Escribo estas lineas una semana despues de que terminara el Capture The Flag (CTF) en la Defcon-15. El CTF es un concurso en equipo en el que se valoran habilidades como descubrir vulnerabilidades, saber cómo parchearlas y por suspuesto, explotarlas.

¿Y porqué escribo acerca del CTF? Pues porque este año algunos amigos cometimos la locura de participar. Al igual que el año pasado, para acceder a la fase final era necesario pasar una fase previa cuyo objetivo no era otro sino seleccionar a los 7 mejores equipos que,junto al actual campeón, deberían reunirse en Las Vegas para disputar la parte final del concurso.

Pre-Quals

Por lo que respecta a la fase previa, uno puede hacerse una buena idea dando un vistazo al walkthrough que hicieron los chicos de 1@stPlace. Básicamente eran 25 pruebas distribuidas en 5 categorías diferentes (Reversing, Forensics, Web Hacking, Exploiting y Trivial) y que puntuaban según dificultad. La prueba tenía una dureción de 48 horas, y pasado ese tiempo los 7 equipos con mejor puntuacion pasaban a la fase final.

En esta primera fase, el principal problema de nuestro equipo fué el número de participantes. Aunque no tuvimos demasiados problemas para clasificarnos, mientras el número de miembros activos variaba de 3 a un máximo de 6, en el resto de equipos y por lo que hemos confirmado a posteriori, superaba ampliamente los 10.

Superado este primer asalto que podríamos calificar de dificultad moderada apuntando a alta, y animados por las palabras de Kenshoto(organizadores del CTF) donde valoraban el evento como “lo que ha sido sin ninguna duda las previas de mayor dificultad de todas las realizadas“, animados decía por estas palabras decidimos dar el paso y organizar nuestro viaje a Las Vegas.

Así pues, los equipos que se verían las caras durante la Defcon 15 eran:

• 1@stPlace: Actuales campeones y que participaron “furtivamente” en las quals quedando décimos. Liderados por @tlas, un gran tipo en todos los sentidos.
• Sk3wl 0f r00t: La mayoría de integrantes proceden de una escuela naval de ingeniería (desconocemos la procedencia exacta) y entre sus filas destaca la presencia de Chris Eagle :O
• Song of Freedom: Grupo de koreanos bastante reservados debido al desconocimiento del idioma, pero realmente simpáticos. Era el número aparentemente más numeroso (una veintena), probablemente motivado por los problemas que tuvieron el año pasado donde varios de sus integrantes y todo su equipo electrónico se quedó en la frontera
• FEDNAUGHTy: Poco podemos decir de ellos ya que no “socializamos” con ellos.
• [0x28]Thieves: Probablemente el equipo más joven del CTF, y que venían de ser los campeones del “Amateur CTF”. Se quejaban amargamente del cambio exagerado de nivel entre una competición y la otra. Afortunadamente al final tuvieron tiempo de hacer algún “breakthrough”.
• Routards: Grupo formado por franceses y suizos. Muy reservados, ni siquiera permitían hacerles fotos. El último día parecían estar demejor humor, y hasta quedamos en vernos en el CCC.
• Osu, Tatakae, Sexy Pandas!: El mejor equipo sin duda. Preparados, organizados, guapos, simpáticos… obviamente nosotros ;D Si en una cosa destacamos, fué en el ambiente de trabajo. Mientras el resto de equipos mantenía una concentración acojonante, los sexy pandas estábamos con el pack de Budweiser, gritando, riendo, contando chistes (hi Dave). Probablemente era esto lo que provocaba que cada dos por tres la gente se parara a preguntarnos cualquier cosa.
• our wives are pissed: Buenos vecinos de CTF aunque no muy habladores.

CTF@Defcon15

Las Vegas, Nevada, 02 de Agosto de 2007 a las 08:00. Suena el despertador, nos enfundamos nuestras camisetas de sexy-pandas,
desayunamos y nos dirigimos al “campo de batalla”. La habitación, si se le puede llamar así, donde iba a taner lugar el CTF me pareció tan grande como un campo de fútbol. Quizá me pareció tan grande debido a que todavía estaba vacía, apenas unos cuantos miembros de Kenshoto y algún que otro participante que había madrugado más que nosotros.

Poco a poco empezaron a llegar todos los integrantes de todos los equipos y también el primer instante en que nos preguntamos aquello de “dónde nos hemos metido”. Allí estábamos nosotros con un par de cutre-switches de andar por casa, viendo como algunos equipos iban desempaquetando sus cajas llenas de switches/routers Cisco, con sus firewalls e incluso algunos con un pequeño rack para tenerlo todo organizado.

Los nervios empezaron a hacerse notar justo cuando Invisigoth (gran personaje) llamó a los capitanes de los equipos para explicar cómo iba a funcionar todo. ¿Capitán? ¿Necesitamos uno?… mientras yo intentaba explicar que no teníamos capitán, el resto del equipo ya se me había adelantado y me señalaban con sonrisa malévola: “that guy“.

