Hackit 2009?
txipi
hace meses que no comentamos nada por aquí y cada vez tenemos más cerca
el hackit de la próxima Euskal. ¿Cómo lo véis? Yo este año tengo un
fork() dando guerra todas las noches y podré dedicarme mucho menos a
este tema, pero me consta que los de Geek Puzzle están repletos de
nuevas ideas y podrían tomar las riendas.
Entonces, ¿qué hacemos? ;-)
--
Agur,
txipi
Angel Lopez
> Entonces, ¿qué hacemos? ;-)
Por mi parte ya sabes que cuentas con mi ayuda en la medida que pueda y
sea capaz :) tengo por aquí un par de pruebas en "la despensa" preparadas
para el Hack'It de este año ;)
Cuenta conmigo en lo que sea necesario.
Un saludote.
--
Angel Lopez
http://futur3.com
... the geeks shall inherit the Earth
nop
para los que somos nuevos (o sea, yo), ¿sería mucho pedir que nos
contaseis cómo se desarrolla el concurso?
por ejemplo, el año pasado nos contaba Ontza que fué muy muy técnico el
hackit, y que permitíais a la gente enviar sus pruebas... yo también
tengo algunas guardadas, y ayudaría saber cómo será la competición :)
saludos!
txipi
On Mon, 30 Mar 2009 21:08:09 +0200
nop <n...@hackingalicia.org> wrote:
> por ejemplo, el año pasado nos contaba Ontza que fué muy muy técnico
> el hackit, y que permitíais a la gente enviar sus pruebas... yo
> también tengo algunas guardadas, y ayudaría saber cómo será la
> competición :)
Están todas colgadas en http://hackit.txipinet.com/.
La duda para este año es si seguir como hasta ahora con un enfoque de
descarga de nivel -> hack -> password del siguiente nivel. O hacer algo
más tipo hackerlabs, o algo más wargame web... usar máquinas virtuales,
etc.
No lo tengo nada claro :-D
--
Agur,
txipi
![Topo[LB]'s profile photo](http://lh3.googleusercontent.com/a-/ALV-UjXHx-6wKORw7aEOajFPO3XdYXMVLVDkkYrspVGcuCORPt4ZFT2l=s40-c)
Topo[LB]
Lo del estilo hackerslab sería un puntazo. Yo me ofrezco voluntario, a falta de alguien que se anime, para administrar el tema, que sería lo coñazo del asunto. El hacking en shell por niveles la verdad es que a mi me mola un webo :), por aquello de estar "dentro" del sistema, y tener la posibilidad de rootear el server (lo cual podría estar perfectamente permitido en el concurso).
Otra cosa que estaría muy bien sería meter mas niveles de cracking para windows y linux en plan sencillote al principio y mas difícil al final (sin entrar en desfases jartos mas que en el último nivel). Estaría muy bien para que la peña se adentrara en el cracking.
El tema de los nivele en plan jinkana/idea feliz tambien estaría bien mantener. El año pasado mucha gente que no controlaba de hacking la gozo pero bien con los primeros niveles, estilo morse, laberinto (grrr el puto laberinto xD), qcode... Le dan oportunidad a los no-tan-frikis a meterse al concurso.
Y por supuesto los niveles web de siempre.
El tema es que si hay suficientes contribuciones se podría hacer categorías del hackit que se pudieran jugar "por separado". No se... igual es muy jarto. Como digo depende de las ganas y las contribuciones de la peña.
Topo[LB]
nop
Topo[LB] escribió:
>
> El tema es que si hay suficientes contribuciones se podría hacer
> categorías del hackit que se pudieran jugar "por separado". No se...
> igual es muy jarto. Como digo depende de las ganas y las contribuciones
> de la peña.
>
> Topo[LB]
la verdad es que yo creo que la variedad es importante, aunque sin
dividir a la gente en grupos, y es que me encanta aprender cosas nuevas,
compartir, colaborar, explorar...
El caso es que después de leer esto en las bases del último concurso, me
he quedado preocupado:
"Proporcionar pistas a otros usuarios del reto supondrá la
descalificación inmediata del grupo o equipo involucrado."
txipi, penalizais la colaboración??
también se menciona que no está permitido perjudicar a otros
participantes (normal), pero... ¿la ingenería social está penalizada? :)
saludos!
txipi
On Mon, 30 Mar 2009 22:58:16 +0200
nop <n...@hackingalicia.org> wrote:
> "Proporcionar pistas a otros usuarios del reto supondrá la
> descalificación inmediata del grupo o equipo involucrado."
> txipi, penalizais la colaboración??
No realmente. Esto se puso para tratar de evitar que un equipo ganara y
acto seguido contara a otros grupos cómo pasar los últimos niveles y
que grupos sin amigos en el grupo campeón quedaran fuera del podio por
no tener contactos. Realmente puede seguir pasando, pero al menos
intentamos minimizarlo. También da pie a que cada grupo se curre su
solución, no a que copie la de otro grupo.
> también se menciona que no está permitido perjudicar a otros
> participantes (normal), pero... ¿la ingenería social está
> penalizada? :)
En anteriores ocasiones, sí, puesto que la ingeniería social es un
engaño y como tal, perjudica a otros participantes. En el futuro nos
podemos replantear todo esto.
