento y a la vez una especie de broma: cuando un participante intentaba hackear el panel, éste automáticamente lo introducía en el "hall of shame", sin más. El participante no era descalificado (a pesar de estar expresamente prohibido atacar el panel, según las reglas del concurso). Simplemente quería demostrar cómo la gran mayoría de los participantes intentarían hackear el panel y de hecho así fue (aunque por suerte para mí, sin éxito :-P). Como resultado, gran parte de los ganadores forman parte no sólo del "hall of fame" sino también del "hall of shame" :-) A nivel técnico, sólo coloqué unos cuantos check-points, situados estratégicamente, a modo de honeypot. Fue más que suficiente ;-)).
Seguro que muchos de vosotros tenéis curiosidad por saber cómo se pasaban una o más pruebas... ¿no es así? Os dejo los cuatro solucionarios que he recibido, comprimidos en un único fichero. Sus autores son: ppp, pepelux, danitorre y miguel (¡muy buen trabajo, chicos!). Para más información, no olvides leer el "readme" que hay dentro. Y si quieres seguir practicando (o probar algunas de las técnicas descritas en los solucionarios), date prisa y aprovecha ahora que todavía es posible: dejaré el reto online por un tiempo (quizás otro mes más aunque no es seguro) aunque por supuesto, ya no será posible puntuar. Como siempre, trataré de avisar vía twitter de cualquier novedad.
Finalmente agradecer de nuevo a Bernardo Quintero e Hispasec Sistemas, sponsor del concurso, su apoyo desinteresado. Y como no, a todos los que habéis participado en el concurso y que sois los que de verdad habéis hecho que este evento haya sido grande en todos los sentidos. ¡Gracias a todos!
Fuente: Roman Soft
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!