Hack'It de este año

[Angel Lopez]

Hola,

El grupo no es que tenga mucho movimiento que se diga... ¿a ver si animamos un poquito esto no? seguro que con los que estamos aqui apuntados tendriamos diversion para meses y meses a parte de la que ya nos damos para la semanita de la Euskal, jajaja

Bueno, al grano... estaba yo aqui pensando en preparar algún reto y me gustaria saber si este año estará abierto el Hack'It a colaboraciones externas como lo ha estado haciendo en los dos últimos años... si es así, contad con uno o quizás dos retos por mi parte... ya veremos que se me ocurre para estar al nivel.

Para cualquier otra cosa, contad conmigo por supuesto.

Un saludote.

--
Angel Lopez
http://futur3.com/
... the geeks shall inherit the Earth

--
Has recibido este mensaje porque estás suscrito al grupo "Euskal Hackit" de Grupos de Google.
Para publicar una entrada en este grupo, envía un correo electrónico a euskal...@googlegroups.com.
Para anular tu suscripción a este grupo, envía un correo electrónico a euskal-hacki...@googlegroups.com
Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/euskal-hackit?hl=es.

[txipi]

Hola,

On Mon, April 26, 2010 8:36 am, Angel Lopez wrote:
> externas como lo ha estado haciendo en los dos últimos años... si es así,
> contad con uno o quizás dos retos por mi parte... ya veremos que se me
> ocurre para estar al nivel.

Por supuesto. Ya tenemos dos niveles del grupo de marcan y cymo, y con los
dos tuyos y un poco de colaboración del resto, volveremos a tener un
hackit novedoso (son las colaboraciones las que dan un poco de vidilla :-)
).

Gracias y a ver si se anima el resto ;-)

--
Agur,
txipi

[Hey_neken]

Aupa,

El Hackit está abierto a colaboraciones externas as always ;)

Pensaba escribir hace 2 semanas para comentarlo pero por motivos
personales se ha alargado el tema.

Por un lado está el tema de las colaboraciones, que como siempre son
agradecidas y bienvenidas. Intentare conseguir compensación (aunque
sea una Burn para los niveles jartos :P) pero no sé si me dejaran.

Y por otro lado está la propuesta de cambio de sistema de Hackit. Me
han comentado varias personas que quizá sería mejor el modelo adoptado
en la "Cantabria Party".

En este 'modelo' se publican todos los niveles desde el principio y a
cada uno se le asigna una puntuación. No importa en el orden en el que
se resuelva.

Pros:
- Más vistoso
- Los wannabe pueden intentar niveles de todos los tipos y no
quedarse enfrascado en un pergamino con letras raras

Contra:
- Que tengo que currarme el sistema para ir haciendo la
clasificación online.
- Que si un grupo es muy grande se lo pueden ventilar en un abrir
y cerrar de ojos. Aquí ya seria la buena fe de cada grupo en hacerlos
pequeños (1-2-3?)

Qué opina el pueblo?

On Apr 26, 8:36 am, Angel Lopez <an...@futur3.com> wrote:
> Hola,
>
> El grupo no es que tenga mucho movimiento que se diga... ¿a ver si animamos
> un poquito esto no? seguro que con los que estamos aqui apuntados tendriamos
> diversion para meses y meses a parte de la que ya nos damos para la semanita
> de la Euskal, jajaja
>
> Bueno, al grano... estaba yo aqui pensando en preparar algún reto y me
> gustaria saber si este año estará abierto el Hack'It a colaboraciones
> externas como lo ha estado haciendo en los dos últimos años... si es así,
> contad con uno o quizás dos retos por mi parte... ya veremos que se me
> ocurre para estar al nivel.
>
> Para cualquier otra cosa, contad conmigo por supuesto.
>
> Un saludote.
>
> --

> Angel Lopezhttp://futur3.com/

[Juanan Pereira]

> El Hackit está abierto a colaboraciones externas as always ;)

Te enviamos a tí la(s) prueba(s) o a Txipi? Yo tengo una (sencillota... creo :-)

> Por un lado está el tema de las colaboraciones, que como siempre son
> agradecidas y bienvenidas. Intentare conseguir compensación (aunque
> sea una Burn para los niveles jartos :P) pero no sé si me dejaran.

En los foros de la Euskal dejé una propuesta para usar globos de
colores (de esos que se hinchan con gas), para darle más vistosidad al
HackIt! Si pasas una prueba, puedes ir a por el globo, y así sabremos
en todo momento quién ha llegado a qué prueba (a la par que le damos
publicidad y marketing al Hackit!...)

> En este 'modelo' se publican todos los niveles desde el principio y a
> cada uno se le asigna una puntuación. No importa en el orden en el que
> se resuelva.

"No guta". Me explico: los grupos grandes se pasarían las pruebas en
un tí-tá. Y adiós a la diversión.

Hay una opción intermedia que se puso en práctica en alguna edición
del HackIt!: ir liberando pruebas poco a poco. Así, los equipos
"pro", estarán satisfechos de haber pasado una prueba "jodida"
rápidamente porque les seguirá proporcionando ventaja, y los "newbies"
estarán contentos de poder probar pruebas más allá de pergaminos con
cifrado o imágenes estaganográficas del demonio "como 2 gotas de agua"
;-) Yo voto por esta opción intermedia.


--
Ongi izan,

Juanan Pereira
Hezkuntzarako Laguntza Zerbitzuko Koordinatzailea (HELAZ)
Kalitate eta Ikasketa Berrikuntzako Errektoreordetza
Gipuzkoako Campusa
juanan....@ehu.es
Euskal Herriko Unibertsitatea (EHU)
Bilboko Industria Ingeniaritza Teknikoko Unibertsitate Eskola
Tel: (943 01) 5234 / (946 01) 7419

[txipi]

Aupa!

On Fri, April 30, 2010 9:54 am, Juanan Pereira wrote:
> Te enviamos a tí la(s) prueba(s) o a Txipi? Yo tengo una (sencillota...
> creo :-)

En principio a cualquiera de los dos porque nos las reenviamos de la
misma, pero el organizador del hackit en la euskal es Hey_neken. Yo soy el
"former" ;-D

>> Por un lado está el tema de las colaboraciones, que como siempre son
>> agradecidas y bienvenidas. Intentare conseguir compensación (aunque
>> sea una Burn para los niveles jartos :P) pero no sé si me dejaran.

Me acaban de escribir del Master Universitario de Seguridad Informática
queriendo colaborar con el hackit de varias maneras (niveles, algo de
premio, charlas). Yo creo que estaría bien que enviaran unos niveles y que
colaboraran con premios no económicos al hackit (ej: un bono de libros de
Amazon o similar). Lo digo lo de no-económicos porque me parece feo que la
universidad dé pasta para hacerse promoción. Mejor que dé libros, ¿no? :-D

> En los foros de la Euskal dejé una propuesta para usar globos de
> colores (de esos que se hinchan con gas), para darle más vistosidad al
> HackIt! Si pasas una prueba, puedes ir a por el globo, y así sabremos
> en todo momento quién ha llegado a qué prueba (a la par que le damos
> publicidad y marketing al Hackit!...)

Me parece divertido y no saldría muy caro, ¿no? Comprar unos cuantos
globos verdes, azules, amarillos y rojos con números del 1 al 5 y ya
tienes para marcar los 5 primeros niveles, los 5 siguientes, etc.

>> En este 'modelo' se publican todos los niveles desde el principio y a
>> cada uno se le asigna una puntuación. No importa en el orden en el que
>> se resuelva.
> "No guta". Me explico: los grupos grandes se pasarían las pruebas en
> un tí-tá. Y adiós a la diversión.

Claro, esa es la pega, que te montas un equipo con 10 pavos y ale, 10
veces más rápido todo. La buena es que al igual que 9 madres no te hacen
un niño en un mes, 9 hackers no te hagan el hackit en 3 horas.

> Hay una opción intermedia que se puso en práctica en alguna edición
> del HackIt!: ir liberando pruebas poco a poco. Así, los equipos
> "pro", estarán satisfechos de haber pasado una prueba "jodida"
> rápidamente porque les seguirá proporcionando ventaja, y los "newbies"
> estarán contentos de poder probar pruebas más allá de pergaminos con
> cifrado o imágenes estaganográficas del demonio "como 2 gotas de agua"

A mí también me gusta más así.

