Cómo NO hacer un Wargame, CTF o Reto de Seguridad - Adalid Corp

ACTUALIZADO 30/11/2011: Ya ha pasado mas de medio año y además de las declaraciones del señor Andrés Guzmán Caballero haciendo uso de su "derecho a la replica" no se tuvo ninguna otra respuesta, el evento se dejo totalmente abandonado y lo que es peor, el mensaje con el defacement que dejó un grupo de personas "musulmanes" sigue estando online, demostrando el total desinterés de la empresa con su iniciativa.

No se tocara mas el tema en la comunidad, pero espero que esto sirva de precedente para que cualquier empresa que quiera "subirse al bus de la seguridad informática" con algún concurso o wargame por el estilo, lo piense 2 veces antes de hacer algo mediocre y con fines claros de marketing, por que la comunidad de la seguridad informática en Colombia no lo tolerará.

......

ACTUALIZADO: Ya pasó mas de un mes desde que hablamos sobre cómo NO hacer un Wargame, tomando como ejemplo la HACKING Party realizada por la firma Adalid Abogados, y a pesar que el señor Andrés Guzmán Caballero haciendo uso de su "derecho a la replica" (como buen abogado...) prometió tener el concurso totalmente renovado en solo 4 días (eso fue el 15 de julio de 2011), sorprendentemente HOY el concurso sigue igual de quieto, con la misma pagina eliminada, sin información y lo que me parece aun mas grabe con el mensaje que un grupo de personas "musulmanes" dejó en su portal web hace mas de un mes (Mirror), lo que deja claro que la firma de Abogados Adalid al parecer no esta interesada en llevar a cabo este concurso.

Es una lastima por que con los ajustes adecuados, Hacking Party 2011 podía ser un buen concurso para fomentar la cultura de la seguridad informática en nuestro país.

......

La cultura de la seguridad informática en Colombia ha crecido mucho en los últimos años, atrás quedó la época en que teníamos que esperar 2 años o mas por un buen evento de seguridad o un concurso sobre el tema; A día de hoy los congresos, capacitaciones, eventos y concursos de seguridad en Colombia están a la orden del día, algo que nos alegra mucho en La Comunidad DragonJAR.

Pero no siempre las cosas se hacen bien, algunos de nosotros recordaremos el caso del Wargame Loco en el Congreso Internacional de Redes y Telemática 2008 o el "Concurso Hacking de Alpina" en la Campus Party Colombia 2010, donde pretendían que se vulnerara la seguridad de un reconocido proveedor de hosting gratuito para cambiar una foto y ganar un ipod, esta vez tomaremos de ejemplo el concurso HACKING PARTY 2011 lanzado por la empresa Adalid Abogados que en mi opinión no se ha realizado como es debido.

En ningún momento se pretende desprestigiar al grupo de Abogados, de hecho conozco varios de los integrantes de su división de seguridad informática y se que son buenos profesionales, pero cuando las cosas no están bien hechas hay que decirlo, todo con el fin de aportar una critica constructiva, dicho esto les dejo el listado de cosas que NO se deben hacer al plantear un Wargame, CTF o Reto de Seguridad:

  • COBRAR AL PARTICIPANTE: Todo Wargame, CTF o Reto de Seguridad, requiere una fuente de financiación, para el tema logístico y el premio (en este caso un viaje a la DefCON 2011), pero el participante NO DEBE SER la fuente de financiación; En vez de buscar cubrir gastos con el cobro de una inscripción, se deben buscar patrocinadores y anunciantes para el evento o en caso que la finalidad del evento sea la autopromoción/reconocimiento, los recursos, en la medida de lo posible, deberán ser propios.

  • BASES DE CONCURSO POCO CLARAS: En este tipo de concursos es necesario definir claramente las bases del concurso, como se va a llevar a cabo, cuales son los objetivos, que penalidades tiene, cuales serán los puntales, que se puede y que no se puede hacer, pero la información expuesta en la pestaña "Metodología" y "Retos" no es suficientemente clara y da pie a equivocaciones.

En este apartado de metodología por ejemplo explican como se realizará el reto, pero especifican que los mejores 5 puntajes se les pagaran pasajes aéreos o terrestres, hospedaje y desayunos para asistir al congreso... ¿a cual congreso?, a la ¿DefCON?... y que el mejor puntaje tendrá los pasajes Aéreos Bogotá - Las Vegas, Las Vegas - Bogotá 4 Días de hotel con desayunos, ingreso a DefCON y $500US para gastos, ¿Qué pasa si el ganador no tiene visa?, ¿puede ceder el cupo?...


Los organizadores están en su derecho de dejar un reto sorpresa para el final, pero esto se presta para dar beneficios con o sin intención a alguna persona que sea experta en el área "sorpresa" del reto final. Personalmente no he tenido buenas experiencias con estos "retos sorpresa" y no los recomiendo.

  • PROMOCIONAR POCO EL EVENTO: Aunque un evento sea online, la promoción es esencial y se debe difundir por todos los medios posibles, en comunidades donde se hablen del tema, listas de correo, etc... Además en el portal del evento se encuentra 2 botones a redes sociales uno de Twitter (que redirecciona a twitter.com sin cuenta) y una de Facebook que evidencia la poca promoción que se le ha realizado al evento aunque lleve desde el 1 de Julio online.

  • NO PREOCUPARSE POR LA SEGURIDAD: En un evento de esta índole, y siendo Adalid Abogados una empresa de seguridad es importante tener en cuenta este aspecto a la hora de publicar un reto a entusiastas de la seguridad informática, ya que si el sitio donde se publica el reto es vulnerable o sus aplicaciones son vulnerables se pueden buscar "atajos" para ganar el reto dejando por fuera las personas que participaron legalmente (que además PAGARON por hacerlo) y la imagen de la empresa que lo anuncie puede verse perjudicada.

Nota dejada por un grupo de personas "musulmanes" en la pagina del evento.
Pagina del evento mostrando abiertamente los banners del servidor.

Ahora que saben cómo NO hacer un Wargame, CTF o Reto de Seguridad, espero tomen nota y en los próximos eventos que piensen realizar, tengan en cuenta los consejos de como NO hacer las cosas.

Nota: En el momento que se escribía este articulo, la pagina del evento fue suprimida y los pantallazos corresponden a la cache de google del sitio (la carpeta /pipermail/ aun se encuentra con el mensaje) por tanto podemos observar fechas diferentes en la cuenta regresiva.

Subir