Este año, durante el evento
CyberCamp 2016 de INCIBE que tendrá lugar en León del 1 al 4 de diciembre, se celebrarán dos competiciones de seguridad para desarrolladores y apasionados de la seguridad:
Debido a que las fechas iniciales de cierre del registro de ambas competiciones está próximo, y con el objetivo de que aquellos que puedan estar interesados no desaprovechen la oportunidad, este artículo detalla las fechas relevantes, objetivos, motivaciones, posibles ventajas de participar (intentando ser realista), detalles internos del backstage, y algunas novedades (al final del artículo) que espero animen a aquellos que aún se lo están pensando... ;)
Fechas de registro
Respecto a las fechas relevantes, el proceso de registro del Torneo permanecerá (inicialmente) abierto hasta el 28 de octubre, y el registro del Hackathon estará abierto hasta el 1 de noviembre a las 23:59 (CET). En ambos casos, si no se completan todas las plazas disponibles, el registro permanecerá abierto con posterioridad a estas fechas para admitir a los rezagados (pero yo no me arriesgaría... ;).
A día de hoy todavía hay plazas disponibles para ambas competiciones, por lo que, si estás dudando en participar, lee las novedades más abajo, anímate y regístrate a través de la página web oficial de ambas competiciones (donde también se dispone de las bases de participación). ¡Prepárate para ganar la competición y conseguir los premios disponibles!
Motivaciones y posibles ventajas de participar
El principal motivo por el que nos hemos involucrado en ambas iniciativas desde DinoSec es, por un lado con el Torneo, concienciar y difundir la necesidad de que se genere código más seguro, e intentar hacerlo realidad empleando una nueva aproximación a través de la gamificación. Por otro lado con el Hackathon, disponer de la oportunidad de promover proyectos y herramientas de código abierto que sean de utilidad para la comunidad, ya que todos los que estamos en ella, hemos utilizado con éxito este tipo de herramientas a lo largo de nuestra vida profesional y actividades diarias. No es frecuente disponer de la posibilidad de abordar estas dos problemáticas localmente, dentro de España.
Creo que la importancia de las herramientas de seguridad se refleja en la ley que acuño ya hace unos años Joshua Wright (@joswr1ght), un buen amigo, gran profesional e investigador de seguridad. Wright’s Law: "Security doesn’t get better until tools for practical exploration of the attack surface are made available", es decir, "La seguridad no mejora hasta que no hay disponibles herramientas para la exploración práctica de la superficie de ataque".
El Torneo pretende hacer hincapié en uno de los problemas fundamentales que afectan a las tecnologías y entornos informáticos en la actualidad, la generación de código inseguro o con vulnerabilidades. Esta es sin duda la raíz de muchos de los problemas que sufrimos en la industria de seguridad informática y tecnológica hoy en día, con numerosas vulnerabilidades, muchas de ellas críticas, publicadas cada semana.
Por este motivo, los lenguajes o entornos de programación objetivo de este año son los habituales en entornos empresariales y corporativos, y dónde se sustentan muchas de las aplicaciones y servicios de grandes empresas que usamos en el día a día: Java (Spring), Java (Enterprise), C# .NET (Webforms), C# .NET (MVC) y Ruby on Rails.
Tan pronto se llevó a cabo la publicación del Torneo, recibimos mensajes por parte de empresas, tanto del sector de la seguridad como de otras empresas de renombre españolas de varios sectores, interesadas en identificar a los mejores participantes de la competición. Más que nunca, hay necesidad de cubrir la carencia de desarrolladores y programadores concienciados e interesados por la seguridad.
Por tanto, si conoces a desarrolladores inquietos y con ganas de seguir aprendiendo y evolucionando, en este caso en el mundo de la seguridad, no dudes en comentarles que esta es su oportunidad de destacar.
Este interés no es novedad, ya que se presentó igualmente el año pasado (y de nuevo este año) con el Hackathon de CyberCamp 2015, dónde empresas del sector de la seguridad mostraban su atracción por los mejores clasificados. Participar no sólo te permite mostrar tus habilidades y conocimientos, sino también tu pasión e interés por la seguridad y por contribuir a la comunidad.
Por tanto, creo que la participación en ambas competiciones puede tener un impacto directo en la carrera profesional, actual o futura, de los participantes, tanto promocionándose y obteniendo mayor visibilidad y relevancia dentro de su empresa, como a la hora de empezar a trabajar o de encontrar nuevas oportunidades laborales. Eso sin considerar toda la experiencia real que se obtiene durante la competición en unas pocas horas o días.