El hackit tiene que ser un reto, un comecocos, no un examen en el que vas
primero a por las preguntas que menos te cuestan. Vale que jode el
bloqueo, pero yo creo que jode más llegar solo o con un par de colegas un
poquito tarde a la euskal y no tener NADA que hacer ya porque el super
grupo de hax0rz de todos los años ya se ha acabado el hackit. Un cron con
la liberación automática de los niveles permite evitar frustración, pero
dar ventaja a quien se ha pasado los niveles jodidos.

--
Agur,
txipi

[OntzA]

Hola a todos!

Pues yo llevo usando, si me acuerdo bien, el sistema de liberar todo y
poner puntuación por prueba según la dificultad desde hace 3 años en
el Hackit de la Navarparty y ha funcionado muy bien. Es más, gente que
ha participado previamente en la Euskal me ha felicitado porque les
parece mejor tener todas las pruebas desde el principio. Naturalmente
todo esto es subjetivo. Yo seguiré organizando el concurso con este
sistema. Me conozco a cierto grupo gallego que apoyará la moción,
jejeje.

Personalmente, lo que más odio del hackit es quedarme atascado en una
prueba sin poder ver las siguientes. Para mí el objetivo no es ganar,
sino divertirme, resolver pruebas, aprender. El año pasado, según
tengo entendido, se formó un grupo grande porque se estaban quedando
atascados en una prueba y decidieron juntar sus mentes. Luego llegaron
hasta el final en un plis plas. Con el sistema de puntos no se habrían
juntado.

En cuanto a colaboración, tengo un par de ideas que tengo que
implementer. Una de ellas es de esteganografía (¡mis favoritas!).
¿Cuándo es la fecha límite para entregar pruebas?

> juanan.pere...@ehu.es

[Hey_neken]

On Apr 30, 10:17 am, OntzA <xeizme...@gmail.com> wrote:
> Hola a todos!

>
> En cuanto a colaboración, tengo un par de ideas que tengo que
> implementer. Una de ellas es de esteganografía (¡mis favoritas!).
> ¿Cuándo es la fecha límite para entregar pruebas?

No lo dejes para el último día, pero unos 15 días para ordenar las
pruebas estaría bien

[Hey_neken]

On Apr 30, 10:06 am, "txipi" <tx...@sindominio.net> wrote:
> Aupa!
>
> On Fri, April 30, 2010 9:54 am, Juanan Pereira wrote:
> > Te enviamos a tí la(s) prueba(s) o a Txipi? Yo tengo una (sencillota...
> > creo :-)
>
> En principio a cualquiera de los dos porque nos las reenviamos de la
> misma, pero el organizador del hackit en la euskal es Hey_neken. Yo soy el
> "former" ;-D

Con enviarmelso a mi suficiente. Si nos enviais a los 2 txipi se
entera de vuestras jartadas y sera un hombre mas feliz ;)

>
> >> Por un lado está el tema de las colaboraciones, que como siempre son
> >> agradecidas y bienvenidas. Intentare conseguir compensación (aunque
> >> sea una Burn para los niveles jartos :P) pero no sé si me dejaran.
>
> Me acaban de escribir del Master Universitario de Seguridad Informática
> queriendo colaborar con el hackit de varias maneras (niveles, algo de
> premio, charlas). Yo creo que estaría bien que enviaran unos niveles y que
> colaboraran con premios no económicos al hackit (ej: un bono de libros de
> Amazon o similar). Lo digo lo de no-económicos porque me parece feo que la
> universidad dé pasta para hacerse promoción. Mejor que dé libros, ¿no? :-D

El tema de enviar niveles perfecto! Sobre los otros modos de
colaboración si tienen alguna propuesta medio clara que contacten
conmigo.

>
> > En los foros de la Euskal dejé una propuesta para usar globos de
> > colores (de esos que se hinchan con gas), para darle más vistosidad al
> > HackIt! Si pasas una prueba, puedes ir a por el globo, y así sabremos
> > en todo momento quién ha llegado a qué prueba (a la par que le damos
> > publicidad y marketing al Hackit!...)
>
> Me parece divertido y no saldría muy caro, ¿no? Comprar unos cuantos
> globos verdes, azules, amarillos y rojos con números del 1 al 5 y ya
> tienes para marcar los 5 primeros niveles, los 5 siguientes, etc.

A mi me da miedo la gente robando globos para hackear sus voces con el
helio.

[OntzA]

A ver si es verdad y este año no se quedan las cosas para el último
día ;)

[Iosu Lezaun]

Otra posible opción es que cada grupo acceda a 2 niveles a la vez.

Me explico, cada grupo tiene acceso a dos niveles. Cuando se pasa un nivel se le libera el siguiente que tenga bloqueado.

ventajas:
Nadie se queda atascado en un nivel concreto.
No esta todo libre para todos y no se puede pasar todo en paralelo.

desventajas:
hay que implementarlo.

No se si se podría adaptar alguna implementación de otros años. Yo al igual que la mayoría no tengo tiempo para hacerlo, así que se haga lo que se haga no me quejaré.

[Hector Martin]

On 04/30/2010 10:57 AM, Iosu Lezaun wrote:
> Otra posible opción es que cada grupo acceda a 2 niveles a la vez.

Me gusta esta idea.

Yo estuve en el grupo ganador el año pasado, al que me uní durante el
nivel "cabroncete" (antes tiraba por libre), y este año iré con ellos
desde el principio. Con el sistema actual no creo que sea injusto que
los grupos sean un poco grandes, al no poder "paralelizar" los
problemas. El único tema un poco puntiagudo es que varios de los
miembros contribuyeron niveles, pero nuestra política interna es que el
contribuyente se abstiene de ayudar a resolver el nivel (p.ej. yo me lo
pasé bomba resolviendo el último nivel, enviado por Topo[LB]).

Personalmente creo que el quedarse "atascado" en un nivel es parte de la
diversión del hackit. Sí, es frustrante, pero precisamente es esa
tensión la que le añade el puntillo al tema :-).

Me gusta la idea de liberar dos niveles, para reducir un poco la tensión
y dar tiempo a resolver a los atascos. La pregunta es cómo se puntúa. Yo
veo dos o tres opciones:

a) Por número de niveles resuelto
Si te saltas un nivel pierdes el "lookahead" de un nivel pero sólo
pierdes un nivel de cara a la puntuación final. Por lo tanto sería
posible ganar el hack-it haciendo dos niveles más por delante del
siguiente grupo en la clasificación, habiéndote saltado un nivel anterior.

Hay dos variantes:

a1)En caso de empate con nivel saltado gana el grupo cuyo nivel saltado
sea posterior.

Ejemplo: de clasificación:
1º) L1, L2, L3, L4, L5
2º) L1, L2, L3, L5, L6
3º) L1, L2, L3, L5
4º) L1, L3, L4, L5
5º) L1, L2, L3, L4

a2)En caso de empate con nivel saltado gana el grupo cuyo nivel saltado
sea anterior. Esto puede parecer al revés, pero la lógica es que ese
nivel se supone que es mas fácil y por lo tanto de menos valor.

Ejemplo: de clasificación:
1º) L1, L2, L3, L4, L5
2º) L1, L2, L3, L5, L6
3º) L1, L3, L4, L5
4º) L1, L2, L3, L5
5º) L1, L2, L3, L4

b) Por mínimo nivel sin resolver
Con este sistema simplemente ganas en poder "adelantar" otros niveles
durante un atasco, pero no te libras nunca de tener que resolverlo, pues
si no lo haces echarías a perder todo tu trabajo posterior.

Ejemplo: de clasificación:
1º) L1, L2, L3, L4, L5
2º) L1, L2, L3, L4
3º) L1, L2, L3, L5, L6
4º) L1, L2, L3, L5
5º) L1, L3, L4, L5

c) Algún sistema intermedio por puntuación.
Algo así como que los niveles tengan un valor y los post-salto tengan un
valor reducido, por lo que tendrías una desventaja considerable (pero no
absoluta) si te saltas un nivel.

Ejemplo: 10 puntos por nivel presalto, 5 por nivel postsalto, en caso de
empate ventaja al nivel superior (saltando o no):
1º) L1, L2, L3, L4, L5 = 50
2º) L1, L2, L3, L5, L6 = 40
3º) L1, L2, L3, L4 = 40
4º) L1, L2, L3, L5 = 35
5º) L1, L3, L4, L5 = 25

A mi me gusta la opción b), o quizás la c) si se implementa bien.
Lógicamente la estrategia del juego cambia en cada caso.