Como dije desde que retomé el concurso, no se trata de un concurso de
hacking, sino de un concurso de pruebas que exigen técnicas de
hacking/cracking/etc. Es decir, el objetivo no ha sido r00tear la
máquina o conseguir credenciales para hacer un deface de la web del
concurso, robar correos con soluciones a otros grupos, etc. sino
pasarse los niveles.
Pero bueno, todo esto está sujeto a cambios. Ya digo que mi intención
es dejar las riendas del concurso en un grupo de gente que podría salir
de esta lista, y quedarme como un colaborador más ;-)
--
Agur,
txipi
Xabier Eizmendi
En el hackit de la navar del año pasado cambié el formato de pasarles las pruebas y tuvo bastante éxito. En vez de hacer como en la euskal, ir liberando las pruebas conforme pasaba el tiempo, todas las pruebas estaban accesibles desde el principio. Cada prueba valía unos puntos y al final ganó el que sacó más puntos (nadie se pasó todas las pruebas, aunque hackin galicia se quedó a las puertas). De esa forma, si hay una prueba de idea feliz, cuenta pero no te penaliza.
Por cierto, siempre tengo una lista de prueba maquiavélicas en mi mente, puedo aportar alguna que otra para el concurso, jejeje.
¡Qué ganas tengo ya de party!
Un saludete,
OntzA
Angel Lopez
> pruebas y tuvo bastante éxito. En vez de hacer como en la euskal, ir
> liberando las pruebas conforme pasaba el tiempo, todas las pruebas estaban
> accesibles desde el principio. Cada prueba valía unos puntos y al final
> ganó el que sacó más puntos (nadie se pasó todas las pruebas, aunque
Nosotros en el Geek Puzzle hemos seguido este modelo y la verdad es que yo
apostaría por él. El tema de quedarse atascado en una prueba y no poder
seguir jugando en las siguientes es algo que siempre me ha jodido
bastante, ya que quizás te quedas atascado en la prueba N por la razón que
sea, pero la N+1, N+2 la puedes sacar porque controlas más de su diseño...
en fin, en cualquier caso la idea es evitar quedarse atascado, a fin de
cuentas el objetivo es jugar lo más posible y pasarlo bien.
El tema de ir liberando pruebas con el paso del tiempo en el ultimo
Hack'It eliminó el factor "me que quedado atascado", pero yo personalmente
si que preferiría el tener todas las pruebas disponibles y efectivamente
ir contabilizando puntos. Aunque esto abre una nueva puerta, que es la que
miembros distintos paralelicen sus esfuerzos en pruebas distintas, lo que
seguramente haga que el tiempo de resolución total baje bastante. Lo que
au vez abriria nuevas puertas, como que por ejemplo, siga conservándose el
formato Hack'It tradicional, pero al poder ser resuelto más rápido
(posibilidad de paralelizar) puede haber otro concurso en modelo "wargame"
con hacks "reales".
Respecto al tema del modelo de puntuación, en Geek Puzzle tamibén tenemos
en cuenta el factor tiempo. Es decir, a igualdad de puntos contabiliza
para el ranking el tempo invertido en la solución. Este modelo nos gustó
bastante como funciona en la realidad, y crea piques importantes :) porque
sabes que ya no es solo cuestion de resolver la prueba (puntos) sino de
resolverla antes que otros (tiempo), ya que eso te da la victoria en caso
de empate.
Un modelo de "wargame" con historia por detrás me llama mucho la
antención, me explico, algún wargame que he visto empieza contándote una
historia, por ejemplo, eres miembro de un equipo de espionaje y tienes que
infiltrarte en los sistemas de tal célula terrorista para saber cuál es su
objetivo, que podría ser una bomba, y una vez que lo descubres tienes que
hacer ciertas cosas para desactivar la bomba, etc. Todo ello, implica ir
usando técnicas e ir aplicando exploits a ciertos sistemas que dan base a
la historia. La verdad es que ese transfondo "peliculero" mola bastante :D
nop
> Nosotros en el Geek Puzzle hemos seguido este modelo y la verdad es que yo
> apostaría por él. El tema de quedarse atascado en una prueba y no poder
> seguir jugando en las siguientes es algo que siempre me ha jodido
> bastante, ya que quizás te quedas atascado en la prueba N por la razón que
> sea, pero la N+1, N+2 la puedes sacar porque controlas más de su diseño...
> en fin, en cualquier caso la idea es evitar quedarse atascado, a fin de
> cuentas el objetivo es jugar lo más posible y pasarlo bien.
totalmente de acuerdo. En nuestro concurso, todas las pruebas están
disponibles desde el principio. El año pasado, en la navarparty se dió
el caso de que terminamos antes (mucho antes) una de las pruebas más
difíciles (al menos valía más puntos).
otro detalle muy bueno del concurso de Ontza fué que había pruebas de
"idea feliz" que fueron resueltas antes por el "personal no técnico" que
por el técnico, es decir, que la variedad estuvo ahí, y que los perfiles
puramente técnicos no lo teníamos tan "chupao".
> El tema de ir liberando pruebas con el paso del tiempo en el ultimo
> Hack'It eliminó el factor "me que quedado atascado", pero yo personalmente
> si que preferiría el tener todas las pruebas disponibles y efectivamente
> ir contabilizando puntos. Aunque esto abre una nueva puerta, que es la que
> miembros distintos paralelicen sus esfuerzos en pruebas distintas, lo que
> seguramente haga que el tiempo de resolución total baje bastante. Lo que
> au vez abriria nuevas puertas, como que por ejemplo, siga conservándose el
> formato Hack'It tradicional, pero al poder ser resuelto más rápido
> (posibilidad de paralelizar) puede haber otro concurso en modelo "wargame"
> con hacks "reales".
la posibilidad de que se acabe el concurso podría ser contrarestada con
la posibilidad de que cada participante añada sus niveles, es decir,
alcanzado un nivel crítico de competición, sería casi obligado aportar
un nuevo nivel, así el concurso se auto-alimenta...
