15:23 24/11/01
 

NADIE GANÓ EL PRIMER CONCURSO DE HACKING ÉTICO
 

Mercè Molist
Aunque había 1.300 inscritos, ninguno consiguió superar ni el primer nivel del Concurso Internacional Mikel Fernández de Hacking Ético, organizado por la empresa donostiarra S21sec. "Lo habíamos puesto un poco difícil" reconoce Igor Unanue, el director técnico, quien achaca la falta de ganadores al poco tiempo de que se disponía y asegura estar "impresionado por la cantidad de gente de Latinoamérica que participó". La mayoría, el 70%, eran españoles.

El concurso duró tres semanas y se cerró el pasado jueves. Consistía en pasar tres niveles: entrar en una web, obtener datos confidenciales de la red interna y dejar un mensaje en un servidor de ésta. Aunque por el camino había servicios con vulnerabilidades conocidas que permitían la entrada, la dificultad radicaba en que los "exploits" (programa que abre el agujero) no estaban disponibles en Internet sinó que debía escribirlos el propio atacante, cosa que no hizo nadie.

Unanue destaca la ética de los participantes: "Ninguna dirección del perímetro de la máquina del concurso ha sufrido, ni nadie ha hecho ataques de Denegación de Servicio (bombardeo). Lo han probado todo, eso sí, han intentado ejecutar ataques de cualquier cosa, también contra la página de información". 9.000 personas diarias visitaron este sitio donde, en breve, publicarán el proceso que debía seguirse para llegar al final aunque, dice Unanue, "no tenemos claro si también publicaremos el 'exploit', porque podría usarse para atacar otros sitios".

La convocatoria del premio había molestado a algunas empresas, que lo interpretaron como una incitación al "hacking", algo que niega el director técnico de S21sec: "Un hacker no tiene porqué estar siempre haciendo delitos, también puede aprender jugando, haciendo pruebas en casa, con los amigos y con sistemas que no encuentra normalmente, como los que pusimos a su alcance. Nuestro objetivo era mover el mundo de la seguridad, crear un foro de reunión, unir a la gente". A la pregunta de si es ético coger datos confidenciales, responde: "Es hacer algo malo pero con permiso, la única forma que tenemos de detectar vulnerabilidades".
 

1r Concurso Internacional Mikel Fernández de Hacking Ético
http://www.hack21.com
Netbox21
http://www.netbox21.com
 
 

UNA OPINIÓN PERSONAL
 

 Hola a todos:

 Han publicado los "resultados" del concurso de hacking. Los teneis
en:
http://www.hack21.com/fin_concurso.html

 A mi modo de ver lo de concurso "ético" debería haber ido entre
comillas. Al menos si nos basamos en algunos puntos "oscuros" que paso
a comentar:
- el bug de bind que habia que explotar es el del nslookupComplain().
Para explotar dicho bug debemos o bien ser dueños de un servidor de
nombres (NS) o en su defecto utilizar ilegalmente una shell en algún
NS de otra persona. En el primer caso la pregunta es: ¿cuantos de los
participantes son dueños o tienen acceso *legal* a un NS? (la
respuesta es que muy pocos). En el segundo caso, se insta a hackear
una máquina NS que no sea nuestra para que sirva de plataforma de
ataque hacia la máquina del concurso. ¿A esto le llaman "ética" los
Sres. de s21sec? No sólo no es ético sino que además es ilegal. Y en
cualquier caso, además es injusto que la vulnerabilidad que da
solución a un concurso requiera de recursos que no están al alcance de
todos. Y no me refiero a recursos técnicos -como el propio
conocimiento o habilidades técnicas- sino a recursos puramente
físicos.
- al hipotético ganador se le pedía *detallar* cómo logró resolver el
concurso. Al no existir ganador lo lógico sería que s21sec asumiera
ese papel y realizara un completo y detallado estudio técnico del
concurso (de acuerdo a la hipotética seriedad y capacidad técnica de
la empresa). Sin embargo no ha sido así, se han conformado con
escribir una página con cuatro comentarios que si bien pueden despejar
algunas dudas muy básicas no constituye de ningún modo un documento
técnico ya no decente sino ni siquiera mínimo / suficiente. ¿Está eso
a la altura de lo que pretende ser una empresa seria y competente?
¿Quién nos asegura que el concurso tenía solución y no ha sido
simplemente la excusa perfecta para una campaña de marketing?
- ¿lo de añadir un servicio extra más (rpc) el último dia del concurso
es justo? ¿Cómo se explotaba? En las lineas de la página arriba
comentada ni siquiera se habla de él.
- el plazo real fue de unas 3 semanas ya que la primera semana la
máquina no estaba lista / accesible.

 En fín, podría añadir más comentarios (siempre constructivos) que se
resumen en un mal diseño e implementación del concurso (el foro
tampoco estaba bien implementado: las sesiones caducaban MUY rápido,
no permitía caracteres básicos y el tamaño de los mensajes estaba MUY
limitado, étc).

 Resumiendo: lo único bueno del concurso creo que ha sido la idea de
realizarlo. La implementación del mismo ha sido desastrosa.

 Salu2,
 --Roman

_______________________________________________
Lista - http://mailman.argo.es/listinfo/hacking
FAQ - http://www.argo.es/~jcea/artic/hack-faq.htm
"una-al-dia" para estar siempre informado - http://www.hispasec.com/