No tengo tan claro lo de liberar todos los niveles y asignar puntuación.
Además del lío que puede suponer implementarlo bien (básicamente es como
lo que he expuesto arriba pero elevado a N posibles niveles saltados),
creo que ayudaría demasiado a los grupos veteranos / hard-core (grandes
o pequeños). Como parte de un grupo mas o menos de este tipo, creo que
buena parte de la gracia es quedarse atascado en un nivel de los
primeros, con la posibilidad de que un grupo mucho mas novato tenga el
"clic" mental y lo resuelva antes que tu. Es un gran ecualizador. Si los
niveles van puntuando por dificultad, pues me iría a los "chungos" que
para mí son pan comido (por experiencia en esos temas, p.ej. los típicos
exes que comprueban una contraseña que me suelo ventilar rápido con IDA,
o alguno de arquitectura rara/RISC que conozca, o lo que sea) y pierde
la gracia de atascarse en un nivel de jeroglíficos que perfectamente
podría resolver alguien con pocos conocimientos de programación.

--
Hector Martin (hec...@marcansoft.com)
Public Key: http://www.marcansoft.com/marcan.asc

[Iosu Lezaun]

La forma más sencilla de evaluarlo es dar X puntos a cada nivel (puede ser 1 punto o pueden ser varios en función de la dificultad, en la navar se hizo así). Y en caso de empate el que antes haya conseguido ese número de puntos gana.

[OntzA]

Desde mi punto de vista, la solución a que el sistema de puntuación
tenga sentido es que los niveles últimos no sean casi todos de tipo
cracking. Se pueden hacer cosas complicadas de resolver y que ganes
una puntuación alta, sin que por ello estés tanto ventaja a la gente
con más experiencia. Si las pruebas son originales entonces consigues
eso.
Además que la puntuación que se le da a cada nivel es totalmente
subjetiva. Lo que para mí es difícil para otro puede ser fácil y vice
versa.

Y si hace falta una web que tenga puntuaciones yo tengo mi sistema
montado ya. Es bastante rudimentario... pero bueno. Programado en
python con web2py como framework.

> > euskal-hacki...@googlegroups.com<euskal-hackit%2Bunsubscribe@goog legroups.com>

> > Para tener acceso a más opciones, visita el grupo en
> >http://groups.google.com/group/euskal-hackit?hl=es.
>
> --
> Has recibido este mensaje porque estás suscrito al grupo "Euskal Hackit" de Grupos de Google.
> Para publicar una entrada en este grupo, envía un correo electrónico a euskal...@googlegroups.com.
> Para anular tu suscripción a este grupo, envía un correo electrónico a euskal-hacki...@googlegroups.com

> Para tener acceso a más opciones, visita el grupo enhttp://groups.google.com/group/euskal-hackit?hl=es.

[Topo[LB]]

Aupa!

Mi voto para la opción intermedia de 2 niveles concurrentes, o liberación por tiempo. Lo de los globos me parece una idea brutal. Tendría también el efecto de los trofeos de ps3 o los logros XBox :)

El tema de los regalitos tipo libros y demás es buena tb. Yo aún guardo la Suse Linux que nos dieron en el hackit de la Euskal de Vitoria :) Alternativamente tb podría ser algo mas friki que libros, como un kit lector/grabador RFID o un robot hexadopodo (esto mejor para el rtb :D )... ya se me va la pinza... sera cosa del viernes

Saludos,

  topolb

2010/4/30 Iosu Lezaun <iosu...@gmail.com>

[Román]

Hola,

Lo siento, pero no puedo estar más en desacuerdo con todo lo que se
ha dicho en este hilo (excepto con lo comentado por Ontza ;-). Es
cierto que si se liberan todas las pruebas de golpe, los grupos
"poblados" tendrían mucha ventaja... Y mi pregunta es: ¿y qué? Los
equipos numerosos siempre tendrán ventaja. Si os preocupa que haya
agrupaciones grandes, poned una norma en contra de ello (un amigo mío
opina que poner normas en un concurso de cracking no tiene ni pies ni
cabeza; yo no soy de la misma opinión, pero, en cualquier caso, no
podréis estar seguros nunca de que cierto tipo de reglas se cumplen).
La mejor lucha en contra de los equipos grandes es su propia
desventaja: si gana uno de ellos, la pasta que se lleva cada
integrante es una cantidad pequeña.

Las formas que proponéis para luchar contra ello y, de hecho,
cualquier forma que se os ocurra, consistirá en "ecualizar" el
concurso, es decir, en volver el concurso MENOS JUSTO, en aleatorizar
más el resultado final. Y es más, lo que sí veo es que el hecho de
limitar el acceso a una o dos pruebas perjudica a los equipos
pequeños, de una o dos personas, más que a nadie (y para muestra, un
botón: el año pasado, la gente se unió para poder superar los
bloqueos, hasta el punto de que el equipo ganador fue de cuatro o
cinco personas).
Dejando la modestia de lado, yo he ganado varias pruebas por España
adelante (NXConecta -equipo de dos-, Arroutada -solo-, NavarParty -dos
equipos de dos, que nos unimos en uno solo de cuatro para no avasallar
y copar los premios-), y quedé tercero en la RootedCon -concursando
solo-. No pretendo presumir. Sé que hay un montón de gente mejor que
yo, especialmente en ingeniería inversa de binarios, donde soy
bastante paquete. Pero menciono todo esto para que os hagáis una idea
de mi nivel.
A la Euskal del año pasado acudí única y exclusivamente por el
concurso de seguridad. Fui solo, y me quedé completamente atascado en
la prueba 3, a pesar de que a los cinco minutos ya sabía lo que había
que hacer. Por un descuido estúpido por mi parte, no conseguí pasar el
nivel, y estuve probando ideas distintas, por si me había confundido
en el enfoque, a cada cual más descabellada, durante las treinta y
pico horas siguientes, hasta que HeyNeken por fin se pasó por mi sitio
y me dio la "colleja moral" que me hacía falta. Ya estaba
completamente fuera del concurso, pero aún así tenía la intención de
tratar de recuperar el tiempo perdido, para, al menos, divertirme un
poco. Cual fue mi "agradable" sorpresa cuando la prueba siguiente era
UN PUTO ATAQUE DE FUERZA BRUTA, en el que seguir tirando y malgastando
el tiempo mientras lo único que podía hacer era rascarme las, *ejem*,
narices. Al final, empezaron a liberar niveles, así que pude llegar
hasta el siete mientras seguía ejecutándose el ataque del nivel 4.
Huelga decir que me "divertí" un montón, vaya.
Además, si hay algo que me gusta en este tipo de retos, es poder
estar a varias pruebas a la vez. Quien me conoce ya sabe que estoy
disperso en tres pruebas como mínimo, porque es como me funciona el
melón este que tengo por cabeza. Así que la Euskal, para mí, fue el
peor reto hacking en el que he estado.
Tan quemado me quedé que, en el discurso de la entrega de premios de
la Rooted, tras agradecer a la organización el gran trabajo que habían
hecho, puse a parir el sistema de competición de la Euskal.

En fin, iba a seguir disertando "fuera del recipiente", pero creo que
mi opinión ya ha quedado clara. Ya continuaremos discutiendo cuando me
contestéis, y en concreto, sobre el sistema de competición que me
parece más adecuado.
Por cierto, si necesitáis un motor para el concurso que funcione de
otra forma, hablad con Ontza, con Gesteiro, o con los de la Rooted. No
creo que ninguno de ellos tenga problemas en prestároslo, o al menos,
en discutir sobre ello: seguro que os dan un par de ideas buenas. Y
tenéis dónde escoger: alguno está hecho en python, otro en php, etc.

Un saludo, y perdón por la parrafada.

Román

[Alfredo Beaumont]

>  Lo siento, pero no puedo estar más en desacuerdo con todo lo que se
> ha dicho en este hilo (excepto con lo comentado por Ontza ;-). Es
> cierto que si se liberan todas las pruebas de golpe, los grupos
> "poblados" tendrían mucha ventaja... Y mi pregunta es: ¿y qué? Los
> equipos numerosos siempre tendrán ventaja. Si os preocupa que haya
> agrupaciones grandes, poned una norma en contra de ello (un amigo mío
> opina que poner normas en un concurso de cracking no tiene ni pies ni
> cabeza; yo no soy de la misma opinión, pero, en cualquier caso, no
> podréis estar seguros nunca de que cierto tipo de reglas se cumplen).