> Respecto al tema del modelo de puntuación, en Geek Puzzle tamibén tenemos
> en cuenta el factor tiempo. Es decir, a igualdad de puntos contabiliza
> para el ranking el tempo invertido en la solución. Este modelo nos gustó
> bastante como funciona en la realidad, y crea piques importantes :) porque
> sabes que ya no es solo cuestion de resolver la prueba (puntos) sino de
> resolverla antes que otros (tiempo), ya que eso te da la victoria en caso
> de empate.
el modelo de reducción de puntuación en el tiempo tiene sus puntos
buenos, pero creo que es injusto: el trabajo es el mismo para todos, y
además es innecesario penalizar por tardar más, ya que el que primero
acaba gana por haber terminado antes, sin necesidad de restarle puntos
al segundo. Tal y cómo lo veo, y haciendo metáfora, sería como si un
corredor de 110 vallas ganase la carrera aún tropezando en la última
valla y cayéndose, es decir, que contaría más lo hecho que acabar...
Igual sí interesa ese modelo...
a nosotros se nos había ocurrido otra idea: pruebas de un sólo uso.
Cuando alguien la supera, automáticamente se descarta. Un ejemplo de
este tipo de prueba podría ser la de hackear una WIFI (en real) que
siempre ponemos. Es injusto que uno se lo trabaje (generando paquetes,
inyectando, etc.) y que el resto que, simplemente están escuchando, se
lleven el premio.
>
> Un modelo de "wargame" con historia por detrás me llama mucho la
> antención, me explico, algún wargame que he visto empieza contándote una
> historia, por ejemplo, eres miembro de un equipo de espionaje y tienes que
> infiltrarte en los sistemas de tal célula terrorista para saber cuál es su
> objetivo, que podría ser una bomba, y una vez que lo descubres tienes que
> hacer ciertas cosas para desactivar la bomba, etc. Todo ello, implica ir
> usando técnicas e ir aplicando exploits a ciertos sistemas que dan base a
> la historia. La verdad es que ese transfondo "peliculero" mola bastante :D
suena bien. El hecho de que haya un hilo conductor mejora la percepción
del concurso y de los objetivos en general :)
>
> Un saludote.
>
saludos!
Alfredo Beaumont
> Hola!
>
> > Nosotros en el Geek Puzzle hemos seguido este modelo y la verdad es que
> > yo apostaría por él. El tema de quedarse atascado en una prueba y no
> > poder seguir jugando en las siguientes es algo que siempre me ha jodido
> > bastante, ya que quizás te quedas atascado en la prueba N por la razón
> > que sea, pero la N+1, N+2 la puedes sacar porque controlas más de su
> > diseño... en fin, en cualquier caso la idea es evitar quedarse atascado,
> > a fin de cuentas el objetivo es jugar lo más posible y pasarlo bien.
>
> totalmente de acuerdo. En nuestro concurso, todas las pruebas están
> disponibles desde el principio. El año pasado, en la navarparty se dió
> el caso de que terminamos antes (mucho antes) una de las pruebas más
> difíciles (al menos valía más puntos).
>
> otro detalle muy bueno del concurso de Ontza fué que había pruebas de
> "idea feliz" que fueron resueltas antes por el "personal no técnico" que
> por el técnico, es decir, que la variedad estuvo ahí, y que los perfiles
> puramente técnicos no lo teníamos tan "chupao".
Yo creo que el modelo de hackit que hubo el año pasado es mejor. Sinceramente,
creo que el tener todas las pruebas disponibles desde el principio, no hace
sino aumentar las posibilidades de victoria de grupos grandes. Esto ya es así
con el sistema actual (20 ojos ven más que 10 que ven más que 2), pero si
encima se puede paralelizar desde el principio es bastante fácil que la
victoria sea mera cuestión aritmética básica (¿en qué grupo hay más gente?)
Con el sistema de este año, además, sólo te podías quedar estancado
temporalmente.
De la misma manera veo perjudicial el tema que el tiempo suponga un factor
añadido.
Por lo demás, me parecen bien las ideas que se comentan, aunque creo que en
general son más laboriosas, y creo que más bien está la cosa escasa que
sobrada. Por mí, un hackit como el del año pasado, con niveles aportados por
los usuarios es más que perfecto. Es de suponer que este año habrá más
propuestas de niveles... con lo que más diversión y menos trabajo para el
organizador!
Aio
--
Alfredo Beaumont Sainz
http://www.alfredobeaumont.org/blog.cgi
Angel Lopez
> otro detalle muy bueno del concurso de Ontza fué que había pruebas de
> "idea feliz" que fueron resueltas antes por el "personal no técnico"
> que
> por el técnico, es decir, que la variedad estuvo ahí, y que los
> perfiles
> puramente técnicos no lo teníamos tan "chupao".
>
Yo a las pruebas de "idea feliz" le tengo un especial odio ;) jejeje
no, en serio... no me molan las pruebas de "idea feliz", prefiero las
pruebas basadas unica y exclusivamente en dificultades técnicas.
