Se llaman Pandas with Gambas y se van de vacaciones a Las Vegas, a la DefCon, la reunión de hackers más importante del planeta. Son 10 españoles con una media de edad de 27 años, expertos en seguridad, que disfrutan defendiendo y atacando máquinas por el puro placer del reto. Han superado ya el primero: ponerse a la cabeza de los 200 grupos que competían para participar en Capture the Flag, el principal concurso de la DefCon.
Capture the Flag (Captura la Bandera) es un tipo de concurso de hacking y el de Las Vegas se considera el más duro del mundo. Los equipos reciben una copia exacta de un servidor, con los mismos programas instalados, creados por los organizadores. Cada programa tiene al menos un fallo de seguridad y el juego consiste en descubrirlos, para defender el propio servidor y atacar los de la competencia.
"Hay trabajo para todos, en análisis de código, monitorización, ataque, defensa, automatización; somos un grupo bastante heterogéneo y tenemos especialistas de cada área", explican Pandas with Gambas. El grupo se creó el año pasado para competir en la DefCon, donde quedaron terceros. El concurso les tuvo 72 horas sin dormir, pero quieren repetir.
"Nos clasificamos in extremis, cuando resolvimos una prueba de dificultad máxima en las últimas dos horas. Fue de infarto", recuerdan. Ya en la fase final, empezaron liderando la prueba, pero les pudieron "el cansancio y la desventaja en cuanto a integrantes del grupo, ya que éramos sólo siete, frente a los 12 de media del resto".
Este año la clasificación ha sido más cómoda gracias a la ayuda que han obtenido de la comunidad hacker española, "que ha sacrificado sus horas de sueño para echar un cable", explican. Las 25 pruebas clasificatorias estaban divididas en cinco áreas: ingeniería inversa de programas, análisis forense, conocimientos, explotación de programas y explotación avanzada. Han empatado con un grupo francosuizo, Routards.
Así que, del 8 al 10 de agosto, estarán en Las Vegas. "Tenemos posibilidades, pero será complicado porque el nivel de dificultad aumenta cada año", aseguran. Por si acaso, se están entrenando: "Es un poco difícil porque cada uno tiene su trabajo y sus horarios, pero vamos haciendo los ejercicios que no resolvimos el año pasado y también desarrollamos herramientas para el concurso".
Un origen académico
Estos concursos son una forma de aprender sin daños colaterales, ya que los ordenadores y programas están controlados por la organización. El origen de los concursos de hacking fueron las competiciones científicas en las universidades, que se hacían también en las facultades de informática y de aquí saltaron a Internet. A mediados de los años ochenta, en la red de grupos de noticias Usenet se celebraban las Obfuscated C Contest (Competiciones de C Ofuscado), que consistían en crear el programa más raro. El sitio Hackerslab fue pionero en organizar concursos internacionales.En España, el primer concurso público de hacking fue Boinas Negras, del Instituto Seguridad Internet, en 2002 y 2003. Empresas como S21sec y blogs como el del experto Chema Alonso organizan regularmente retos para la comunidad hispana. El último ha sido el I Torneo de Seguridad BlindSec, de la empresa Blind Security, que acabó el 3 de julio con casi 400 personas inscritas.
"Algunos sirven para crear comunidad y compartir conocimiento, otros para concienciar a la gente de los peligros que acechan en la Red, otros simplemente para publicitar un producto", explican Pandas with Gambas. Estos últimos son los más difíciles, ya que algunas empresas hacen trampa y ponen límites de tiempo imposibles para atacar sus productos, que después venderán como "a prueba de hackers".
"Estos concursos suponen un verdadero reto intelectual, sobre todo cuando el fallo ha sido construido y colocado a propósito por los organizadores, porque puede ser tan enrevesado como se les haya ocurrido y te toca a tí resolverlo, ésa es la gracia".
No hay comentarios:
Publicar un comentario