CLCERT/Microsoft Ethical Hacking Challenge
.: Tema y Público Objetivo
El objetivo de este concurso es crear conciencia (awareness) sobre seguridad informática y evaluar el nivel técnico de nuestra comunidad local de expertos en seguridad.
Para ello, se plantea el siguiente "challenge" o
"desafío": encontrar las fallas de seguridad en la
configuración y operación de una máquina
específica, el servidor
Challenge. Este servidor ejecuta el sistema operativo
Microsoft Windows Server 2003 R2 (tm) donde utiliza Microsoft Internet
Information Server 6 (tm) como software de servicios web. (Ver Sección Detalles Técnicos).
El objetivo de cada participante en este concurso es encontrar los pasos necesarios
para utilizar ya sea las vulnerabilidades instaladas a propósito o bien
vulnerabilidades desconocidas para entrar en forma "no autorizada" al servidor.
El concurso es auspiciado y patrocinado por Microsoft Chile, quien presta asesoría de tipo consultivo técnico en la planificación y operación del concurso. Sin embargo, tanto la operación concreta del concurso y servidor challenge, como la determinación de los ganadores son de exclusiva responsabilidad del CLCERT.
.: Bases
Las bases del concurso pueden obtenerse aquí.
.: Quiénes pueden participar
El concurso esta abierto a personas naturales
chilenas, mayores de 18 años que trabajen o estudien en el
área de seguridad informática (con alguna acreditación
o certificado que avale este requisito, ver
cómo acreditar esta condición).
Igualmente, será necesario que si un participante en este
desafío usara cualquier recurso (red, equipos o software, por ejemplo)
de sus respectivos empleadores o entidades a las que pertenecen, cuenten la
debida autorización (ver cómo demostrar esta
condición). Los participantes deben residir en Chile.
.: Premios
Hay 3 premios, cada uno consistente en $ 250.000 (doscientos cincuenta mil pesos).
.: Inscripciones
Las inscripciones deben realizarse vía el formulario de inscripción del challenge.
.: Timeline
| Inscripción |
| |
Período |
Actividad |
| |
Hasta el 21 de Abril de 2008 |
Inscripción de participantes vía web. |
| Inscripción |
| |
Período |
Duración |
Actividad |
| Ataques |
| |
21 de Abril 2008 - ? |
Entre 30-60 días
(menos si hay ataque exitoso) |
Fase 1 ataques (Vulnerabilidad 1) |
| |
(Por especificar) |
Entre 30-60 días
(menos si hay ataque exitoso) |
Fase 2 ataques (Vulnerabilidad 2) |
| |
(Por especificar) |
Entre 30-60 días
(menos si hay ataque exitoso) |
Fase 3 ataques (Vulnerabilidad 3) |
| Término y premiación |
| |
Período |
Actividad |
| |
15 días luego de terminado el concurso |
Anuncio oficial de ganadores |
| |
No más de 60 días luego de terminado el concurso |
Premiación oficial de los ganadores del concurso |
.: Preguntas Frecuentes
(Actualizado: 10/04/08)
| 1. Cuál es el objetivo del concurso? |
| El objetivo del concurso es estimar la capacidad
técnica de profesionales del área de seguridad
informática chilenos, a través de presentarles un concurso
tipo desafío, donde los participantes deben realizar una cierta
actividad "difícil" para ganar.
En este concurso, los profesionales deben demostrar sus conocimientos y habilidades
técnicas para lograr hackear un computador (servidor) del CLCERT
disponible con precisamente dicho fin. |
| 2. Pero, no es
hackear (entrar sin autorización en) un servidor/computador algo ilegal?
Están proponiendo una actividad ilegal y/o fomentando la comisión
de un delito?
|
Aunque ingresar sin autorización a un computador SI
es ilegal, el CLCERT NO está proponiendo una actividad ilegal ni
fomenta la comisión de un delito.
Esto porque el computador/servidor a atacar es propiedad del mismo CLCERT
(la Universidad de Chile), quien
explícitamente autoriza a los participantes válidamente inscritos en el
concurso para intentar quebrar la seguridad del computador en cuestión.
Intuitivamente, esta actividad es más similar a
un entrenador de karate que intenta medir las habilidades de jugadores locales
solicitándoles luchar contra un karateca escogido, el cual aunque
posiblemente difícil de vencer, es sabido tiene 3 puntos débiles
o "talones de Aquiles". El entrenador, al mirar como los jugadores locales
operan, puede intentar estimar el nivel de habilidad de los participantes, al
tiempo que los jugadores locales tienen una oportunidad de practicar sus
habilidades combatiendo con un
contrincante al que saben pueden derrotar si encuentran sus talones de Aquiles. |
|
3. Qué hay que hacer? Cómo gano el concurso?
|
El objetivo es hackear un servidor previsto para este concurso.
