
La Security High School 2018 de Córdoba realizó una competición durante 14 horas de pruebas y retos sobre seguridad muy interesantes. Todo el mundo podía participar, pero para recibir el premio había que estar presente durante el cierre de la misma en el Salón De Actos Juan XXIII, que es donde se celebraron todas las conferencias y ponencias.
La organización puso a disposición de los participantes una zona reservada para poder trabajar y participar con los portátiles, ofreciendo una gran cantidad de enchufes. En aquella zona se respiraba aires de competición, ganas por aprender y una emoción latente que explotaba con voces altas cuando algo funcionaba bien.
En este post, os vamos a explicar un poco de qué tratan estas pruebas y de lo interesante que puede llegar a ser el mundo de la seguridad. Muchos participantes volvieron a la web después del reto para seguir resolviendo lo que les faltó y hubo un gran porcentaje de participación.
Las pruebas de estos retos consistían en una serie de codificaciones y decodificaciones como Unicode, Base64 o incluso el pokémon Unown, conocidos por su forma fisiológica en forma de letra. También se encontraba la información oculta en imágenes con ciertas características, como el reflejo de unas letras que estaban invertidas en un espejo o en el reflejo del agua que las olas modificaban ciertos patrones.
En las pruebas, podemos ver ejemplos más claros de cómo la esteganografía oculta la información. En ellas se escondían mensajes ocultos en simples archivos PDF dependiendo de la forma del texto o en los metadatos. También podíamos ver cómo ocultaban archivos de texto dentro de archivos de música, donde se necesitaba programas específicos para poder obtener la información oculta. E, incluso, tendríamos que usar programas de edición de imagen para ver si alguna imagen había sido modificada y se había ocultado alguna clave.
Este reto fue uno de los que más aguantaron en el día de la competición, pero ya hay gente que lo ha resuelto fuera del plazo. El reto consistía en descargarse un archivo ejecutable para el entorno Windows y “ejecutarlo a ver si el usuario tenía la suerte” de obtener la clave para resolver el reto. Ahora solo hacía falta comenzar a estudiar ese ejecutable y obtener la clave, es decir, explotar las vulnerabilidades que pueda tener ese programa para obtener la información.
En esta parte, el reto consistía en analizar una captura de una zona de la memoria RAM de un ordenador donde había que recuperar una foto. Para ello, había que utilizar varias herramientas para leer y poder ejecutar la información de la RAM. Uno de los ponentes, Rafa López, realizó una charla de cómo poder analizar de forma forense una zona de memoria RAM. El que estuvo allí presente pudo ver en vivo y en directo cómo se podía realizar el análisis y, así, poder utilizar lo aprendido en resolver este reto.
La prueba consiste en buscar quién es el dueño de la parcela que se muestra en un enlace a Google Maps. Para ello, consiste en localizar y recolectar toda información disponible sobre lo que se puede ver gracias al Google Street View y, a partir de ese punto, utilizar todos los buscadores de internet para encontrar la información necesaria.
El apartado de Redes consiste en algo parecido al Análisis Forense que hemos hablado con anterioridad, pero esta vez sobre una captura de información enviada a través de una conexión de red. Para poder realizar el reto, se necesitaba software específico para poder estudiar y analizar la captura de red.
En este apartado, el reto era hacer un “reversing” o sentido contrario. Nos daban una aplicación APK de sistemas Android y ver el código que formaba la app para poder encontrar la clave para resolver el reto.
En este apartado, los dos retos que se proponen son dos webs para su explotación. Este reto consiste en buscar ciertas vulnerabilidades para poder obtener información de su base de datos o conseguir acceso a un panel de administración para poder así resolver el reto. Para ello, se necesita saber de SQL (lenguaje de bases de datos) y tener conocimientos necesarios para poder saber de qué forma puede atacarse las webs.
Estos retos sobre seguridad fueron muy interesantes y divertidos. Hay mucha información en internet acerca de todas estas categorías e incluso hay páginas web donde podrás encontrar más retos como éstos.
No dudes en leer acerca de estos retos si te ha parecido curioso, puede que tu futura afición pueda encontrarse entre en alguno de ellos.