> la posibilidad de que se acabe el concurso podría ser contrarestada
> con
> la posibilidad de que cada participante añada sus niveles, es decir,
> alcanzado un nivel crítico de competición, sería casi obligado aportar
> un nuevo nivel, así el concurso se auto-alimenta...
>
Un modelo que no se ha comentado aún y que puede ser interesante es el
de "capture the flag" puro y duro, tipo defcon, en el que defiendes tu
maquina a la vez que atacas la del resto de equipos. Usando, eso si,
una VM aportada por la organizacion con los servicios y los "flags" a
capturar/defender.
Se aleja del estilo fijo y lineal del Hack'It, pero puede ser un
complemento interesante o incluso una opcion a desarrollar en paralelo
al Hack'It.
>
En fin, creo que entre todos ideas tenemos para dar y tomar :)
--
Angel Lopez
http://futur3.com/
txipi
On Tue, 31 Mar 2009 22:26:20 +0200
Angel Lopez <an...@futur3.com> wrote:
> En fin, creo que entre todos ideas tenemos para dar y tomar :)
Sí! Y no veas la ilusión que me hace contar con la comunidad del hackit
de la Euskal para esta próxima edición.
Entonces, por ir concretando, se me plantean algunas dudas:
1) ¿Cómo pensáis llevar a cabo la gestión del concurso? Hasta ahora era
todo muy espartano: emails y punto. ¿Hay ganas para montar una web en
la que registrarse, contabilizar puntos, etc.? A mí siempre me ha dado
una tremenda pereza porque precisamente alguien podría reventarte la
web en lugar de las pruebas, pero quizá sería mucho más cómodo para los
participantes.
2) ¿Hay alguien con tiempo y ganas para asumir la organización y
coordinación del concurso dentro de la Euskal? Probablemente yo no
pueda estar tanto tiempo como otros años y estaría bien tener a alguien
dentro para resolver problemas puntuales.
3) ¿Nos ponemos un plazo para decidir cuál de todas las propuestas
adoptar para este año?
Happy hacking ;-)
--
Agur,
txipi
nop
txipi escribió:
> 1) ¿Cómo pensáis llevar a cabo la gestión del concurso? Hasta ahora era
> todo muy espartano: emails y punto. ¿Hay ganas para montar una web en
> la que registrarse, contabilizar puntos, etc.? A mí siempre me ha dado
> una tremenda pereza porque precisamente alguien podría reventarte la
> web en lugar de las pruebas, pero quizá sería mucho más cómodo para los
> participantes.
es una pregunta abierta o finalmente organizan el concurso la gente de
geekpuzzle?
> 2) ¿Hay alguien con tiempo y ganas para asumir la organización y
> coordinación del concurso dentro de la Euskal? Probablemente yo no
> pueda estar tanto tiempo como otros años y estaría bien tener a alguien
> dentro para resolver problemas puntuales.
>
> 3) ¿Nos ponemos un plazo para decidir cuál de todas las propuestas
> adoptar para este año?
eso estaría bien, ya que algunos tenemos que ir desde lejos y estaría
bien saber a qué atenerse :)
>
> Happy hacking ;-)
>
saludos!
nop
> Yo a las pruebas de "idea feliz" le tengo un especial odio ;) jejeje
> no, en serio... no me molan las pruebas de "idea feliz", prefiero las
> pruebas basadas unica y exclusivamente en dificultades técnicas.
a mi tampoco me molan (mucho le han debido pitar los oidos a uno que yo
me sé), pero reconozco su valía si están bien hechas y tienen algún
sentido práctico, esto es, no se reduce a un simple juego de
adivinación. A mi me han ayudado a ejercitar esa otra parte del cerebro
que los técnicos puros solemos arrinconar: la imaginación. Me parece
propio de un hacker saber "ver" las cosas de otra forma.
> Un modelo que no se ha comentado aún y que puede ser interesante es el
> de "capture the flag" puro y duro, tipo defcon, en el que defiendes tu
> maquina a la vez que atacas la del resto de equipos. Usando, eso si,
> una VM aportada por la organizacion con los servicios y los "flags" a
> capturar/defender.
suena bien, pero nunca he probado una cosa así. Algún experimento
on-line accesible?
saludos!
nop
Alfredo Beaumont escribió:
> Yo creo que el modelo de hackit que hubo el año pasado es mejor. Sinceramente,
> creo que el tener todas las pruebas disponibles desde el principio, no hace
> sino aumentar las posibilidades de victoria de grupos grandes. Esto ya es así
> con el sistema actual (20 ojos ven más que 10 que ven más que 2), pero si
> encima se puede paralelizar desde el principio es bastante fácil que la
> victoria sea mera cuestión aritmética básica (¿en qué grupo hay más gente?)
qué tiene que ver la disponibilidad de las pruebas con el número de
personas? los recursos son los recursos, independientemente de cómo se
apliquen: 20 personas resolviendo una prueba siempre tardarán menos que
uno solo, y al final seguirán siendo más efectivos. Da igual que pongas
a 20 personas en paralelo que simultáneamente, siempre son MÁS! :) (es
más, yo creo que en este caso, el procesado en paralelo es perjudicial,
ya que el cerebro humano funciona mejor de forma colaborativa que aislada)
>
> De la misma manera veo perjudicial el tema que el tiempo suponga un factor
> añadido.
