El día 24 de mayo del año 2018 tuve el agrado y beneplácito de participar en el evento Radwares’ Hackers Challenge. Evento realizado en la terraza del Hotel JW Marriot, ubicado en la ciudad de Lima, Perú. En el evento tuve la oportunidad de encontrarme con buenos amigos de hace muchos años, como también personas con quienes nos “conocemos” a través de las redes. Esta fue una buena oportunidad para conocer y compartir personalmente con excelentes profesionales. El evento inició aproximadamente a las 9:00 am, finalizando aproximadamente a la 1:00pm. Un documento entregado a todos los participantes contenía las instrucciones sobre la competencia.

¡Bienvenido al evento organizado por Radware, Telefonica y Cimacom, el Hackers Challenge!

La Banda es una conocida organización criminal que causa estragos en naciones de todo el mundo

Para poner fin a las actividades criminales de la pandilla, el gobierno peruano ha establecido un equipo de expertos en defensa cibernética. Usan una aplicacipon web con vulnerabilidades cuyos sistemas de protección son eficientes y difíciles de eludir. A pesar de todos los esfuerzos de estos expertos, los criminales lograron derrotarlos Antes de que se abandonara el proyecto implementado por el gobierno peruano, un miemrbo del equipo logró enviarnos información sobre los sistemas de protección contra fallas: La Banda actualmente está experimentando problemas en la administración de estos sistemas, reduciendo la seguridad de su infraestructura por un corto tiempo.

Tu misión, si estás de acuerdo, es utilizar la información a continuación para tener acceso directo al servidor ubicad en Korea. Para mentener tu anonimato, te conectarás desde una IP de dicho país.

El evento estuvo organizado en tres sesiones, la primera sesión tuvo una duración aproximada de 1 hora con un nivel de seguridad máximo, lo cual puntuaba por 3. La segunda sesión tuvo una duración aproximada de 45 minutos, lo cual puntuaba por 2. La tercera y última sesión tuvo una duración aproximada de 30 minutos. A la fase final únicamente accedían quienes acumulasen las cinco mejores puntuaciones. El merecido ganador de del Radware’s Hacker Challenge del año 2018 fue Felipe Gonzalez.

Entre los tipos de ataques se puntuaban los siguientes:

• Escaneo de puertos y vulnerabilidades
• Mapa del sitio web (website sitemap)
• Tipo de aplicación web (Application type)
• Tipo de servidor werb (versión / plataforma)
• Lista de usuarios y contraseñas
• Tipo de base de datos
• Denegación de Servicio (DoS)
• Ataque de inyección SQL para obtener una autenticación exitosa
• Ataque de inyección SQL para obtener una información de base de datos
• Ataque de inyección SQL que crea un usuario en la base de datos
• Ataques XSS
• Interceptar y modificar parámetros con un fin delictivo (robar dinero…)
• Manipular parámetros para escalar privilegios
• Otro tipo de ataques
• Acceder a información sensible (por ejemplo, parte administrativa del servidor)
• Obtener informacións sensible de un usuario diferente al utilizado: escalado horizontal
• Camari, eliminar contenido del sitio (web Defacement)
• Manipulación de cookies para escalar privilegios.

Estoy seguro el próximo año se incrementará el número de profesionales o denominados “Hackers” compitiendo en el evento. En resúmen; un evento bien organizado ymuy agradable.

Fuentes:

https://www.hackers-challenge.com/latam