Precisamente, aplicando la misma lógica, no tiene sentido en un
concurso tipo hackit que se 'liberen' pruebas si no has conseguido
liberarlas. En mi opinión, lo más razonable es hacer las pruebas
secuenciales, todo lo demás es premiar tretas (grupos más grandes,
etc.).

Creo que la solución que ya se ha realizado en otras ediciones de
pasado un tiempo liberar niveles, así no nos aburrimos si nos quedamos
atascados, pero tampoco lo dejamos al de 5' y nos ponemos a otra cosa.

Al fin y al cabo, el hackit es un desafío, y si vamos suavizando los
requerimientos al final pierde toda la gracia. Parece que se quiere
seguir el mismo proceso que con los videojuegos: en el mario bros te
tenías que pasar el juego de principio a fin con 3 vidas y
malabarismos de muñeca, hoy en día puedes salvar el juego en cualquier
momento, tienes pseudo vidas infinitas, y te puedes pasar los niveles
con los ojos cerrados.
Seguramente la versión original causaba mayor frustración, pero
también mayor interés.

> La mejor lucha en contra de los equipos grandes es su propia
> desventaja: si gana uno de ellos, la pasta que se lleva cada
> integrante es una cantidad pequeña.

Creo que el premio es lo suficientemente ridículo (sin ánimo de
ofender) como para que no sea la motivación principal del concurso, ni
parte relevante en la decisión de ampliar o reducir el grupo.

>  A la Euskal del año pasado acudí única y exclusivamente por el
> concurso de seguridad. Fui solo, y me quedé completamente atascado en
> la prueba 3, a pesar de que a los cinco minutos ya sabía lo que había
> que hacer. Por un descuido estúpido por mi parte, no conseguí pasar el
> nivel, y estuve probando ideas distintas, por si me había confundido
> en el enfoque, a cada cual más descabellada, durante las treinta y
> pico horas siguientes, hasta que HeyNeken por fin se pasó por mi sitio
> y me dio la "colleja moral" que me hacía falta. Ya estaba
> completamente fuera del concurso, pero aún así tenía la intención de
> tratar de recuperar el tiempo perdido, para, al menos, divertirme un
> poco. Cual fue mi "agradable" sorpresa cuando la prueba siguiente era
> UN PUTO ATAQUE DE FUERZA BRUTA, en el que seguir tirando y malgastando
> el tiempo mientras lo único que podía hacer era rascarme las, *ejem*,
> narices. Al final, empezaron a liberar niveles, así que pude llegar
> hasta el siete mientras seguía ejecutándose el ataque del nivel 4.
> Huelga decir que me "divertí" un montón, vaya.

Creo que todos hemos estado en esta situación, para mí es una parte
fundamental del concurso.

Un saludo

[Hector Martin]

> La mejor lucha en contra de los equipos grandes es su propia
> desventaja: si gana uno de ellos, la pasta que se lleva cada
> integrante es una cantidad pequeña.

No creo que ese sea un buen argumento. A mucha gente le importa mas
participar y ganar simplemente por que sí, no por el dinero.

> Las formas que proponéis para luchar contra ello y, de hecho,
> cualquier forma que se os ocurra, consistirá en "ecualizar" el
> concurso, es decir, en volver el concurso MENOS JUSTO, en aleatorizar
> más el resultado final. Y es más, lo que sí veo es que el hecho de
> limitar el acceso a una o dos pruebas perjudica a los equipos
> pequeños, de una o dos personas, más que a nadie (y para muestra, un
> botón: el año pasado, la gente se unió para poder superar los
> bloqueos, hasta el punto de que el equipo ganador fue de cuatro o
> cinco personas).

No puedes para nada negar que el paralelismo que obtienes si te juntas
con gente a resolver varios niveles a la vez es mucha mayor ventaja que
el mero hecho de tener varias personas en un sólo nivel. Si se liberan
todos los niveles a la vez, vale, el grupo pequeño se saltará el nivel
bloqueo, pero el grupo grande se ventilará el resto 3 o 4 veces mas
rápido. No compensa.

> A la Euskal del año pasado acudí única y exclusivamente por el
> concurso de seguridad. Fui solo, y me quedé completamente atascado en
> la prueba 3, a pesar de que a los cinco minutos ya sabía lo que había
> que hacer. Por un descuido estúpido por mi parte, no conseguí pasar el
> nivel, y estuve probando ideas distintas, por si me había confundido
> en el enfoque, a cada cual más descabellada, durante las treinta y
> pico horas siguientes, hasta que HeyNeken por fin se pasó por mi sitio
> y me dio la "colleja moral" que me hacía falta.

Sinceramente no creo que la prueba 3 sea de treinta y pico horas, sobre
todo no una vez sabiendo lo del user agent (que supongo es a lo que te
refieres). Para nosotros fue simplemente probar en masa una lista de
user agents conocidos. Vale que te atasques una hora o dos, pero treinta
y pico no lo veo. La única queja que le puedo poner a ese nivel es que
sólo admita un user agent específico, byte a byte, de los tres o cuatro
que mas o menos serían aceptables. Lo suyo hubiera sido admitir
cualquiera que contenga la palabra clave relevante. Pero vamos, el
user-agent aceptado estaba en todas las listas típicas, así que no era
imposible ni de lejos. Hacer niveles del hack-it es un arte difícil.

> Ya estaba
> completamente fuera del concurso, pero aún así tenía la intención de
> tratar de recuperar el tiempo perdido, para, al menos, divertirme un

> Cual fue mi "agradable" sorpresa cuando la prueba siguiente era
> UN PUTO ATAQUE DE FUERZA BRUTA, en el que seguir tirando y malgastando
> el tiempo mientras lo único que podía hacer era rascarme las, *ejem*,
> narices.

¿Fuerza bruta? Es un ataque de diccionario normal y corriente.
Haciéndolo de forma poco eficiente (función crypt() a pelo con un
programa de 10 líneas):

marcansoft@raider:~/euskal/ek17/hackit$ time ./decrypt < spanish.txt
zooplancton

real 7m53.594s
user 7m47.750s
sys 0m0.946s

8 minutos contados. 4 si partes la lista en dos y lanzas dos en
paralelo, que ahora todos tenemos dual cores. Vale que te tires una hora
entre que escribes el programa y pruebas un par de diccionarios, pero
vamos, el ataque en sí tiene una duración muy razonable.

La descripción del nivel lo decía: hay que pensar un poco. Es de cajón
que ningún tipo de ataque del hack-it va a tardar más de una hora en
ejecutarse. Si tu método tarda demasiado, tiene que ser incorrecto por
definición.

> Además, si hay algo que me gusta en este tipo de retos, es poder
> estar a varias pruebas a la vez. Quien me conoce ya sabe que estoy
> disperso en tres pruebas como mínimo, porque es como me funciona el
> melón este que tengo por cabeza. Así que la Euskal, para mí, fue el
> peor reto hacking en el que he estado.

No todos funcionamos así ;)

> Tan quemado me quedé que, en el discurso de la entrega de premios de
> la Rooted, tras agradecer a la organización el gran trabajo que habían
> hecho, puse a parir el sistema de competición de la Euskal.

No me parece que esa actitud sea muy adecuada. ¿No se te ha ocurrido, no
se, comentarlo en esta lista?

Mi impresión es que sencillamente estás acostumbrado a pruebas de otro
estilo, donde puedes elegir los niveles que te gusten y saltarte los
chungos para ti. Estás quemado porque la Euskal no funciona así y te
pegaste el batacazo, y te jode porque en otro tipo de competiciones has
puntuado mejor.

Yo insisto en que liberar dos niveles es lo suyo y propio para reducir
este tipo de quejas. Así los que se atasquen en un nivel tienen algo de
juego y posibilidad de "aparcar" el nivel problemático mientras se
resuelven los demás, mientras se evita que los grupos grandes
paralelicen demasiado. Personalmente me iría a por la opción de que la
puntuación sea como ahora, es decir, que si te atascas en un nivel
tienes que resolverlo para puntuar en los siguientes, pero por lo menos
el liberar dos te permite trabajar en ellos mientras resuelves el
problemático.

