17:59 25/06/03
CASI 3.000 PARTICIPANTES AL ASALTO DE UNA WEB DE CONCURSO
Mercè Molist
Un ganador de 26 años y más de 2.800 participantes, todos ansiosos de hacerse con la base de clientes de una tienda virtual ficticia. La semana pasada, concluía la segunda edición del popular concurso de 'hacking' Boinas Negras, organizado por el Instituto Seguridad Internet. Camisetas, boinas, quesos y un jamón eran los premios, en una maratón que duró un mes y algunos concluyeron en siete días."El objetivo de este nuevo reto consiste en explotar vulnerabilidades en una tienda electrónica que soporta las funciones de compra habituales: búsqueda de productos, adición de productos al carrito, pago de la compra, autenticación de clientes, administración de los datos personales, etc". Así se presentaba, a finales de mayo, el Reto de Hacking Web, ideado por el experto en seguridad web, Gonzalo Álvarez Marañón. Constaba de cinco niveles, que debían superarse a partir del descubrimiento de una vulnerabilidad aprovechable, para robar tarjetas de crédito, hacer compras por valor de un euro, mirar lo que ha mirado alguien antes o, la última y más difícil, obtener una cuenta con acceso a la base de datos de clientes de la tienda.
Gonzalo Álvarez Marañón concibió las pruebas basándose "en agujeros detectados durante el curso de auditorías web a empresas. Algunos de estos errores son todavía muy frecuentes en la inmensa mayoría de comercios, bancos y periódicos en línea, como el "Cross Site Scripting", o menos frecuentes pero dan mucho juego". Además de aprender jugando, los más de 2.800 participantes se han conocido y comunicado a través de un canal de chat, #boinasnegras, en el IRC-Hispano: "Algunos tenían un gran nivel de conocimiento y mucho ingenio", afirma el creador del concurso.
Lo mismo piensa el ganador, Pere Planiol, de Santa Coloma de Farners, 26 años, doctorando en Ingeniería Informática de la Universitat de Girona: "Lo mío ha sido suerte". Planiol, que concursó bajo el alias Cthulhugroup, asegura que lo hizo "para pasarlo bien, no buscaba ningún premio ni trabajo de consultor, este tema me gusta bastante, como pasatiempo, creo que no se da la suficiente importancia a la seguridad. Participé también el año pasado y he estado en otros, como Izhal o HackersLab".
Aunque la organización daba un mes para superar el reto, en una semana Cthulhugroup se había hecho con la preciada base de datos, el dos de junio, casi a medianoche. Dos días después entraba spinlock, seguido de Pinocho, vaijira y tayoken. Éstos lo conseguían pasadas las cuatro de la madrugada, prueba del interés de los participantes: "No era fácil, pero si estás puesto en el tema, los ataques contra una web son muy limitados, siguiendo las bases del concurso, que no permitía la fuerza bruta y otros. Lo complejo era encontrar el fallo, más que aplicarlo. Las cuatro primeras pruebas se hacían en pocos días. Pero, en la última, el agujero estaba muy escondido", explica.
La clave del último nivel era un guiño desde la organización: "La web identificaba el idioma de tu navegador, por tanto había una comunicación con el navegador y podías meter datos tuyos, manipulando cabezeras e inyectando SQL. El problema era que, de unas veinte páginas que tenía la web, sólo funcionaba en una. Si probabas el fallo en una página y no iba, deducías incorrectamente que pasaba igual en todas. Por tanto, tenías que ser sistemático, ir probando una a una", asegura el joven, con un deje de admiración hacia el truco. Y añade: "Hacer un concurso fácil es muy fácil, hacer un concurso difícil, también. Pero hacerlo a medias, fácil y difícil, es lo más complicado".
Como pasó el año pasado con el Reto de Autenticación Web, el Instituto Seguridad Internet no publicará las soluciones del concurso. Dejará abierto el Reto de Hacking Web a quien quiera probar, sin premios, explica Álvarez Marañón: "La gente que ha estado de exámenes o de vacaciones podrá intentarlo, si no tuvo oportunidad. El primer reto aún sigue en activo, con más de 21.000 participantes que han pasado por sus pruebas, 340 han conseguido superarlas todas".
Boinas Negras
http://www.boinasnegras.com
Instituto Seguridad Internet
http://www.instisec.com
Izhal
http://www.izhal.com
HackersLab
http://www.hackerslab.org
Copyright (C) 2003 Mercè Molist.
Verbatim copying, translation and distribution of this entire article is permitted in any medium, provided this notice is preserved.