Para los que queráis ‘hackear’ en un entorno seguro y legal, Hacking-Lab ha promovido a través de su patrocinador OWASP un nuevo wargame con la posibilidad de ganar algún premio, como la asistencia a las AppSec USA y AppSEC Latam 2012. Personalmente me gustan este tipo de ‘challenges’, ya que despiertan en el participante algunos conocimientos dormidos y sobre todo, sirven para aprender. Aprender a como no deben hacerse las cosas, a no confiar tu organización o estructura al «Eso no lo saben» o «Eso no lo encuentran», porque sí lo encuentran o sí lo saben.
La competición empezó el 1 de Mayo de 2012 y no acabará hasta el 17 de Junio. Dos dias más tarde, sobre el 19 de Junio, decidirán los ganadores en base a unos criterios ya definidos: velocidad de resolución, creatividad en las soluciones y número de puntos obtenidos totales. El jurado estará compuesto por miembros de la OWASP GEC (Global Education Committee) y personal interno del propio hacking-lab.
¿Qué es Hacking-Lab?
Es una enorme plataforma con pruebas públicas y privadas donde podrás ejercitar tus conocimientos sin miedo a romper nada o mejor dicho rompiendo cosas pero sin preocuparte por ello. Tiene un sistema para revertir todo lo que se hace en 4 horas, asi que, no te preocupes que lo que hagas no va a representar ningún problema. A la vez, es un servicio a Universidades, escuelas o cualquier otra entidad que les permite desplegar estas pruebas aplicando su propia didáctca y sin estar expuestos a otros usuarios al ser un entorno cerrado solo para ellos. Es un como si reservas un local solo para tu grupo de amigos.
¿Qué necesito para participar?
La infraestructura de participación en el hacking-lab es muy concreta. Necesitas estar en su red a través de una VPN para poder participar. Y para ello han montado una distribución propia de Linux en un LiveCD que podéis descargar aquí . De todas formas, no te obligan a usar su distribución, lo hacen para que la configuración de la VPN no te resulte problemática a la hora de integrarte en su red, también puedes hacerlo a tu ‘aire’ con el config de la propia VPN, para osx o Linux backtrack.
¿A qué tipo de retos o pruebas voy a enfrentarme?
Cada prueba tiene un icono que representa el contenido del tipo de prueba. Pueden ser web, crypto, reversing, linux, networking,fun, … Hay infinidad de ellas, pero no todas están activas. Cabe destacar que puedes ir escalando en el ranking a través de un sistema de avatars donde te inicias como hobo y puedes llegar a ser root en una escala determinada por intervalos de puntos. Serán estas pruebas las que te otorguen dichos puntos a través de la figura del profesor, una persona que evalúa tu solución en un tiempo razonable. Si la prueba esta ‘a medias’ te van dando puntos parciales hasta que des con la respuesta correcta. Lo bueno de todo este sistema es que puedes aprender a razonar una técnica concreta a medida que avanzas. Si tu solución es correcta desde el principio, te otorgan ‘full-points‘ ,que es como decir ‘perfect’. Si ya te sales de esta perfección, pueden darte incluso más puntos de los que la prueba tuviera en un principio.
Una aplicación común, diferentes retos: Glocken Emil
Dentro de la prueba a la que se refiere este post (OWASP 2012 Online Competition) y, durante alguna prueba más, verás que han montado una especie de aplicación tienda virtual para que puedas mostrar allí las técnicas que te piden superar. Te proporcionan una lista de usuarios cuyo nombre de usuario y clave son conocidos y tendrás que recrear escenarios de atacante y víctima bien apoyándote en dos navegadores o utilizando dos ordenadores diferentes. Estás pruebas proporcionan al usuario las dos visiones víctima-atacante y son altamente didácticas para el usuario.
Niveles de dificultad
Existen unos parámetros dentro de cada prueba que definen el grado de dificultad de la misma y el tiempo medio previsto para su resolución. Esto da una idea aproximada de como van a desarrollarse cada uno de los retos, aunque esto es siempre relativo porque una prueba de reversing puede parecerte fácil a ti y a mi muy complicada.
Write-Ups, en camino
Cuando finalice el concurso (17-06-2012) voy a escribir en este blog cada uno de las soluciones que aporté en su dia a los profesores y que dieron por válidas, así podéis haceros una idea completa de lo divertido que puede resultar participar, aunque va a estar cargado de spoilers. Estais avisados.
Debido a las condiciones de hacking-lab.com no puedo publicar ningún write-up. Si queréis algún tipo de consejo, podéis contactar conmigo por twitter @tunelko
Referencias y enlaces
- Hacking-Lab
- OWASP Online Competition 2012 (Necesita registro + LiveCD + VPN para participar)