Lo que no tiene sentido es liberar todo y hacer un concurso de "escoge
tus propios niveles". La gracia es tener que resolverlos todos, sí o sí,
y tener que comerte el coco para avanzar en algunos. Si sólo te vas a
por los que tienen una solución clara o evidente para ti, ni aprendes ni
(en mi opinión) te diviertes.

--
Hector Martin (hec...@marcansoft.com)
Public Key: http://www.marcansoft.com/marcan.asc

[Román]

El día 3 de mayo de 2010 12:39, Alfredo Beaumont
<alfredo....@gmail.com> escribió:

>>  Lo siento, pero no puedo estar más en desacuerdo con todo lo que se
>> ha dicho en este hilo (excepto con lo comentado por Ontza ;-). Es
>> cierto que si se liberan todas las pruebas de golpe, los grupos
>> "poblados" tendrían mucha ventaja... Y mi pregunta es: ¿y qué? Los
>> equipos numerosos siempre tendrán ventaja. Si os preocupa que haya
>> agrupaciones grandes, poned una norma en contra de ello (un amigo mío
>> opina que poner normas en un concurso de cracking no tiene ni pies ni
>> cabeza; yo no soy de la misma opinión, pero, en cualquier caso, no
>> podréis estar seguros nunca de que cierto tipo de reglas se cumplen).
>
> Precisamente, aplicando la misma lógica, no tiene sentido en un
> concurso tipo hackit que se 'liberen' pruebas si no has conseguido
> liberarlas. En mi opinión, lo más razonable es hacer las pruebas
> secuenciales, todo lo demás es premiar tretas (grupos más grandes,
> etc.).

Hola,

Igual es que estoy espeso a estas horas de la tarde, pero no veo la
relación. Agradecería una explicación de dónde se usa "la misma
lógica".
Por otra parte, en un escenario más "real", como podría ser realizar
un test de penetración a un sistema, lo normal es que tengas seis o
siete frentes abiertos al mismo tiempo, mientras estudias hasta dónde
llega la madriguera de conejo en cada uno de ellos. Así que no termino
de ver por qué no tiene sentido que, en un concurso de este tipo, no
haya un mínimo de seis o siete pruebas a disposición de los
participantes.
Y ya he dicho que a mí me parece que los grupos grandes se ven igual
de beneficiados -si no más- por el hecho de que el concurso sea
secuencial.

> Creo que la solución que ya se ha realizado en otras ediciones de
> pasado un tiempo liberar niveles, así no nos aburrimos si nos quedamos
> atascados, pero tampoco lo dejamos al de 5' y nos ponemos a otra cosa.
>

Sí, como lo bien que me lo pasé yo el año pasado. No lo dejé a los
cinco minutos. Ni siquiera a las treinta horas. Pero hasta el último
día, si no recuerdo mal, no se empezaron a liberar niveles. No sé,
creí que en mi crítica había dejado claro que el hecho de que fuese un
puñetero coñazo era uno de los argumentos principales, pero como no ha
sido así, insisto en el tema.

> Al fin y al cabo, el hackit es un desafío, y si vamos suavizando los
> requerimientos al final pierde toda la gracia. Parece que se quiere
> seguir el mismo proceso que con los videojuegos: en el mario bros te
> tenías que pasar el juego de principio a fin con 3 vidas y
> malabarismos de muñeca, hoy en día puedes salvar el juego en cualquier
> momento, tienes pseudo vidas infinitas, y te puedes pasar los niveles
> con los ojos cerrados.
> Seguramente la versión original causaba mayor frustración, pero
> también mayor interés.
>

Aquí tampoco veo la relación. En un videojuego se supone que tienes
un tiempo más o menos amplio para disfrutar de él. En un hack-it de un
fin de semana, una vez que ha terminado dicho periodo, ya no puedes
seguir con los niveles superiores. Y vayan mis disculpas por delante
si me equivoco, pero si bien en otros desafíos, pasados unos días,
cuelgan el concurso en internet, en el caso de la Euskal, hasta donde
yo sé, no ha sido así.

>> La mejor lucha en contra de los equipos grandes es su propia
>> desventaja: si gana uno de ellos, la pasta que se lleva cada
>> integrante es una cantidad pequeña.
>
> Creo que el premio es lo suficientemente ridículo (sin ánimo de
> ofender) como para que no sea la motivación principal del concurso, ni
> parte relevante en la decisión de ampliar o reducir el grupo.
>

Más a mi favor. Si el premio no es la motivación para que la gente se
"arrejunte", ¿cuál queda, entonces?

>>  A la Euskal del año pasado acudí única y exclusivamente por el
>> concurso de seguridad. Fui solo, y me quedé completamente atascado en
>> la prueba 3, a pesar de que a los cinco minutos ya sabía lo que había
>> que hacer. Por un descuido estúpido por mi parte, no conseguí pasar el
>> nivel, y estuve probando ideas distintas, por si me había confundido
>> en el enfoque, a cada cual más descabellada, durante las treinta y
>> pico horas siguientes, hasta que HeyNeken por fin se pasó por mi sitio
>> y me dio la "colleja moral" que me hacía falta. Ya estaba
>> completamente fuera del concurso, pero aún así tenía la intención de
>> tratar de recuperar el tiempo perdido, para, al menos, divertirme un
>> poco. Cual fue mi "agradable" sorpresa cuando la prueba siguiente era
>> UN PUTO ATAQUE DE FUERZA BRUTA, en el que seguir tirando y malgastando
>> el tiempo mientras lo único que podía hacer era rascarme las, *ejem*,
>> narices. Al final, empezaron a liberar niveles, así que pude llegar
>> hasta el siete mientras seguía ejecutándose el ataque del nivel 4.
>> Huelga decir que me "divertí" un montón, vaya.
>
> Creo que todos hemos estado en esta situación, para mí es una parte
> fundamental del concurso.
>

Para mí también es divertido darse de cabezazos contra un muro hasta
que te das cuenta de que la puerta estaba diez centímetros a la
derecha... pero no durante más de treinta horas, sin tener ningún otro
muro al que acudir a partirme otra parte de la crisma. Lo siento, pero
creo que tener alternativas es muy beneficioso para TODOS los
concursantes.

Y si al final no consigo convenceros de lo "malvado" del sistema de
juego secuencial, al menos me gustaría sugerir que le echéis un
vistazo al sistema que se emplea en la party de Castellón, con
liberación de pistas por tiempo, y puntuación en concordancia. Sigue
siendo malo, pero un mal menor, en comparación.

> Un saludo
>

Si algo de mi mensaje ha parecido llevar cierta acritud, lo siento;
desde luego no era mi intención. Pero creo importante dejar bien
claros mis argumentos, ya que este año tengo la intención de volver a
asistir, y sinceramente, me gustaría poder disfrutar un poco.

Un saludo.

Román

[txipi]

Aupa!

On Mon, May 3, 2010 5:37 pm, Román wrote:
> si me equivoco, pero si bien en otros desafíos, pasados unos días,
> cuelgan el concurso en internet, en el caso de la Euskal, hasta donde
> yo sé, no ha sido así.

http://hackit.txipinet.com

--
Agur,
txipi

[Hector Martin]

On 05/03/2010 05:37 PM, Román wrote:
> Sí, como lo bien que me lo pasé yo el año pasado. No lo dejé a los
> cinco minutos. Ni siquiera a las treinta horas. Pero hasta el último
> día, si no recuerdo mal, no se empezaron a liberar niveles. No sé,
> creí que en mi crítica había dejado claro que el hecho de que fuese un
> puñetero coñazo era uno de los argumentos principales, pero como no ha
> sido así, insisto en el tema.

Creo que simplemente discrepamos fundamentalmente sobre lo que es y no
es el hack-it de la Euskal. Para ti, la idea es resolver retos claros
donde simplemente haya que aplicar habilidades técnicas (que puedes
adquirir en el momento si fuera necesario). Para mí y aparentemente para
mas gente, una de las cosas que hacen que los retos de la Euskal sean
distintos y divertidos es la existencia de niveles con una solución
sencilla pero que te obligan a pensar y buscar, comiéndote la cabeza
(además de los retos puramente técnicos). Además, la gracia es que en
estos retos los que tenemos mas conocimientos técnicos hasta podemos
estar en desventaja contra un completo novato, al perder demasiado
tiempo con paranoias técnicas raras en lugar de ver la solución inocente
y fácil.