El servidor web estará públicamente disponible en forma remota en la
dirección
http://challenge.clcert.cl.
Este servidor tendrá 3 vulnerabilidades plantadas en forma intencional.
Las vulnerabilidades serán agregadas ("plantadas") al servidor en forma
secuencial e incremental (En términos de dificultad, esto es, la primera vulnerabilidad
es más fácil de detectar, la segunda más difícil,
y la tercera aún más), en tres fases, según los plazos indicados en
las bases.
Las características y dificultades de las 3 vulnerabilidades serán
determinadas por el CLCERT a su completa discreción.
Los premios o reconocimientos se otorgarán a los tres primeros
participantes (o menos si no los hubieren) que hayan logrado ingresar
exitosamente (ver qué es un ataque exitoso)
usando ya sea alguna de las vulnerabilidades plantadas, o bien nuevas
vulnerabilidades, es decir, distintas de las plantadas especialmente para el
concurso.
|
|
4. Qué es un ataque exitoso? (Actualizado: 09/04/2008)
|
Un ataque exitoso es la secuencia de pasos por la cual una vulnerabilidad es
explotada para realizar una de las dos siguientes tareas detectables
descritas a continuación:
- Nuevo archivo en el servidor: Crear un archivo en el sistema de
archivos del servidor web del challenge. Este archivo debe ser creado en
directorio específico.
(Los detalles se anunciarán oportunamente.)
- Leer un archivo del servidor: Leer el archivo ubicado en
un cierto directorio del servidor.
(Los detalles se anunciarán oportunamente.)
Un participante
que realice esta acción debe demostrarlo como se indica
en la pregunta 6..
Se denominará triunfador o ganador a quien haya realizado
correctamente una de las tareas "detectables" anteriores.
|
|
5. Todos los tipos de ataques son permitidos?
|
No, hay exclusiones (más o menos obvias). Los siguientes ataques
no son permitidos:
- Ataques de denegación de servicios: saturación de la
red o del servidor con paquetes de manera de botar el servidor.
También incluye ataques de tipo físico, por ejemplo, donde
el sistema eléctrico/agua/ventilación (o similar) de las
instalaciones donde se ubica el servidor son afectados.
- Ataques basados en ingeniería social o ataques físicos:
esto incluye ataques que involucren atacar físicamente o convencer
vía engaños a personas físicamente próximas
a los servidores o las redes de la Universidad de Chile.
Participantes que intenten algunos de los ataques anteriores (o variaciones, o
similares en espíritu según el criterio de los organizadores)
serán excluidos del concurso,
sin perjuicio que pudieran involucrar la presentación de recursos
legales si el ataque intentado es constitutivo de delito (por ej.
sabotear la red eléctrica donde se ubican los servidores).
Por favor, si tiene alguna duda si un tipo de ataque es permitido o no,
contactar a challenge@clcert.cl antes de
intentar el ataque. |
|
6. Me parece logré un ataque exitoso, que
hago ahora?
|
Un concursante que crea haber logrado un ataque exitoso debe notificar de
inmediato a los organizadores (CLCERT), vía email a
challenge@clcert.cl.
El CLCERT evaluará cada reporte y adjudicará como triunfador
al primer participante que, en cada fase, reporte un ataque exitoso, siempre que
adjunte evidencia convincente de ser el autor del ataque.
Dicha evidencia debe incluir la descripción técnica de la vulnerabilidad
usada, el método de intrusión o exploit empleado
(esto es, "cómo se logró técnicamente el ataque").
Además, en caso de haber realizado la tarea
detectable de lectura del archivo, el concursante deberá proveer el
contenido del archivo aludido en este punto.
El CLCERT evaluará un reporte como válido si, a criterio del
CLCERT, contuviera suficiente evidencia de reportar un ataque exitoso y de
provenir del autor de dicho ataque exitoso. Los reportes evaluados como no
válidos no serán considerados. |
|
7. Por qué el servidor está abajo?
|
| El servidor puede estar abajo por diversas razones. Por un lado,
es posible que algún participante lo haya "botado" durante el
proceso de ataques. Sin embargo, es posible que el servidor esté
abajo durante un periodo de moratoria,
luego de un reporte de ataque exitoso. |
|
8. Cómo acredito mi
calidad de "profesional de seguridad informática" para participar ? |
Luego de la inscripción online, el CLCERT podrá solicitar
un documento donde acredite su condición de profesional de seguridad
informática.
