viernes, 6 de julio de 2012

Misconfiguration CTF (#CPCO05 - 2012)

Este es el 3er año que participo diseñando retos de seguridad para el evento Campus Party Colombia (#CPCO05), para este año decidí crear un escenario nuevo teniendo como base los retos de seguridad informática tradicionales, pero agregando un factor diferenciador al no dar ni los retos, ni las pistas directamente.

El nombre del reto es Misconfiguration CTF (MISCONF - www.misconf.net -), la introducción al reto la pueden ver en el video grabado del evento, donde también se explican las reglas de juego y las recomendaciones (reglas opcionales).

En pocas palabras MISCONF presenta un escenario donde existen problemas de configuración, ya sea por negligencia, seguridad por oscuridad o simples errores humanos, para esto se (des)configuran diferentes servicios de red (web, correo, ftp, svn, etc) que están funcionando en puertos no estándares y que a su vez son los primeros lugares donde se extraen las banderas (códigos) que se pueden capturar en la plataforma web diseñada para este fin. Una vez identificados estos servicios mal configurados, se encuentran retos informáticos con niveles de dificultad básicos e intermedios, algunos de ellos relacionados con criptografía, reversing, web, esteganografia y networking.

Toda la información sobre el reto y como jugarlo la pueden encontrar en el pdf que se encuentra aquí.

El TOP 10 de los jugadores después de 3 días de juego se puede observar a continuación:


Oficialmente NO hubo un ganador para el reto MISCONF, ya que el objetivo era encontrar 30 banderas en el sistema objetivo y esto no lo logró ninguno de los jugadores, por este hecho se decidió evaluar los solucionarios enviados y calificar la calidad de los mismos, lo que dio como ganadores a los siguientes competidores:

(1) Yesid Gonzalez (@TrackerID) - Ganador de un Ultrabook Lenovo - Descargar solucionario
(2) Fernando Muñoz (acomodado) - Ganador de un D.D SSD de 240GB - Descargar solucionario

La tabla final de puntuación fue:


Hay que mencionar que ninguno de los solucionarios entregados cumplió con las expectativas del jurado, sin embargo como la idea de un evento como #CPCO05 siempre es entregar los premios, se valoró el esfuerzo de los competidores y se calificó en una escala de 1 a 10 la calidad de los informes. 

Con esto queda clara la importancia de hacer el esfuerzo en entregar solucionarios completos, donde se explique correctamente los procedimientos para resolver los retos y no simplemente se entregue la respuesta. De esta forma los participantes que no lograron solucionar los retos pueden aprender como hacerlo.

El jugador acomodado solicitó una explicación pública del porque se penalizaron los 6 puntos por no sustentar adecuadamente las banderas encontradas, el documento con la explicación se puede descargar desde aqui. Allí se puede leer claramente que no hay una explicación del procedimiento realizado para encontrar las banderas penalizadas.

Para finalizar quiero contarles, algunas estadísticas básicas del juego MISCONF:

El juego estuvo habilitado durante 3d+6.5h, en total fueron 2 servidores principales (ScoreBoard y Target) y dos servidores de respaldo que tuvieron un tráfico total  de 10GB in/out  y un total de 205 usuarios registrados, aunque la participación  activa fue de 100 usuarios. 

El ranking final de los usuarios que capturaron por lo menos una bandera se encuentra aqui.

Todo el TimeLine del juego lo pueden encontrar en la cuenta de twitter @misconf


IMHO, hay que recordar que el objetivo primordial de implementar un CTF dentro de un evento como Campus Party es aprender, construir y compartir conocimiento, tanto para las personas que diseñan los juegos, como para aquellos que los resuelven, en este sentido, considero que el objetivo se logró.

Esperemos que con el tiempo los participantes de este tipo de actividades puedan aprovechar estos espacios para dejar de un lado el mundo virtual y compartir realmente con las personas en 3D  y por ahí derecho dejar de sentir que el objetivo del JUEGO es solo obtener los premios.

Quiero dar un agradecimiento especial a los organizadores del área de seguridad en redes, por la calidad de los ponentes seleccionados, la organización en general de los espacios, los premios y por permitirme una vez mas participar con el diseño  de esta actividad.

Y quiero darle un gran saludo a los mas de 100 jugadores que se trasnocharon y se divirtieron solucionando las diferentes pruebas, no importa si solo lograron capturar una bandera, lo importante es aprender del proceso. Como les mencioné a algunos, intentaré sacar la versión en maquina virtual del TARGET, para que los que no alcanzaron a jugar se puedan desquitar ;)

Hasta la próxima.

Entradas populares