En el caso del Hackathon, las herramientas propuestas por los participantes pueden aplicar a cualquier área relacionada con la seguridad que sea de su interés. Por un lado, es una oportunidad perfecta para colaborar en una de las herramientas de código abierto de referencia para tareas de ingeniería inversa y exploiting, como
Radare, especialmente teniendo a Pancake (@trufae) en el jurado ;) Por otro lado, tras publicar por Twitter que se llevaría a cabo el Hackathon también este año, un buen conocido y persona relevante en el mundo de la seguridad web, Simon Bennetts (@psiinon),
reflejó su interés a la hora de recibir contribuciones para su herramienta
OWASP ZAP, uno de los proyectos estrella (o
flagship) de OWASP en la actualidad.
El Hackathon puede ser una muy buena oportunidad para dar visibilidad a ese nuevo proyecto o idea, o contribución a herramientas ya existentes, que tienes rondando tu cabeza hace algún tiempo, y es sin duda la excusa perfecta para intentar llevarlo a cabo en un entorno competitivo, trabajando individualmente o en equipo, y pasándolo bien. Eso sí, esperamos que no se quede ahí, por lo que "El Hackathon debería ser sólo el comienzo…".
Para mi ha sido muy reconfortante este año recibir comentarios directos de algunos participantes del pasado año, enfatizando lo bien que se lo pasaron y saber que estaban haciendo todo lo posible para planificarse, cuadrar fechas, y poder repetir.
Este año, de nuevo, es para mí un honor contar con un jurado de lujo, que (aunque no todos me lo han dicho directamente) seguro estará encantado de recibir mejoras en sus herramientas de seguridad (por ejemplo, por si no se os ocurre qué herramienta elegir), como
Radare (ya mencionada previamente),
Delorean o
Tinfoleak, entre otras ;)
Asimismo, las herramientas del Hackathon centradas en entornos industriales podrán ser incluidas en una futura distribución Unix realizada por INCIBE con enfoque en esta temática (ver detalles más abajo).
Adicionalmente, los participantes del Hackathon del entorno universitario que lo soliciten podrán conseguir un total de 2,1 créditos ECTS superando los hitos y criterios definidos por el jurado durante la competición del Hackathon. Como estudiante, ¿se te ocurre una mejor forma de obtener créditos que compitiendo y pasándotelo bien, a la vez que aprendes?
Desplazamiento
Para facilitar el desplazamiento (ya que sin duda es un aspecto importante a tener en cuenta), se va a disponer de un descuento con Renfe de un 35% para aquellos que vayan a asistir a CyberCamp 2016. Cuando se confirmen los participantes, se enviará el código de descuento.
Alojamiento
Para facilitar la participación, disponemos de novedades respecto al alojamiento de los participantes para ambas competiciones, detalladas a continuación.
Torneo de Desarrollo Seguro de Software
El Torneo, novedad en CyberCamp, es una competición individual en la que los participantes, tanto desarrolladores y programadores profesionales como estudiantes o entusiastas de la programación, podrán demostrar sus conocimientos y habilidades a la hora de programar, evaluar y generar código seguro, mediante la resolución de múltiples retos de seguridad.
Como novedad, la organización facilitará alojamiento gratuito a los participantes seleccionados del Torneo final en CyberCamp 2016.
Hackathon
El Hackathon es una competición por equipos centrada en el desarrollo y/o mejora de herramientas de seguridad de código abierto. Los participantes, tanto profesionales de seguridad como desarrolladores, estudiantes o apasionados de la seguridad, deberán exprimir al máximo sus conocimientos y habilidades, y competir con su equipo (o individualmente), tras enviar su propuesta basada en la herramienta de seguridad de su interés.
Como novedad, la organización proporcionará alojamiento gratuito a los participantes seleccionados para el Hackathon durante los días de duración de la competición.
Asimismo, este año cabe destacar que se dispone de un apartado orientado hacia los entornos industriales, donde los participantes podrán desarrollar herramientas específicas para sistemas o entornos de control (SCADA) y probarlas en una plataforma real con instrumentación industrial diseñada específicamente para este fin. Los elementos que componen la plataforma son variados (PLC, HMI, firewall industrial, switch, analizadores de red, etc.) y el tráfico generado será el propio de las redes de control (modbus, profinet, OPC, etc.). Todos los participantes que se interesen por esta temática recibirán con antelación información adicional sobre la arquitectura de la plataforma industrial a utilizar en el evento. Como distinción adicional, los mejores proyectos de esta temática podrán ser incluidos en una futura distribución Unix realizada por INCIBE y enfocada a la seguridad de entornos industriales.
Espero que todos estos detalles os animen a tomar la decisión de participar y que nos podamos ver en alguna de las dos competiciones durante CyberCamp 2016.
Contribución por Raúl Siles