Un grupo español logra el primer puesto en las semifinales del concurso de hacking más legendario

11/07/08 09:54:28

UN GRUPO ESPAÑOL LOGRA EL PRIMER PUESTO EN LAS SEMIFINALES DEL CONCURSO DE HACKING MÁS LEGENDARIO

Mercè Molist
Se llaman "Pandas with Gambas" y se van de vacaciones a Las Vegas, a la DefCon, la reunión de hackers más legendaria del planeta. Son diez españoles con una edad media de 27 años, expertos en seguridad que disfrutan defendiendo y atacando máquinas por el puro placer del reto. Han superado ya el primero: ponerse a la cabeza de los 200 grupos que competían para participar en "Capture The Flag", el principal concurso de hacking de la DefCon.

"Capture The Flag" (Captura La Bandera) es un tipo de "wargame" o concurso de hacking y el de Las Vegas se considera el más duro del mundo. Los equipos reciben una copia exacta de un servidor, con los mismos programas instalados, creados por los organizadores. Cada programa tiene al menos un fallo de seguridad y el juego consiste en descubrirlos, para defender el propio servidor y atacar los de la competencia.

"Hay trabajo para todos, en análisis de código, monitorización, ataque, defensa, automatización; somos un grupo bastante heterogéneo y tenemos especialistas de cada área", explican Pandas with Gambas. El grupo se creó el año pasado, para competir en la DefCon, donde quedaron terceros. El concurso les tuvo 72 horas sin dormir, pero quieren repetir.

"Nos clasificamos 'in extremis', cuando resolvimos una prueba de dificultad máxima en las últimas dos horas, fue de infarto", recuerdan. Ya en la fase final, empezaron liderando la prueba pero les pudieron "el cansancio y la desventaja en cuanto a integrantes del grupo, ya que éramos sólo siete frente a los doce de media del resto", aseguran.

Este año, la clasificación ha sido más cómoda "gracias a la ayuda que hemos obtenido de la comunidad hacker española, que ha sacrificado sus horas de sueño para echar un cable", explican. Las 25 pruebas clasificatorias estaban divididas en cinco áreas: ingeniería inversa de programas, análisis forense, conocimientos, explotación de programas y explotación avanzada. Han empatado con otro grupo, "Routards", franco-suizo.

Así que, del 8 al 10 de agosto, estarán en Las Vegas: "Tenemos posibilidades, pero será complicado porque el nivel de dificultad aumenta cada año", aseguran. Por si acaso, están entrenando: "Es un poco difícil porque cada uno tiene su trabajo y horarios, pero vamos haciendo los ejercicios que no resolvimos el año pasado y también desarrollamos herramientas que nos ayuden en el concurso".

Su buena actuación en las clasificatorias demuestra, según Pandas with Gambas, que "en España hay gente muy buena, esperamos que las nuevas generaciones tengan tantas ganas de aprender como nosotros a su edad". Estos concursos son, precisamente, una forma de aprender sin daños colaterales, ya que los ordenadores y programas están controlados por la organización.

El origen de los concursos de hacking fueron las competiciones científicas en las universidades, que se hacían también en las facultades de informática y de aquí saltaron a Internet. A mediados de los años 80, en la red de grupos de noticias Usenet se celebraban las "Obfuscated C Contest" (Competiciones de C Ofuscado), que consistían en crear el programa más raro. El sitio Hackerslab fue pionero en organizar "wargames" a nivel internacional.

En España, los primeros concursos públicos de hacking fueron los Torneos iZhal y Boinas Negras, del Instituto Seguridad Internet, en 2002 y 2003. Empresas como S21sec y blogs, como el del experto Chema Alonso, organizan regularmente retos para la comunidad hispana. El último ha sido el I Torneo de Seguridad BlindSec, de la empresa Blind Security, que acabó el 3 de julio con casi 400 personas inscritas.

"Algunos sirven para crear comunidad y compartir conocimiento, otros para concienciar a la gente de los peligros que acechan en la red, otros simplemente para publicitar un producto", explican Pandas with Gambas. Estos últimos son los más difíciles, ya que algunas empresas hacen trampa y ponen límites de tiempo imposibles para atacar sus productos, que después venderán como "a prueba de hackers".

Hay muchos tipos de "wargames": sobre criptografía, programación, análisis de programas, aplicaciones web o multiprueba, como "Capture The Flag". Algunos son para individuales y otros para equipos, los hay públicos y también privados, pueden durar horas o semanas. También varían los premios: desde sustanciosas cantidades, como en el sitio HackerChallenge, hasta recompensas simbólicas, como en la DefCon, donde Pandas with Gambas se llevarán, si ganan, la "Insignia Negra".

"Estos concursos suponen un verdadero reto intelectual, sobre todo cuando el fallo ha sido construido y colocado a propósito por los organizadores, porque puede ser tan enrevesado como se les haya ocurrido. Ellos han hecho el puzzle y te toca a tí resolverlo, esa es la gracia", afirman los chicos, para quienes participar en "wargames" es, dicen, "como para un alpinista escalar una montaña".

Pandas with Gambas
http://sexy.pandas.es

Pandas en la DefCon 2007
http://sexy.pandas.es/blog/2007/08/18/ctf07-report/

DefCon
http://www.defcon.org

"Capture The Flag"
http://en.wikipedia.org/wiki/Capture_the_flag

"Obfuscated C Contest"
http://www.catb.org/jargon/html/O/Obfuscated-C-Contest.html

Hackerslab
http://www.hackerslab.org

iZhal: una comunidad dedicada al hacking
http://www.rs-labs.com/papers/izhal.pdf

Chema Alonso
http://elladodelmal.blogspot.com

I Torneo de Seguridad Informática Blind Security
http://www.blindsec.com/info/noticias/I_Torneo_de_Seguridad_Informatica_Blindsec

Crackmes
http://crackmes.de

Hackerchallenge
http://www.hackerchallenge.org

Copyright 2008 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any digital and no commercial medium, provide this notice is preserved.

<<