Durante la mencionada reunión se explicaron las bases del juego:

• Hay un servidor central donde se registran las puntuaciones y al que llamaremos score server.
• Cada equipo recibe acceso únicamente via red a una máquina virtual que en este caso era una FreeBSD 6.2 con todos los parches oficiales y algún que otro parche de seguridad “made in Kenshoto“.
• Cada FreeBSD tenía instalados 21 servicios vulnerables.
• Todo el tráfico es encaminado por el score server que hacía NAT. De forma que era imposible saber desde qué equipo se estaban recibiendo los ataques.
• El score server comprueba periódicamente el estado de los 21 servicios de todos los equipos, para calcular el SLA o porcentaje deuptime de los servicios. La puntuación final se ve ponderada por este factor, así que si no nos preocupamos por mantener los servicios activos y acabamos con un SLA del 50%, la puntuación se reduce a la mitad.
• Cada servicio se debe explotar con dos objetivos. Primero conseguir leer el flag del usuario asociado al servicio, y enviarlo al score server. El segundo objetivo es lograr sobreescribir el flag con uno público y asociado a nuestro equipo. Esto supone que hay dos puntuaciones diferentes, los steals y los overwrites.
• Los servicios llevan asociada una dificultad establecida por los chicos de Kenshoto y que puede tomar los valores: easy (exploits realmente facilitos de explotar, aunque no tanto de encontrar), hard (difíciles de encontrar y de explotar) y kenshoto (exploits que merecen una consideración especial por parte de los organizadores… una auténtica locura xD).
• Los tres primeros equipos en conseguir explotar un mismo servicio consiguen un bonus llamado “breakthrough“. El primero consigue el 100% del bonus, el segundo el 50% y el tercero el 25%. Para hacerse una idea, puede salir más a cuenta conseguir explotar un servicio de nivel kenshoto como tercero antes que sacar un easy como primero.

Después de esto se dió el pistoletazo de salida y empezó el show. Nuestro equipo, aunque pequeño estaba bastante bien compensado.
Prácticamente medio equipo tenia bastante experiencia haciendo reversing y el otro medio se centraría en programar scripts de ayuda y los exploits. Este equilibrio dió buenos frutos desde el primer momento, y de hecho fuimos los primeros en conseguir un breakthrough (first blood!) con lo que rápidamente empezamos a puntuar a base de steals y overwrites. Básicamente nuestro punto fuerte de este primer día fué identificar rápidamente los servicios que tenían pinta de ser fáciles de explotar y ser los primeros en hacerlo.

Este buen ritmo nos permitió distanciarnos bastante de todos los equipos excepto de 1@stPlace que nos seguía bastante de cerca y de Sk3wl que aguantaba el ritmo como podía xD Misteriosamente a media jornada empezaron a caer algunos de nuestros servicios (¿DoS? Probablemente). En parte debido al descenso de nuestro SLA y también al magnífico trabajo de la gente de 1@stPlace acabamos alternando entre la primera y segunda posición. Y así acabó la primera jornada a las 20:00 aprox.

Esa noche quizá hubo un exceso de confianza, con poco trabajo y mucha fiesta… ejem, ¿fiesta? El equipo no dejó a su propio capitán asistir a una fiesta privada en el Bellagio!. Creo recordar que durante la noche preparamos 3 breakthroughs para la mañana siguiente y fuimos a dormir temprano.

El segundo día por la mañana supuso el principal revés a nuestro equipo. Hubo un pequeño problema con el arranque de la prueba, ya que cuando encendieron la pantalla de puntuaciones, entre 1@stPlace y Sk3wl habían hecho unos 3-4 breakthroughs. Así que nos encontramos a primera hora ya en tercera posición y sin poder utilizar algunos de los “regalitos” que teníamos preparados. Esto nos dejó un poco tocados moralmente, y apenas pudimos reaccionar al final del día donde conseguimos un nuevo breakthrough, aunque tanto 1@stPlace como Sk3l se habían ido distanciando lenta pero constantemente. Básicamente el segundo día nos sirvió para bajar de la nube.

Afortunadamente (para el capitán) esa noche sí hubo fiesta, la organizaban los chicos de Kenshoto y me sirvió para escaquearme del
intenso trabajo que realizó todo el equipo de cara a la última jornada. Por desgracia para nosotros, el último día apenas tuvo 3 horas reales de juego, con lo que no tuvimos tiempo para acabar de pulir los exploits que teníamos preparados. Como anécdota, comentar que justo en el momento en que se anunciaba el final del juego, nos funcionó (contra nuestro propio server) un exploit que, según nos explicaron más tarde los chicos de Kenshoto, había permanecido sin explotar en los últimos tres años.

Al final, en nuestra primera participación logramos un aceptable tercer puesto con menciones especiales debido al first blood y al ya famoso exploit reserva del 2005. ¿Objetivos para el año que viene? Por supuesto, clasificarnos y volver a asistir al CTF con la intención de llegar mejor preparados, mejor equipados y en mayor número (para que así algunos podamos ir de fiesta xDD).