• Tweet

1. Para el análisis puede usarse cualquier herramienta o técnica siempre y cuando los integrantes del jurado puedan interpretar los resultados y duplicar o verificar su exactitud usando mecanismos disponibles públicamente. Es necesario que se documenten los métodos utilizados para el análisis citando referencias a las fuentes de información, con el fin de ilustrar mejor el proceso de análisis realizado. En la siguiente liga se listan herramientas que pueden usarse para el análisis.


2. Es posible particiar en grupo, en cuyo caso, el premio será compartido.


3. Los resultados deben enviarse en formatos que sean sencillos y rápidos de manejar. Es necesario también poder validar la integridad de los archivos por lo que se deben enviar firmas de los mismos, MD5, SHA, PGP, etc.


4. Se deben enviar los siguientes archivos:
   • Un resumen ejecutivo (no técnico) de 3 a 5 páginas, donde se describa lo siguiente:
     • Motivos de la intrusión.
     • Resultados del análisis.
     • Recomendaciones.
   • Un informe técnico donde se describa con detalle el análisis: metodología, técnicas y hallazgos. La longitud máxima de éste reporte debe ser de 50 páginas.


5. Las datos a analizar (imágenes del sistema) se podrán obtener de la página www.seguridad.unam.mx/reto/ el día 15 de Enero de 2005.
   
6. Los resultados deberán entregarse antes del las 00:00 hrs del centro de México (GMT -6) del día 1 de Marzo de 2005, momento a partir del cual serán revisados por el jurado. La fecha de cualquier archivo que se envíe debe marcarse digitalmente porque la fecha puede usarse como criterio de desempate. Para ello puede usarse un sistema de fechado digital gratuito como http://www.itconsult.co.uk/stamper.htm o el Servicio de Sellado de tiempos de RedIRIS http://www.rediris.es/app/sellado.
   
7. Los análisis deben enviarse a la dirección reto@seguridad.unam.mx.


8. Los reportes deberán estar escritos en castellano. Se recomienda reducir el uso de argot regional.

Los análisis remitidos serán juzgados por un panel de expertos y los ganadores serán elegidos de entre éstos y anunciados tras la finalización del reto. Todas las decisiones que tomen los jueces son definitivas (no se realizarán recuentos de ninún tipo).

Una vez que los ganadores del reto sean anunciados, todos los análisis entregados serán publicados para que puedan ser revisados por la comunidad de expertos en seguridad informática. Deseamos que la comunidad pueda aprender y entender mejor las distintas técnicas que los investigadores y empresas utilizan. Igualmente, los organizadores del reto publicarán un análisis propio incluyendo información detallada del método de compromiso junto con la publicación de los resultados definitivos.