> Aquí tampoco veo la relación. En un videojuego se supone que tienes
> un tiempo más o menos amplio para disfrutar de él. En un hack-it de un
> fin de semana, una vez que ha terminado dicho periodo, ya no puedes
> seguir con los niveles superiores. Y vayan mis disculpas por delante
> si me equivoco, pero si bien en otros desafíos, pasados unos días,
> cuelgan el concurso en internet, en el caso de la Euskal, hasta donde
> yo sé, no ha sido así.

Se dijo que ese año pensaban usarlos para la party en México, y que por
ello no los liberarían hasta pasada esa party. Discrepo con esa
decisión, pero en cualquier caso los niveles sí se terminaron por colgar:
http://hackit2009.txipinet.com/levels.html

> Más a mi favor. Si el premio no es la motivación para que la gente se
> "arrejunte", ¿cuál queda, entonces?

Si se liberan todos a la vez, pasarse los niveles a toda hostia y ganar,
obviamente. La ventaja de tener varios niveles disponibles es mas o
menos O(n-x) para un grupo pequeño, pero O(n/x) para un grupo grande,
donde n es el número de niveles y x los que se liberan a la vez.

> Para mí también es divertido darse de cabezazos contra un muro hasta
> que te das cuenta de que la puerta estaba diez centímetros a la
> derecha... pero no durante más de treinta horas, sin tener ningún otro
> muro al que acudir a partirme otra parte de la crisma. Lo siento, pero
> creo que tener alternativas es muy beneficioso para TODOS los
> concursantes.

Para eso está lo de liberar dos niveles a la vez. Eso te da UNA
alternativa, que creo que es más que suficiente. Si te das cabezazos
contra los dos muros, pues macho, quizás debas dedicarte a otra cosa ;)

> Si algo de mi mensaje ha parecido llevar cierta acritud, lo siento;
> desde luego no era mi intención. Pero creo importante dejar bien
> claros mis argumentos, ya que este año tengo la intención de volver a
> asistir, y sinceramente, me gustaría poder disfrutar un poco.

Te doy permiso para quejarte todo lo que quieras si te atascas en uno de
los dos/tres niveles que voy a mandar. ;)

--
Hector Martin (hec...@marcansoft.com)
Public Key: http://www.marcansoft.com/marcan.asc

[Román]

Hola, Héctor,

Lo primero, se agradece la respuesta, porque expones razonamientos
interesantes ;-).

El día 3 de mayo de 2010 17:36, Hector Martin <hec...@marcansoft.com> escribió:
>> La mejor lucha en contra de los equipos grandes es su propia
>> desventaja: si gana uno de ellos, la pasta que se lleva cada
>> integrante es una cantidad pequeña.
>
> No creo que ese sea un buen argumento. A mucha gente le importa mas
> participar y ganar simplemente por que sí, no por el dinero.
>

Bien, pero entonces, ¿por qué habrían de crearse grupos grandes?
¿cuál sería la motivación, realmente?

>>  Las formas que proponéis para luchar contra ello y, de hecho,
>> cualquier forma que se os ocurra, consistirá en "ecualizar" el
>> concurso, es decir, en volver el concurso MENOS JUSTO, en aleatorizar
>> más el resultado final. Y es más, lo que sí veo es que el hecho de
>> limitar el acceso a una o dos pruebas perjudica a los equipos
>> pequeños, de una o dos personas, más que a nadie (y para muestra, un
>> botón: el año pasado, la gente se unió para poder superar los
>> bloqueos, hasta el punto de que el equipo ganador fue de cuatro o
>> cinco personas).
>
> No puedes para nada negar que el paralelismo que obtienes si te juntas
> con gente a resolver varios niveles a la vez es mucha mayor ventaja que
> el mero hecho de tener varias personas en un sólo nivel. Si se liberan
> todos los niveles a la vez, vale, el grupo pequeño se saltará el nivel
> bloqueo, pero el grupo grande se ventilará el resto 3 o 4 veces mas
> rápido. No compensa.
>

No niego que tener a varias personas trabajando en distintos niveles
es una ventaja. Sólo digo que si montas el concurso de forma
secuencial, es muy improbable que un grupo grande se bloquee, ya que
son N personas que pueden caer de la burra, y sin embargo, sí es más
fácil que una sola persona, o un equipo de dos, se quede totalmente
estancado en un nivel. Así que no me parece mejor solución.
En cambio, sí me has hecho pensar en que hacer el concurso de nivel
en nivel no es precisamente "ecualizar".

>>  A la Euskal del año pasado acudí única y exclusivamente por el
>> concurso de seguridad. Fui solo, y me quedé completamente atascado en
>> la prueba 3, a pesar de que a los cinco minutos ya sabía lo que había
>> que hacer. Por un descuido estúpido por mi parte, no conseguí pasar el
>> nivel, y estuve probando ideas distintas, por si me había confundido
>> en el enfoque, a cada cual más descabellada, durante las treinta y
>> pico horas siguientes, hasta que HeyNeken por fin se pasó por mi sitio
>> y me dio la "colleja moral" que me hacía falta.
>
> Sinceramente no creo que la prueba 3 sea de treinta y pico horas, sobre
> todo no una vez sabiendo lo del user agent (que supongo es a lo que te
> refieres). Para nosotros fue simplemente probar en masa una lista de
> user agents conocidos. Vale que te atasques una hora o dos, pero treinta
> y pico no lo veo. La única queja que le puedo poner a ese nivel es que
> sólo admita un user agent específico, byte a byte, de los tres o cuatro
> que mas o menos serían aceptables. Lo suyo hubiera sido admitir
> cualquiera que contenga la palabra clave relevante. Pero vamos, el
> user-agent aceptado estaba en todas las listas típicas, así que no era
> imposible ni de lejos. Hacer niveles del hack-it es un arte difícil.
>

Desde luego que no es un nivel de treinta y pico horas. Pero, que
quieres que te diga, tuve muy mala suerte. Las listas de User-agents
típicos que yo encontré y usé debían estar desfasadas. Como lo estaba
la versión de la extensión "user-agent switcher" que tenía instalada
en firefox, que no se había actualizado por un descuido (estaba
instalada para todo el sistema, en lugar de para mi usuario): no tenía
incluído ningún user-agent de spiders. Y sí, por supuesto que es culpa
mía, y sólo mía. Pero si hubiese tenido otros niveles, no sólo podría
haberme divertido *algo*, si no que quizá, incluso, habría vuelto con
aires renovados a esa prueba.
Por cierto, hace poco conocí a un chico que aún le da bastante a este
mundillo (incluso trabaja en una empresa muy relacionada con la
seguridad), y que lo dejó por imposible, tras atascarse en el mismo
nivel que yo.

>> Ya estaba
>> completamente fuera del concurso, pero aún así tenía la intención de
>> tratar de recuperar el tiempo perdido, para, al menos, divertirme un
>> Cual fue mi "agradable" sorpresa cuando la prueba siguiente era
>> UN PUTO ATAQUE DE FUERZA BRUTA, en el que seguir tirando y malgastando
>> el tiempo mientras lo único que podía hacer era rascarme las, *ejem*,
>> narices.
>
> ¿Fuerza bruta? Es un ataque de diccionario normal y corriente.
> Haciéndolo de forma poco eficiente (función crypt() a pelo con un
> programa de 10 líneas):
>
> marcansoft@raider:~/euskal/ek17/hackit$ time ./decrypt < spanish.txt
> zooplancton
>
> real    7m53.594s
> user    7m47.750s
> sys     0m0.946s
>
> 8 minutos contados. 4 si partes la lista en dos y lanzas dos en
> paralelo, que ahora todos tenemos dual cores. Vale que te tires una hora
> entre que escribes el programa y pruebas un par de diccionarios, pero
> vamos, el ataque en sí tiene una duración muy razonable.
>
> La descripción del nivel lo decía: hay que pensar un poco. Es de cajón
> que ningún tipo de ataque del hack-it va a tardar más de una hora en
> ejecutarse. Si tu método tarda demasiado, tiene que ser incorrecto por
> definición.
>

De acuerdo de nuevo. Aunque no sabes lo difícil que es encontrar un
diccionario con la palabra "zooplancton" cuando estás frustrado ¬_¬;.
Ese nivel lo resolví off-party, y me tiré de los pelos. Eso sí,
después de haber probado una decena de diccionarios, e incluso de que
un buen amigo hubiese programado un extractor de palabras de la
versión java del DRAE, que tampoco funcionó -aunque no me atrevo a
decir si extrajimos mal las palabras, o si no figuraba en dicha
edición-.