Este documento puede ser un certificado de estudios en el área, una
carta del empleador donde se deje constancia que las funciones/responsabilidades del
profesional son de seguridad informática, o bien cualquier documento que
certifique que el área de seguridad informática forma parte
de las responsabilidades profesionales/laborales del participante.
El documento deberá hacerse llegar al CLCERT en los plazos requeridos vía
email
(imagen escaneada del documento firmado) o vía fax al
(+56 2) 689 5531.
Todo ganador del concurso deberá acreditar, previo a recibir
su premio, su condición de profesional de seguridad informática.
La no entrega de los certificados requeridos dentro del plazo estipulado
será causal para eliminar al participante del concurso. |
|
9. Voy a hacer pruebas desde mi oficina o lugar de
trabajo. Debo justificar que tengo autorización
para usar todos los recursos computacionales por mi empleados durante los
ataques?
|
Sí. Si existe la posibilidad que un participante utilice recursos
computacionales (equipos, software, conexión a Internet) de
propiedad de terceros (su empleador, por ej.)
durante los intentos de ataques, dicho participante debe contar con la
debida autorización del dueño de los recursos (el empleador,
por ej.) y ser capaz de respaldar a través de un documento
que cuenta con cuenta con el debido permiso
para usar dichos recursos para los propósitos del concurso.
El CLCERT podrá solicitar el referido documento en cualquier
momento posterior a completada la inscripción online.
De ser solicitado,
el participante debe hacerlo llegar al CLCERT en los plazos requeridos
vía email
(imagen escaneada del documento firmado) o vía fax al
(+56 2) 689 5531. Será causal de eliminación del concurso
el no responder oportunamente la solicitud del CLCERT.
Si, en cambio, un participante utiliza sólo recursos propios (por ej.
el computador de su casa, usando una conexión de Internet contratada
por el participante mismo), entonces este documento no será necesario.
Todo ganador del concurso deberá acreditar, previo a recibir
su premio, el haber tenido la debída autorización
para usar los equipos desde los cuales explotó la vulnerabilidad
del servidor challenge. |
|
10. Puedo ser eliminado del concurso aún luego
de inscrito?
|
| Sí. El CLCERT se reserva el derecho de cancelar la participación
de cualquiera que estime está contraviniendo las
bases de este concurso u
obstaculizando su adecuado funcionamiento. |
|
11. Cómo sabré si soy ganador?
|
Luego de reportar un ataque aparentemente exitoso
incluyendo todos los
detalles solicitados, el CLCERT evaluará el reporte para
determinar la veracidad y/o efectividad del ataque.
De hecho, si el ataque es considerado válido (esto es, suficientemente
creíble como para ameritar un análisis más detallado,
aún sin saber si es necesariamente exitoso todavía) se impondrá
una moratoria automática de hasta tres (3) días para proceder
a su evaluación. Luego de este periodo, si el ataque no fuera
exitoso o no se le comunicará directamente al participante.
Si el ataque es exitoso se comunicará públicamente
en la página web. |
|
12. Tengo alguna obligación si soy ganador?
|
En el caso que la vulnerabilidad explotada fuera una nueva (desconocida, no una
de las plantadas intencionalmente) se le solicitara al participante ganador
no revelar detalles de la vulnerabilidad explotada por un periodo
no mayor a 3 meses. Durante este periodo, el CLCERT llevará a cabo
el proceso de notificación responsable.
Además, las personas que resulten ganadoras del concurso deberán acceder a tomarse
fotografías y/o videos vinculados con su participación; para ser exhibidas en los
medios de comunicación y en la forma que CLCERT lo estime conveniente, por
tanto, todo ganador debe estar dispuesto tanto a divulgar su nombre, imagen, y
profesión. |
13. Qué pasa si descubro una nueva
vulnerabilidad en el sistema operativo del servidor? Puedo ir preso?
|
No. El objetivo de este concurso es permitirle a los profesionales de
seguridad chilenos utilizar sus habilidades para encontrar maneras creativas
de explotar problemas de seguridad. Por lo tanto, cualquier manera
razonable de lograr
lograr los objetivos vía explotar una vulnerabilidad, aún si involucra
descubrir vulnerabilidades nuevas, es parte de las reglas.