>
pues este parámetro sí que marcaría alguna diferencia para salvar al
individuo frente a la manada... si ponemos todas las pruebas en
paralelo, al final hay que dividirse y escoger una víctima, de manera
que el que se la juegue con una prueba e invierta más recursos en ella,
al menos obtendría una ventaja frente al resto.
saludos!
txipi
On Wed, 01 Apr 2009 00:48:52 +0200
nop <n...@hackingalicia.org> wrote:
> > 1) ¿Cómo pensáis llevar a cabo la gestión del concurso? Hasta ahora
> > era todo muy espartano: emails y punto. ¿Hay ganas para montar una
> > web en la que registrarse, contabilizar puntos, etc.? A mí siempre
> > me ha dado una tremenda pereza porque precisamente alguien podría
> > reventarte la web en lugar de las pruebas, pero quizá sería mucho
> > más cómodo para los participantes.
> es una pregunta abierta o finalmente organizan el concurso la gente de
> geekpuzzle?
No, no, lo comento al conjunto de la gente que comparte la lista ;-)
--
Agur,
txipi
Xabier Eizmendi
Las pruebas de idea feliz es lo que hacen el hackit algo interesante para alguien que no tiene muchos conocimientos técnicos. Todos los años hay gente en el grupo Navarparty (en el cual participo en el hackit) que no saben debuggear or desensamblar, pero cuando les planteas problemas que requieren imaginación ponen toda la carne en el asador. Los de hackingalicia se lo pasaron pipa con mis idas de olla ;)
Estoy de acuerdo en que a veces es frustrante, sobre todo cuando no puedes seguir adelante por una de esas pruebas, de ahí que el sistema de puntuación tiene más aceptación. También es verdad que las pruebas de idea feliz suelen valer menos que las otras, al menos en el hackit de la Navarparty.
2009/3/31 txipi <tx...@sindominio.net>
Aupa!
Sí! Y no veas la ilusión que me hace contar con la comunidad del hackit
On Tue, 31 Mar 2009 22:26:20 +0200
Angel Lopez <an...@futur3.com> wrote:
> En fin, creo que entre todos ideas tenemos para dar y tomar :)
de la Euskal para esta próxima edición.
Entonces, por ir concretando, se me plantean algunas dudas:
1) ¿Cómo pensáis llevar a cabo la gestión del concurso? Hasta ahora era
todo muy espartano: emails y punto. ¿Hay ganas para montar una web en
la que registrarse, contabilizar puntos, etc.? A mí siempre me ha dado
una tremenda pereza porque precisamente alguien podría reventarte la
web en lugar de las pruebas, pero quizá sería mucho más cómodo para los
participantes.
Yo tengo una página preparada que incluye registro, contabilización de puntos y muestra un ranking con los puntos de cada participante.
Las soluciones sigo pidiéndolas por email, pero se registra en la base de datos la fecha en la que se pasó la última prueba de forma automática.
Es una página web muy espartana y no muy bonita. No soy programador web.
Me parece recordar que los de hackingalicia tienen también una web preparada para estos temas, jejeje.
2) ¿Hay alguien con tiempo y ganas para asumir la organización y
coordinación del concurso dentro de la Euskal? Probablemente yo no
pueda estar tanto tiempo como otros años y estaría bien tener a alguien
dentro para resolver problemas puntuales.
La organización y coordinación... con las ganas que tiene todo el mundo de participar tiene que fastidiar lo de organizar. A su favor está que no tienes que contenerte en el nivel de las pruebas difíciles (como suelo hacer para la navar).
Por cierto, ¿qué ocurriría si estás en la party organizando el concurso pero estás rodeado de gente que participa? En mi experiencia no es mayor problema, pero no sé cómo ha funcionado en la Euskal en años anteriores.
3) ¿Nos ponemos un plazo para decidir cuál de todas las propuestas
adoptar para este año?
¿Mayo? Hace falta tiempo para preparar ciertas pruebas y saber cómo va a ser el formato es importante.
Angel Lopez
> es una pregunta abierta o finalmente organizan el concurso la gente de
> geekpuzzle?
Nosotros (GeekPuzzle) estamos encantados de participar en lo que
buenamente nos sea posible, pero yo creo que la idea es que creemos un
grupo de coordinadores/organizadores entre todos los miembros de "la
comunidad Hack'It" como ha comentado Txipi. ‥a union hace la fuerza! :)
Un saludote.
--
Angel Lopez
http://futur3.com
Angel Lopez
> suena bien, pero nunca he probado una cosa así. Algún experimento
> on-line accesible?
Un ejemplo de CTF:
http://ctf.sec.informatik.tu-darmstadt.de/daopen08/
La organización de este tipo de evento no es moco de pavo, quizás podría
ser un bonito proyecto para llevar a cabo de forma independiente al
Hack'It y para este año mantener el formato actual.
En cualquier caso, creo que es interesante plantearlo como proyecto
paralelo si hay gente que se anima para montar uno... y por qué no, quizás
podamos montar un CTF indpendientemente del Hack'It incluso fuera de la
Euskal, ya que se puede jugar desde remoto, si os fijáis en la
infraestructura, se monta una red virtual a base de VPN y se permite la
participación de equipos remotos, no únicamente de equipos locales. Así
que una cosa no quita la otra...
--
Angel Lopez
http://futur3.com
Alfredo Beaumont
> hola!
>
> Alfredo Beaumont escribió:
> > Yo creo que el modelo de hackit que hubo el año pasado es mejor.
> > Sinceramente, creo que el tener todas las pruebas disponibles desde el
> > principio, no hace sino aumentar las posibilidades de victoria de grupos
> > grandes. Esto ya es así con el sistema actual (20 ojos ven más que 10 que
> > ven más que 2), pero si encima se puede paralelizar desde el principio es
> > bastante fácil que la victoria sea mera cuestión aritmética básica (¿en
> > qué grupo hay más gente?)
>
> qué tiene que ver la disponibilidad de las pruebas con el número de
> personas? los recursos son los recursos, independientemente de cómo se
> apliquen: 20 personas resolviendo una prueba siempre tardarán menos que
> uno solo, y al final seguirán siendo más efectivos. Da igual que pongas
> a 20 personas en paralelo que simultáneamente, siempre son MÁS! :) (es
> más, yo creo que en este caso, el procesado en paralelo es perjudicial,
> ya que el cerebro humano funciona mejor de forma colaborativa que aislada)
Hombre, yo creo que la diferencia es evidente. Está claro que siempre son más
20 personas que 1, pero si el desarrollo del concurso es lineal, está claro
que el cuello de botella está en la dificultad del nivel. Si se dispone de
todo el trabajo desde el principio, el cuello de botella será el número de
integrantes del equipo. En ambos casos puede haber un atasco en algún nivel,
la diferencia es que para cuando te atascas en un nivel tus compañeros
divididos en 5 grupos han sacado los 5 niveles más fáciles.
Por eso creo que un desarrollo en serie, aunque sigue primando la cantidad,
prima más la calidad. Paralelizando el componente calidad pesa menos y el
componente cantidad más. Para mí es una 'profesionalización' del concurso.
Pero bueno, que si la gente considera lo contrario yo tan contento. Al fin y
al cabo ni he ganado ni tengo intención de ganar el concurso, con pegarme con
los acertijos me sobra :)
Un saludo!
Alfredo Beaumont
> Aupa!
>
> On Tue, 31 Mar 2009 22:26:20 +0200
>
> Angel Lopez <an...@futur3.com> wrote:
> > En fin, creo que entre todos ideas tenemos para dar y tomar :)
>
> Sí! Y no veas la ilusión que me hace contar con la comunidad del hackit
> de la Euskal para esta próxima edición.
>
> Entonces, por ir concretando, se me plantean algunas dudas:
>
> 1) ¿Cómo pensáis llevar a cabo la gestión del concurso? Hasta ahora era
> todo muy espartano: emails y punto. ¿Hay ganas para montar una web en
> la que registrarse, contabilizar puntos, etc.? A mí siempre me ha dado
> una tremenda pereza porque precisamente alguien podría reventarte la
> web en lugar de las pruebas, pero quizá sería mucho más cómodo para los
> participantes.
Hmmm, no sé exactamente qué requerimientos tendría... pero si hace falta puedo
programar algo. Lo de que te peten la web... pues siempre está el riesgo (más
si lo programo yo ;), pero si reduce carga de organización y así puede salir
adelante el concurso... pues por mí perfecto.
> 2) ¿Hay alguien con tiempo y ganas para asumir la organización y
> coordinación del concurso dentro de la Euskal? Probablemente yo no
> pueda estar tanto tiempo como otros años y estaría bien tener a alguien
> dentro para resolver problemas puntuales.
¿No se podría buscar algún sistema distribuído de gestión? No sé, tal como yo
lo veo... con un sistema similar al del año pasado, en el que los
participantes preparan los niveles, bastaría con montar una aplicación que
recoja las soluciones, presente el siguiente nivel y poco más, ¿no?
Si alguien externo al juego (txipi?) organiza los niveles por orden de
dificultad, luego cada level podría tener a su autor como responsable?
Ej.: Nivel 3. Enunciado blablabla. Autor: melon, puesto AK-47
Que la gente que tenga dudas vaya al puesto AK-47 y pregunte, o un email de
contacto o algo. Cuando alguien pasa el nivel, mete en la app la solución que
ha implementado, y el autor del nivel la podría revisar y darla por buena o
rechazarla.
Esto suponiendo un concurso como el de otros años... con las otras propuestas
que se han comentado no sé si se podría buscar algo de este tipo.
nop
...
> que requieren imaginación ponen toda la carne en el asador. Los de
> hackingalicia se lo pasaron pipa con mis idas de olla ;)
los de hacking galicia y mucha más gente!
alguna de tus pruebas han rulado ya por media españa: Villagarcía
(Gallaecia'08), Coruña (Arroutada'08), Alcolea (en Sevilla, Alcolea'09),
Cáceres (Xtrelan'09), y espero que alguna más este año... :)
> Estoy de acuerdo en que a veces es frustrante, sobre todo cuando no
> puedes seguir adelante por una de esas pruebas, de ahí que el sistema de
> puntuación tiene más aceptación. También es verdad que las pruebas de
> idea feliz suelen valer menos que las otras, al menos en el hackit de la
> Navarparty.
es una forma más de ampliar el cupo de gente que puede participar. A mi
no me gustan especialmente, pero repito que tienen un gran valor.
> Yo tengo una página preparada que incluye registro, contabilización de
> puntos y muestra un ranking con los puntos de cada participante.
> Las soluciones sigo pidiéndolas por email, pero se registra en la base
> de datos la fecha en la que se pasó la última prueba de forma automática.
>
> Es una página web muy espartana y no muy bonita. No soy programador web.
>
> Me parece recordar que los de hackingalicia tienen también una web
> preparada para estos temas, jejeje.
como decía más arriba, ya ha rulado por algunas cuantas parties :)
Actualmente está en su versión 1.2 y le vamos poniendo cosillas en cada
party, aunque sigue siendo bastante simple (que no espartana ;) y no hay
mucho donde "atacar" (esto es parte de su encanto y utilidad). Hasta
tiene un SDK para desarrollar niveles ;)
Si interesa y gusta, está para enseñar y usar.
> La organización y coordinación... con las ganas que tiene todo el mundo
> de participar tiene que fastidiar lo de organizar. A su favor está que
> no tienes que contenerte en el nivel de las pruebas difíciles (como
> suelo hacer para la navar).
> Por cierto, ¿qué ocurriría si estás en la party organizando el concurso
> pero estás rodeado de gente que participa? En mi experiencia no es mayor
> problema, pero no sé cómo ha funcionado en la Euskal en años anteriores.
a mi me mola participar, pero también he de reconocer que me mola
organizar (ya que de participante me suelen ganar... en fin :)
> 3) ¿Nos ponemos un plazo para decidir cuál de todas las propuestas
> adoptar para este año?
>
>
> ¿Mayo? Hace falta tiempo para preparar ciertas pruebas y saber cómo va a
> ser el formato es importante.
apoyo la fecha. Día tope: 30 abril
saludos!
nop
> Nosotros (GeekPuzzle) estamos encantados de participar en lo que
> buenamente nos sea posible, pero yo creo que la idea es que creemos un
> grupo de coordinadores/organizadores entre todos los miembros de "la
> comunidad Hack'It" como ha comentado Txipi. ĄLa union hace la fuerza! :)
suena bien, pero entonces... quien participa? :)
>
> Un saludote.
>
saludos!
nop
> Un ejemplo de CTF:
>
> http://ctf.sec.informatik.tu-darmstadt.de/daopen08/
me ha parecido impresionante. Gracias por el link.
> La organización de este tipo de evento no es moco de pavo, quizás podría
> ser un bonito proyecto para llevar a cabo de forma independiente al
> Hack'It y para este año mantener el formato actual.
creeis que habría nivel de participantes como para realizarlo en una
party? mi experiencia en otras parties por ahí es que la gente
principalmente "juega", y que este tipo de concursos son tan técnicos y
requieren tanto nivel que normalmente se celebran en eventos del mismo
tipo/nivel (bh, defcon...).
el año pasado en la Xtrelan pusieron una MV (la gente de SG6) que
simulaba un servidor real, y la participación fué pequeña (demasiado
para la gente). Cómo responde la gente en la euskal? hay mucho nivel?
mucha gente?
> En cualquier caso, creo que es interesante plantearlo como proyecto
> paralelo si hay gente que se anima para montar uno... y por qué no, quizás
> podamos montar un CTF indpendientemente del Hack'It incluso fuera de la
> Euskal, ya que se puede jugar desde remoto, si os fijáis en la
> infraestructura, se monta una red virtual a base de VPN y se permite la
> participación de equipos remotos, no únicamente de equipos locales. Así
> que una cosa no quita la otra...
donde hay que firmar? :)
saludos!
txipi
On Thu, 02 Apr 2009 01:23:24 +0200
nop <n...@hackingalicia.org> wrote:
> > Nosotros (GeekPuzzle) estamos encantados de participar en lo que
> > buenamente nos sea posible, pero yo creo que la idea es que creemos
> > un grupo de coordinadores/organizadores entre todos los miembros de
> > "la comunidad Hack'It" como ha comentado Txipi. ¡La union hace la
> > fuerza! :)
> suena bien, pero entonces... quien participa? :)
La idea es pensar una forma de coordinación que no evite la
participación como concursante aunque se participe como organizador. El
año pasado esto funcionó muy bien :-)
--
Agur,
txipi
Angel Lopez
> suena bien, pero entonces... quien participa? :)
Jejeje... :D
El modelo de colaboraciones del año pasado no impidió la participación de
aquellos de nosotros que le remitimos retos a Txipi para que los incluyese
en el concurso. Así que por ese lado, ese modelo si se ve adecuado
perpetuarlo no impediría concursar y a la vez colaborar con retos.
Por otro lado, está claro que si te involucras más en el "día a día" del
concurso a nivel organizativo, es tiempo que no dedicas a resolver retos,
así que eso ya sería una decisión personal...
Me gustó mucho la idea de "soporte distribuido" que apuntó otro compañero
de la lista. Si colaboras con retos, el soporte puede estar distribuido,
de tal forma que cualquier problema con ese reto lo pueda resolver el que
ha aportado esa prueba, y que no haya que centralizar el soporte de todo
el concurso en únicamente un par de personas.
Por otro lado, un modelo de soporte distribuido podría estar apoyado por
un chat y un wiki, donde todos los que tengamos en mayor o menor medida
papeles de coordinador/organizador podamos dar soporte a los concursantes
vía chat, e ir poniendo piezas de información importantes en un wiki.
Angel Lopez
> creeis que habría nivel de participantes como para realizarlo en una
> party? mi experiencia en otras parties por ahí es que la gente
Pues creo que en la Euskal pega más un concurso tipo Hack'It, pero eso no
quita que de esta comunidad nuestra que hemos creado :) pueda salir otro
tipo de actividades más orientadas a algo como un CTF como los que os
referencio en algún otro correo. Somos muchas mentes pensantes aqui ávidas
de etse tipo de cosillas, ¿no? :)
> el año pasado en la Xtrelan pusieron una MV (la gente de SG6) que
> simulaba un servidor real, y la participación fué pequeña (demasiado
Mmmmm... ¿dónde se puede ver algo más de esto que comentas que se montó?
>> En cualquier caso, creo que es interesante plantearlo como proyecto
>> paralelo si hay gente que se anima para montar uno... y por qué no,
> donde hay que firmar? :)
Jajaja... luego pasamos la lista de firmas :D
No, en serio... podemos plantearlo como un proyecto futuro de los que
estemos por aquí y que nos apetezca a hacerlo, de forma independiente al
tema del próximo Hack'It que creo que es la prioridad que debemos
marcarnos.
Estaria bien, de cara al Hack'It, hacer una pequeña lista informal con la
gente que nos paetece colaborar, quizás diseñando un par de retos. De esta
forma sabriamos cuántos retos tendriamos cubiertos y de qué tipo
(networking, debugging, criptografia, idea-feliz, etc.)
Mmmmmm quizás nos vendría bien un wiki privado para ir consolidando ahi
informacion, ¿no? Diseño de pruebas, ideas, contacto de gente...
Un saludote.
nop
> referencio en algún otro correo. Somos muchas mentes pensantes aqui ávidas
> de etse tipo de cosillas, ¿no? :)
si, pero cuantos cuentan realmente con "algo" de tiempo para dedicarle a
esto? el ROI de estas cosas es muy bajo... :(
>> el año pasado en la Xtrelan pusieron una MV (la gente de SG6) que
>> simulaba un servidor real, y la participación fué pequeña (demasiado
>
> Mmmmm... ¿dónde se puede ver algo más de esto que comentas que se montó?
en la página de los propios de SG6 (http://www.sg6.es) te puedes
descargar SAURON (easy o hard):
http://sg6-labs.blogspot.com/2007/12/secgame-1-sauron.html
> No, en serio... podemos plantearlo como un proyecto futuro de los que
> estemos por aquí y que nos apetezca a hacerlo, de forma independiente al
> tema del próximo Hack'It que creo que es la prioridad que debemos
> marcarnos.
me parece un buen plan.
saludos!
Angel Lopez
> si, pero cuantos cuentan realmente con "algo" de tiempo para dedicarle a
> esto? el ROI de estas cosas es muy bajo... :(
Ya... pero esta es la historia de siempre, este tipo de cosas se hacen
"for fun" pero pocas veces "for profit".
Bueno... yo he dejado la idea ahí planteada... ;)
> en la página de los propios de SG6 (http://www.sg6.es) te puedes
> descargar SAURON (easy o hard):
> http://sg6-labs.blogspot.com/2007/12/secgame-1-sauron.html
¡Gracias! Voy a echarle un vistazo.
> me parece un buen plan.
Centrándonos ya en el tema del Hack'It, creo que deberiamos ir elaborando
una lista de gente que tenga intención de diseñar algún reto, indicando el
tipo del reto (idea-feliz, networking, debugging linux, debugging windows,
seguridad web, criptografia, etc.) de tal forma que se vea cuántas pruebas
tentativas podriamos tener en base a las aportaciones de la gente y de qué
tipo van a ser.
Yo por mi parte creo que podría aportar un par de pruebas, seguramente
ambas orientadas a networking, aunque si me da el venazo quizás una de
ellas sea de tipo Linux-debugging.
No sé si véis útil lo del wiki para ir consolidando ahí nuestro trabajo...
Topo[LB]
Por mi parte contar con 1 o 2 pruebas también. Este año las mandaré mas facilillas. Fue una pena con lo que me costo hacerla, que el año pasado nadie jugara el último nivel :)
Saludos,
Alfredo Beaumont
> Buenas,
>
> Por mi parte contar con 1 o 2 pruebas también. Este año las mandaré mas
> facilillas. Fue una pena con lo que me costo hacerla, que el año pasado
> nadie jugara el último nivel :)
Yo también podría hacer 1 ó 2 pruebas, del mismo estilo que la del año pasado.
Al contrario que en el caso do topo, haré un poco más complicadas, que el año
pasado no supusieron mucho quebradero de cabeza.
Aio!
Xabier Eizmendi
Y si hace falta puedo hacer más, pero no quiero agotar todas mis ideas en la Euskal y luego no tener ninguna para la Navar :P
nop
yo podría aportar creo que hasta 6 pruebas (de toda clase), aunque
acabaré por escoger 2 máx. Las otras me las puedo llevar a la Navar Xabi ;)
saludos!
Xabier Eizmendi escribió:
> dificililla, pero de las que no tienen técnicas antidebugging.
> Y si hace falta puedo hacer más, pero no quiero agotar todas mis ideas
> en la Euskal y luego no tener ninguna para la Navar :P
>
> 2009/4/4 Alfredo Beaumont <alfredo....@gmail.com
thEpOpE
ir liberando niveles cada X tiempo, es un verdadero coñazo :/ El año
pasado alguna de las "ideas felices" me hizo desesperar de mal modo.
La idea de poder hacer diferentes "secciones" de modo paralelo puede
ser interesante. Por mi parte tengo un par de pequeños retos de debug
para win en la nevera.