>>  Además, si hay algo que me gusta en este tipo de retos, es poder
>> estar a varias pruebas a la vez. Quien me conoce ya sabe que estoy
>> disperso en tres pruebas como mínimo, porque es como me funciona el
>> melón este que tengo por cabeza. Así que la Euskal, para mí, fue el
>> peor reto hacking en el que he estado.
>
> No todos funcionamos así ;)
>

Ya, ni cuento con ello. Pero de concursar individualmente, a ti no te
supondría un handicap que hubiese varias pruebas disponibles al mismo
tiempo, y en cambio a mí si me supone un problema sólo tener una

>>  Tan quemado me quedé que, en el discurso de la entrega de premios de
>> la Rooted, tras agradecer a la organización el gran trabajo que habían
>> hecho, puse a parir el sistema de competición de la Euskal.
>
> No me parece que esa actitud sea muy adecuada. ¿No se te ha ocurrido, no
> se, comentarlo en esta lista?
>

De acuerdo de nuevo. Me salió casi sin querer, como comparación,
mientras elogiaba el sistema de puntuaciones, que me gustó bastante; y
me arrepentí mucho, momentos después. En parte, también lo he
comentado en esta lista por eso: al menos, que sepáis de dónde ha
salido la crítica, y que no os pille de sorpresa si la leéis en alguna
parte. Que me perdonen los de la organización por haberlos criticado a
sus espaldas.

> Mi impresión es que sencillamente estás acostumbrado a pruebas de otro
> estilo, donde puedes elegir los niveles que te gusten y saltarte los
> chungos para ti. Estás quemado porque la Euskal no funciona así y te
> pegaste el batacazo, y te jode porque en otro tipo de competiciones has
> puntuado mejor.
>

Entiendo que te dé esa impresión. Pero no estoy quemado por eso.
Estoy quemado porque me hice 1500~2000 km y no me divertí. De hecho,
fui sin ningún tipo de pretensiones más allá de pasármelo bien. Y no,
no me salto los que son chungos para mí, ¡son los que más me gustan!
Me salto los que me dejan bloqueado, para volver a ellos cuando mi
cabeza puede verlo desde otro enfoque. Mientras tanto me divierto
haciendo otros niveles.

> Yo insisto en que liberar dos niveles es lo suyo y propio para reducir
> este tipo de quejas. Así los que se atasquen en un nivel tienen algo de
> juego y posibilidad de "aparcar" el nivel problemático mientras se
> resuelven los demás, mientras se evita que los grupos grandes
> paralelicen demasiado. Personalmente me iría a por la opción de que la
> puntuación sea como ahora, es decir, que si te atascas en un nivel
> tienes que resolverlo para puntuar en los siguientes, pero por lo menos
> el liberar dos te permite trabajar en ellos mientras resuelves el
> problemático.
>

Por lo explicado, el argumento de por qué eso penaliza a los grupos
grandes sigue sin convencerme.

> Lo que no tiene sentido es liberar todo y hacer un concurso de "escoge
> tus propios niveles". La gracia es tener que resolverlos todos, sí o sí,
> y tener que comerte el coco para avanzar en algunos. Si sólo te vas a
> por los que tienen una solución clara o evidente para ti, ni aprendes ni
> (en mi opinión) te diviertes.
>

En los concursos que he visto, los organizadores siguen el desarrollo
del mismo muy en corto, y no liberan todos los niveles al principio,
sino que lo hacen con bastante cabeza.

> --
> Hector Martin (hec...@marcansoft.com)
> Public Key: http://www.marcansoft.com/marcan.asc
>
> --
> Has recibido este mensaje porque estás suscrito al grupo "Euskal Hackit" de Grupos de Google.
> Para publicar una entrada en este grupo, envía un correo electrónico a euskal...@googlegroups.com.
> Para anular tu suscripción a este grupo, envía un correo electrónico a euskal-hacki...@googlegroups.com
> Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/euskal-hackit?hl=es.
>
>

Saludos,

Román

[Juanan Pereira]

> en otros desafíos, pasados unos días,  cuelgan el concurso en internet, en el caso de la Euskal, hasta donde
> yo sé, no ha sido así.

Aparte de hackit.txipinet.com también tienes hackit.diariolinux.com, hackit2.diariolinux.com y hackit3.diariolinux.com

--
Ongi izan,

Juanan Pereira

[Román]

El día 3 de mayo de 2010 17:53, Hector Martin <hec...@marcansoft.com> escribió:
> On 05/03/2010 05:37 PM, Román wrote:
>>  Sí, como lo bien que me lo pasé yo el año pasado. No lo dejé a los
>> cinco minutos. Ni siquiera a las treinta horas. Pero hasta el último
>> día, si no recuerdo mal, no se empezaron a liberar niveles. No sé,
>> creí que en mi crítica había dejado claro que el hecho de que fuese un
>> puñetero coñazo era uno de los argumentos principales, pero como no ha
>> sido así, insisto en el tema.
>
> Creo que simplemente discrepamos fundamentalmente sobre lo que es y no
> es el hack-it de la Euskal. Para ti, la idea es resolver retos claros
> donde simplemente haya que aplicar habilidades técnicas (que puedes
> adquirir en el momento si fuera necesario). Para mí y aparentemente para
> mas gente, una de las cosas que hacen que los retos de la Euskal sean
> distintos y divertidos es la existencia de niveles con una solución
> sencilla pero que te obligan a pensar y buscar, comiéndote la cabeza
> (además de los retos puramente técnicos). Además, la gracia es que en
> estos retos los que tenemos mas conocimientos técnicos hasta podemos
> estar en desventaja contra un completo novato, al perder demasiado
> tiempo con paranoias técnicas raras en lugar de ver la solución inocente
> y fácil.
>

Hola de nuevo,

A este respecto, no sé si no me he sabido explicar, o no me has
entendido bien, pero creo que nuestras motivaciones son bastante
parecidas. Te aseguro que los niveles mecánicos no me estimulan lo más
mínimo. En otra contestación ya hablo del tema, así que no me extiendo
más.

>>  Aquí tampoco veo la relación. En un videojuego se supone que tienes
>> un tiempo más o menos amplio para disfrutar de él. En un hack-it de un
>> fin de semana, una vez que ha terminado dicho periodo, ya no puedes
>> seguir con los niveles superiores. Y vayan mis disculpas por delante
>> si me equivoco, pero si bien en otros desafíos, pasados unos días,
>> cuelgan el concurso en internet, en el caso de la Euskal, hasta donde
>> yo sé, no ha sido así.
>
> Se dijo que ese año pensaban usarlos para la party en México, y que por
> ello no los liberarían hasta pasada esa party. Discrepo con esa
> decisión, pero en cualquier caso los niveles sí se terminaron por colgar:
> http://hackit2009.txipinet.com/levels.html
>

OK, gracias. Tomo nota.

>>  Más a mi favor. Si el premio no es la motivación para que la gente se
>> "arrejunte", ¿cuál queda, entonces?
>
> Si se liberan todos a la vez, pasarse los niveles a toda hostia y ganar,
> obviamente. La ventaja de tener varios niveles disponibles es mas o
> menos O(n-x) para un grupo pequeño, pero O(n/x) para un grupo grande,
> donde n es el número de niveles y x los que se liberan a la vez.
>

Vamos, el hecho de ganar sería la motivación. Es decir, la misma
tontería que el premio, aunque al menos al premio le veo utilidad
práctica ;-).

>>  Para mí también es divertido darse de cabezazos contra un muro hasta
>> que te das cuenta de que la puerta estaba diez centímetros a la
>> derecha... pero no durante más de treinta horas, sin tener ningún otro
>> muro al que acudir a partirme otra parte de la crisma. Lo siento, pero
>> creo que tener alternativas es muy beneficioso para TODOS los
>> concursantes.
>
> Para eso está lo de liberar dos niveles a la vez. Eso te da UNA
> alternativa, que creo que es más que suficiente. Si te das cabezazos
> contra los dos muros, pues macho, quizás debas dedicarte a otra cosa ;)
>

Hombre, lo veo como una gran mejora, pero como ya he dicho, cinco o
seis lo encontraría ideal (el número, por supuesto, es discutible). Y
tampoco como algo fijo.

>>  Si algo de mi mensaje ha parecido llevar cierta acritud, lo siento;
>> desde luego no era mi intención. Pero creo importante dejar bien
>> claros mis argumentos, ya que este año tengo la intención de volver a
>> asistir, y sinceramente, me gustaría poder disfrutar un poco.
>
> Te doy permiso para quejarte todo lo que quieras si te atascas en uno de
> los dos/tres niveles que voy a mandar. ;)
>

Lo tendré en cuenta. Lo mismo digo ;)

> --
> Hector Martin (hec...@marcansoft.com)
> Public Key: http://www.marcansoft.com/marcan.asc
>
> --
> Has recibido este mensaje porque estás suscrito al grupo "Euskal Hackit" de Grupos de Google.
> Para publicar una entrada en este grupo, envía un correo electrónico a euskal...@googlegroups.com.
> Para anular tu suscripción a este grupo, envía un correo electrónico a euskal-hacki...@googlegroups.com
> Para tener acceso a más opciones, visita el grupo en http://groups.google.com/group/euskal-hackit?hl=es.
>
>

Saludos,

Román

[Román]

Gracias, tomo nota, y perdón por no documentarme antes de hablar.

Román

[Román]

Una vez más, gracias, y perdón ;-).

--
Román

[sourcerer]

yo propongo liberar todos los niveles desde el principio, y para igualar
un poco las cosas entre los grupos grandes y los que van en plan
solitarios se podria hacer algo como lo siguiente:

-solo: el tiempo final entre 1,5
-pareja: el tiempo sin ningun coeficiente.
-grupo de tres: el tiempo final por 1,5
-grupo de cuatro: el tiempo final por 2,0
-grupo de cingo: el tiempo final por 2,5
-grupo de seis...

Los valores habria que definirlos, son un ejemplo, pero creo que se coge
la idea, no?

como lo veis?




El 03/05/10 17:36, Hector Martin escribió:

[sourcerer]

Buenas, aqui un paquete (varias participaciones en el hackit con muy
poco exito y bastante frustracion) que busca uno o dos compañeros para
no emparanoiarme solo en el hackit de este año.

Hay alguien mas por ahi que busque compañeros o que me acepte en su grupo?


saludos
sourcerer

[txipi]

Hola,

el Mon, 3 May 2010 18:15:18 +0200 Román <roman.pe...@gmail.com>
decía:

> > http://hackit.txipinet.com

> Una vez más, gracias, y perdón ;-).

Ni perdón ni leches xDDD, me parece genial todo el debate generado para
mejorar el hackit de la Euskal entre todos. Lo único que no me ha
molado es lo de usar la Rooted para meterse con el hackit de la Euskal,
pero todo lo demás es muy positivo.

Cuando tomé las riendas de este hackit hace unos años fue porque las
ediciones anteriores me parecieron muy malas.

Me acuerdo que en la euskal9 gip_on se curró un hackit muy divertido
con niveles de shell en plan hackerslab, pero super hackeable. Luego el
hackit quedó desierto y posteriormente lo asumió gente de la Euskal que
se limitó a poner un par de máquinas con todos los parches y ale, el
que quiera el hackit, 0-day al canto. Visto eso y con la experiencia de
algunos hackits caseros en Deusto, montamos un hackit que no es
solamente de seguridad, sino también de ingenio, de programación, de
cripto, etc. y poco a poco se ha ido abriendo a todo el mundo que ha
querido colaborar.

Ahora vuelven las críticas. Yo hace un rato que he cedido mi relevo a
Hey_neken, pero creo que todo lo que sean críticas constructivas es
sumar. Lo bueno de este hackit es que lo podemos hacer entre todos :-)

Así que ya sabéis, mientras se decide el formato, seguid pensando (y
enviando!) niveles y propuestas :-)

--
Agur,
txipi

[txipi]

Hola,

el Mon, 03 May 2010 22:45:25 +0200 sourcerer <mr.sou...@gmail.com>
decía:

> -solo: el tiempo final entre 1,5
> -pareja: el tiempo sin ningun coeficiente.
> -grupo de tres: el tiempo final por 1,5
> -grupo de cuatro: el tiempo final por 2,0
> -grupo de cingo: el tiempo final por 2,5
> -grupo de seis...

Lo malo de todo esto es que es incontrolable, porque si algo
caracteriza a los hackers es la capacidad de hacer rules-abuse :-D

Por eso pensamos el hackit como lo pensamos hace tiempo: todo en html
estático, revisión de los niveles por humanos y temporización por email
y secuencial. Es lo que pasa cuando en el anterior hackit alguien gana
rooteando la máquina en lugar de pasarse los niveles xDDDD

Quizá sea tiempo de relajar un poco las normas, aunque se gane en
pufos, quizá también se gane en diversión.

Mi opción es la que implementé el último año que me encargué del
hackit: niveles secuenciales y liberación de niveles croneada
dividiendo el número de horas para el hackit por el número de niveles
(sale a liberar uno cada 2 horas o así, tiempo bastante razonable
como para explorar a tope un problema pero sin tirarse de los pelos).

¿Problemas de esto? Que los que se pasan los 7 primeros niveles a toda
hostia y se quedan en el 8º, tienen que esperar 7x2 horas a que se
libere el 8º. Pero bueno, también han tenido ventaja para probar mil
cosas y para ganar necesitarán todos los niveles.

También se puede hacer algo mixto: separar los niveles por tipo
(cracking, crypto, red, ingenio, web, etc.) y que el cron vaya
liberando uno de cada tipo de estos cada vez.

Lo que sí que es claro es que necesitamos levelz para que el hackit sea
algo rompedor cada año :-)

[n...@hackingalicia.org]

hola!

> Lo malo de todo esto es que es incontrolable, porque si algo
> caracteriza a los hackers es la capacidad de hacer rules-abuse :-D

eso me ha gustado :)

> rooteando la máquina en lugar de pasarse los niveles xDDDD

bueno, saltarse un par de niveles por algún atajillo y putear al
hack-master no tiene precio ;)

> Quizá sea tiempo de relajar un poco las normas, aunque se gane en
> pufos, quizá también se gane en diversión.

bien bien... esto también me gusta :)

> Mi opción es la que implementé el último año que me encargué del
> hackit: niveles secuenciales y liberación de niveles croneada
> dividiendo el número de horas para el hackit por el número de niveles
> (sale a liberar uno cada 2 horas o así, tiempo bastante razonable
> como para explorar a tope un problema pero sin tirarse de los pelos).
>
> ¿Problemas de esto? Que los que se pasan los 7 primeros niveles a toda
> hostia y se quedan en el 8º, tienen que esperar 7x2 horas a que se
> libere el 8º. Pero bueno, también han tenido ventaja para probar mil
> cosas y para ganar necesitarán todos los niveles.
>
> También se puede hacer algo mixto: separar los niveles por tipo
> (cracking, crypto, red, ingenio, web, etc.) y que el cron vaya
> liberando uno de cada tipo de estos cada vez.

esta última fórmula "grosso modo" fué la empleada en el CTF de la rooted
(de cuyos creadores y organizadores nadie podrá dudar!).

un dato importante a tener en cuenta: la PRIMERA prueba liberada en la
rooted fué una de las dos únicas que quedó SIN RESOLVER (un crackme de
windows obra del señor URI)... es decir, que hay pruebas que requieren
más tiempo que otras.

cuando se crea un nivel (o cuando se evalúa por la organización), este
aspecto debe tenerse en cuenta, sobre todo en entornos secuenciales: si
el nivel más difícil, que puede requerir más tiempo, se pone al final,
al final se vuelve más difícil aún, precisamente por la falta del tiempo
necesario para resolverlo.

> Lo que sí que es claro es que necesitamos levelz para que el hackit sea
> algo rompedor cada año :-)

si el ganador se lleva una noche de lujuria con su actor/actriz
favorito, te garantizo que eso no sería un problema ;)

saludos!