Posiblemente, la única responsabilidad explícitamente requerida
de un participante que utilice/explote una vulnerabilidad nueva es NO darla a
conocer públicamente hasta ser autorizado explícitamente a ello
por el CLCERT, o hasta transcurridos 3 meses desde el término del
concurso. |
14. En qué consiste el proceso (política)
denominada notificación responsable (responsible disclosure)?
|
| Este proceso
consiste en notificar al fabricante del software cuya vulnerabilidad fue
explotada y así permitirle arreglar la vulnerabilidad sin revelar
públicamente detalles de la vulnerabilidad hasta por 3 meses. Luego
de ese período, los detalles de la vulnerabilidad son revelados para
permitir a los usuarios del software tomar medidas propias a fin de evitar ataques.
|
|
15. Qué hará el CLCERT con mis datos
personales? Recopilará el CLCERT datos durante mi ataque? Voy a caer
en una lista de hackers de la policía/universidad/gobierno/FBI por
participar en el concurso?
|
Los datos personales de los participantes (tanto los datos personales como
los datos técnicos o logs de intentos de ataques) no serán
revelados, excepto en dos casos:
- [Datos técnicos:] En forma agregada, en forma de
estadísticas (número, tipos y frecuencia de ataques, etc.).
- [Datos personales:] Para identificar al ganador o ganadores del concurso.
- [Datos técnicos:] Si en el contexto del proceso de notificación responsable, el
CLCERT decidiera compartir con el fabricante del software los detalles de la
vulnerabilidad explotada.
- [Ambos tipos de datos:] En caso de ser solicitado al CLCERT por un
juez o autoridad con atribuciones suficientes según las leyes chilenas.
En cuanto a caer en una lista de "hackers" o similar, por supuesto que no. |
|
16. Qué es el CLCERT?
|
| El CLCERT es el Grupo de Respuesta a Incidentes de Seguridad Computacional
ubicado en la Facultad de Ciencias
Físicas y Matemáticas de la
Universidad de Chile.
Este grupo está compuesto por académicos e ingenieros de la
misma universidad. |
|
18. Puedo participar si resido fuera
de Chile? (Agregado 03/04/2008)
|
| Lamentablemente, no. Todos los participantes deben poder
especificar una red chilena desde donde harán las
pruebas. Además deben poder cobrar el premio en
Chile. |
|
19. Puedo participar si NO soy chileno
pero resido en Chile? (Agregado 09/04/2008)
|
| Lamentablemente, no. Todos los participantes deben ser
personas naturales chilenas como lo especifican las
bases. |
|
20. Uno de mis empleados me solicita
autorización para utilizar los equipos y la red
de mi empresa a fin de participar en este concurso. Está
la red de la empresa en riesgo? (Agregado 10/04/2008)
|
Primero que nada, la razón de solicitar la
autorización mencionada es meramente legal,
a fin de evitar posibles malentendidos entre el empleador de un
participante, el participante, y el CLCERT.
En principio, tomando las medidas adecuadas, la realización del tipo
de pruebas necesarias para este concurso
NO debiera implicar ningún riesgo para la red y equipos
desde donde se realizan las pruebas. Sin embargo, por la naturaleza de
las redes computacionales, se debe tener en cuenta que
cualquier actividad sobre la red (envío y recepción de paquetes)
pudiera tener efectos colaterales.
Ello dependerá no sólo de la configuración de la red y sus equipos, sino
además de las herramientas y operaciones realizadas por quien
realiza las pruebas.
Por consiguiente, nos es imposible determinar con certeza si una red
específica se verá afectada o no, por lo que el empleador
debe tomar esta decisión de manera informada, bajo su propia
responsabilidad.
De autorizar las pruebas, le recomendamos al empleador solicitar a su
empleado tomar todas las medidas necesarias para cerciorarse de no afectar
la configuración y/o operación de la red local durante dichas
pruebas. En principio, si quien realiza las pruebas tiene el conocimiento
técnico adecuado es perfectamente posible realizar las pruebas sin
afectar mayormente los recursos (red, equipos) involucrados.
Concretamente, dentro de las precauciones a tomar le recomendamos a
cualquier participante informar a su proveedor de Internet de que estas
pruebas serán realizadas.
|
|
21. Tengo otra pregunta no incluída en esta
lista, qué hago?
|
| Por favor, cualquier pregunta o inquietud hacerla llegar vía email
a challenge@clcert.cl. |
Detalles Técnicos
El servidor del challenge usa el sistema operativo Windows 2003 Server R2 versión x64, con Service Pack 2 y parches al día. El servidor web es IIS 6.0 con extensión ASP habilitada.
Organiza
Auspician
Patrocinan
|
