viernes, agosto 28, 2009

Reto Hacking X un mes después

El día 24 de Julio se abrió la participación al Reto Hacking X. Desde entonces, los intentos que nos han dejado los participantes el servidor han sido muchos, variados y algunas cosas... divertidas.

Han participado más de 300 personas. De ellas, más de 50, han conseguido superar la fase 1 del reto y sólo 11 el reto completo. Parece que la pista del Zurdorium ha ayudado bastante, pero que la segunda parte, pese a que haya un bonito video explicativo y todo de nuestro amigo Pedro Laguna, ha costado un poco más. La lista completo la tienes en el Hall of Fame.

Este fin de semana será el último en el que podrás intentar sacar el reto antes de que se publique el solucionario, ya que los planes son publicarlo la semana que viene. El ganador fue nuestro amigo Dani Kachakil que además, entre otras cosas, me ayudó a ganar una apuesta personal. En segundo lugar quedó el clásico RoMaNSoFt que después de ganar el reto de Panda, el último de Hispasec y el de la Ekoparty parece que está "on fire". En tercer lugar Ramandi, que después de venir a ene charlas de seguridad parece que este "nórdico" se lo ha tomado muy en serio. Entre la lista de los 11 ganadores de este reto, echo en falta algunos nombres conocidos de otros retos, "como nuestro hacker culé lector del Marca", que tras comenzar tarde parece que no ha sido capaz de pasar la zona Luser media y acabar el reto....

Los ganadores y yo tendremos que ir pactando la entrega de premios de alguna forma y en algún lugar. RoMaNSoFt ya recibió sus libros y sus cosas y al resto os las haré llegar de alguna manera. Yo, por mi parte, tenía una apuesta personal con Pedro Laguna sobre la duración del reto. Aposté a que no pasaban 24 horas sin que hubiera un ganador, y él apostó a que sí, a que este reto duraba más de 1 día. Al final el tiempo me dio la razón, exactamente 22 horas de tiempo me dieron la razón y una “comiloncita” que me voy a zampar esta noche a la salud de Dani Kachakil y Pedro Laguna.

Mientras que sale el solucionario del reto, si no te ves con fuerza para intentar terminarlo, puedes leer el solucionario del CTF de la Ekoparty que ha sido publicado, a ver si os da alguna idea...Disfrutad el finde.

Saludos Malignos!

15 comentarios:

Dani Kachakil dijo...

Lástima no haberle podido sacar a Pedro un par de cenas más (para Román y para mí) por motivos de agenda... ¡Que os aproveche! ;-)

Por lo menos espero que haya aprendido la lección de no apostar cuando la resolución de la apuesta está al 100% en manos de la otra persona, jeje.

tayoken dijo...

No voy a hacer ningún comentario, me lo he ganado... por vago :S

Eso sí, ¿Robben y Sneijder cómo están? No pasaron la fase 1 del reto de Flo... :D

exlinuxero y ahora con mas razón dijo...

http://www.securitybydefault.com/2009/08/apacheorg-owned.html Otra vez apache XDXD

fon dijo...

esperamos el solucionario de rs o dani con angustia jeje :)

por cierto, algo offtopic:

http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf

Habeis visto eso?

Anónimo dijo...

@exlinuxero

Intenta no hacer como esos radicales que dicen que en Microsoft no tienen puta idea de SOs ni seguridad, pero en otro bando; sólo quedan en ridículo ellos mismos.

Apache "tiene" una cagada, sí. Quien esté libre de culpa que tire la primera culpa.

Anónimo dijo...

@exlinuxero

coño, pero es que además la noticia está caduca.

Exlinuxeros que ha visto que apple no es muy "abierto" dijo...

@anonimo 1: No pienso ni por asomo ser ningun taliban de ningun SO, es mas, al dia utilizo indistintamente uno como otro sin ningun problema(no lloro cuando utilizo uno que no me gusta), simplemente queria demostrar a esos otros talibanes de linux que tooooooooooodos tienen problemas.

@anonimo 2: Caduco?? si a pasao esta mañana!!! (y visto con mis propios ojos la pagina de disculpas en la root de apache) na mas que han sabido reaccionar a tiempo y han redirigido los dns a los servidores europeos que al parecer no han sido atacados.

yuhuu dijo...

Volviendo al tema original, creo que los que lo hemos pasado esperamos con mucha curiosidad las técnicas que han usado los "grandes".
La gente que aún no lo ha sacado y desesperó, sólo decirles que lo intenten y piensen las pistas desde otra perspectiva, hay partes de idea feliz pero al final es muy satisfactorio superarlo.

Gracias a Chema por el esfuerzo.

PD

Anónimo dijo...

Pues, la verdad...

Creo que el reto se ve bastante aburrido conforme a los anteriores (desde el 9 y los pseudo-captchas la cosa ha estado mas aburrida que divertida).

Soy de los quedados en la parte del Blind XPath en Accept-Language y pues mas halla del tiempo esta la cosa de aprender XPath (ya que por lo que entiendo el vector esta limitado por el autor del reto -pedro- hacia solo lo que se penso) en menos de 24 horas (o el mes durante el reto) como que no pega.

Asi que bueno no seais tan malos y ya suelten lengua que llevamos esperando la solucion desde hace casi 2 semanas.

Saludos y felicidades para los que hallaron tiempo en el verano.

Chema Alonso dijo...

@anónimo, de los retos anteriores.. ¿cuál es tu nick?

saludos!

PD: A mi éste me ha gustado... y si no has terminado de bajar el XML aun te quedaba bastante reto por ver....

Anonima dijo...

ya que por lo que entiendo el vector esta limitado por el autor del hacia solo lo que se penso


¿'?

Chema Alonso dijo...

@fon, ese es el ataque chop chop TKIP, yo escribí un resumen sobre él.

Ataque chop chop a TKIP

Saludos!

Chema Alonso dijo...

@anónima, lo que le ha pasado a este anónimo es que no ha "URL ecodeado" correctametne el comentario ;)

g30rg3_x dijo...

@Maligno...

Soy g30rg3_x el _anonimo quejumbroso_ XD.

Y si lo refrendo -al menos para su servidor-, desde el 9 no me ha gustado mucho el giro de los retos.
Pero bueno en gustos se rompen géneros y la verdad siendo honestos, mucho de mi aburrimiento viene de que no tengo conocimientos sobre XPath (ni viendo la presentación de pedro le agarro filo/gusto), tampoco gozo del tiempo para sentarmelo aprender (ya se por que dicen que de viejo ya uno no aprende nada xD), pero bueno espero la siguiente temporada (este era el reto de final de temporada ¿no?) se anime la cosa y tenga mas suerte con el tema.

Asi que bueno... venga ese solucionario, no seas tan malo! =P...

Saludos
PD: Si se que ese nivel tiene muchos subniveles (vi por la entrada kilométrica de -la del zurdorium- que varios estaban atascados en diferentes partes) pero la verdad desde el primero empezó mi aburrimiento/calvario.
PD2: Dale que venga el solucionario!!! xD

Anónimo dijo...

Ya casi estamos a viernes y aun no se sabe nada del solucionario. Ha habido problemas o algo?

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares