‘Hacker Contest’, el reto extremo para los expertos en seguridad

Tres son los concursos de ‘hacking’ más importantes a nivel internacional: DEF CON, Codegate y PWN2OWN, que hacen temblar a algunas compañías.

Periódicamente se celebran en varias partes del mundo concursos que planean echar abajo sistemas de seguridad, explotar vulnerabilidades o encontrar fallos. Desconocidos para la gran mayoría de los usuarios, los participantes consiguen premios importantes y reconocimiento internacional, aunque en entornos casi secretos. Ni las empresas víctimas de sus retos, ni las empresas de seguridad, que siguen de cerca la actuación de estos “genios” se ponen de acuerdo a la hora de clasificar este tipo de encuentros.

A nivel internacional existen tres citas importantes: DEF CON, Codegate y PWN2OWN.

DEF CON, una de las reuniones de hackers más importantes del mundo que cada año se tiene lugar en Las Vegas, fue fundado por Jeff Moss y se celebró por primera vez en junio de 1993. En 2008, coincidiendo con su décimo sexta celebración, Defcon consiguió reunir hasta a 8.500 asistentes entre profesionales de seguridad, periodistas, abogados, empleados gubernamentales, crackers y hackers, todos ellos interesados en arquitectura y códigos informáticos.

Normalmente el evento consiste en una serie de discursos de temas relacionados con la piratería a concursos que retan a los participantes a crear la conexión WiFi más grande o romper, hackear, un sistema informático.

Uno de los concursos más conocidos del Defcon es Capture the Flag (CTF), traducido literalmente como Captura la Bandera. El reto, que consiste en que equipos de hackers intentan atacar o defender redes y ordenadores, ha traspasado el propio Defcon y se ha incorporado en contextos académicos y militares.

Codegate se celebra en Corea y es conocido por ofrecer buenos premios, pero además es el más joven de los retos de seguridad, ya que este año ha cumplido su tercer aniversario. Se califica a sí mismo como un ‘Hacking Festival’.

El concurso, que este año se ha bautizado como “Practice Information Security in Daily life” (Use of Internet y Safe PC), cuenta con unas preliminares que se celebran unas semanas antes que la final, que esta año reunió a ocho equipos durante 24horas el pasado 7 de abril.

Los premios de Codegate, como comentábamos, son importantes: 20 millones, diez millones y cinco millones de wones, la moneda de Corea del Sur, que en euros suponen 13.269 euros, 6.634 euros y 3.317 euros respectivamente.

Además del reto entre los hackers, el Codegate también es el marco para celebrar una serie de sesiones informativas en torno a una serie de tendencias, y este año las escogidas han sido los smartphones, smart grid, cloud computing e ingeniería inversa.

Este año, como explica “Maligno” en su Blog, un equipo español ha conseguido llegar a la final del Codegate 2010 en tercer lugar. Se llama Int3pids y está formado por por Nullsub, Dreyer, Uri y Dani “The Doctor” Kackakil y “recoge el testigo de los Sexy Pandas, que también participaron allí en 2009”.

El PWN2OWN, por su parte, es un concurso creado dentro del marco de la conferencia de seguridad digital CanSecWest. Este año los objetivos han sido los navegadores y los smartphones, con premios que han acumulado un total de 100.000 dólares.

La primera parte de este reto se centró en los navegadores Google Chrome, Mozilla Firefox, Apple Safari e Internet Explorer, cuyos fabricantes se apresuraron a actualizarlos en los últimos días con la esperanza de no ser los primeros en caer víctimas de la habilidad de los hackers. La segunda parte del Pwn2Own 2010 se centró en los teléfonos móviles avanzados, o smartphones. Apple iPhone 3GS, RIM Blackberry Bold 9700, Nokia Symbian S60 y alguno de los terminales de Motorola basados en Android.

La postura de las empresas de seguridad respecto a los concursos de destrezas de expertos varían, aunque la mayoría de ellas se mantienen muy aparatados de ellos. Tal es el caso de Trend Micro, que, preguntada sobre si alguno de sus expertos en seguridad participan en algú ‘hacker contest’, ha respondido que su objetivo es “proteger a sus clientes para minimizar el riesgo de que vulnerabilidades en cualquier programa sean utilizadas de manera maliciosa. Esto implica que nuestro software detecta intentos de explotación de vulnerabilidades y los previene. Trend Micro tiene un departamento que estudia las vulnerabilidades que se van descubriendo para que nuestro software sea capaz de proteger al usuario. Trend Micro no busca ni descubrir nuevas vulnerabilidades ni explotar agujeros conocidos, así que no participa en estos concursos“.

Panda, por su parte, tiene otro punto de vista, no en vano Luis Corrons, el director técnico de PandaLabs, ha colaborado activamente con fuerzas de seguridad de todo el mundo en la persecución de delitos relacionados con malware.

Para Corrons uno de los objetivos de este tipo de concursos es ayudar en la concienciación sobre los problemas de seguridad, lo que es bueno en sí mismo; otro es incentivar a las mentes más brillantes a tratar de descubrir problemas de seguridad, y trabajar en este aspecto es hoy en día fundamental.

La compañía también reconoce que alguno de sus empleados ha participado en este tipo de retos, llegando a clasificarse para las finales de algunos de los más conocidos, como el de DEFCON. “De hecho”, nos cuentan, “un grupo se hace llamar ‘ Sexy Pandas’, no están relacionados con Panda Security, pero alguno de sus miembros sí es de los nuestros”.

La opinión de Panda Security sobre el carácter formativo de este tipo de concursos, junto con la juventud de sus directivos quedó plamada el año pasado con el Reto Panda, un concurso que premiaba a los usuarios más rápidos en descifrar un código y descubrir la contraseña oculta en ellos.

Concretamente PandaLabs proporcionaba a los participantes tres desarrollos de código ensamblado, especialmente diseñados para estas pruebas y que, como es lógico, no podían causar ningún daño. Cada uno de ellos tenía un nivel de dificultad diferente, y en su interior escondían una contraseña que los participantes tenían que encontrar y enviar a Panda.

Los premios no eran, ni con mucho, los que se ofrecen en concursos internacionales, pero pone de manifiesto el deseo de innovar de la compañía española: el ganador del nivel 1 obtuvo una consola PSP; el de segundo nivel, un iPod Touch de 16 GB, y el ganador del tercer nivel, un notebook Dell Inspiron 1010.