[HACK] Cuestionada ética del concurso "ético" de hacking de s21sec
RoMaNSoFt
roman at madrid.com
Wed Nov 28 14:09:00 CET 2001
Hola a todos:
Han publicado los "resultados" del concurso de hacking. Los teneis
en:
http://www.hack21.com/fin_concurso.html
A mi modo de ver lo de concurso "ético" debería haber ido entre
comillas. Al menos si nos basamos en algunos puntos "oscuros" que paso
a comentar:
- el bug de bind que habia que explotar es el del nslookupComplain().
Para explotar dicho bug debemos o bien ser dueños de un servidor de
nombres (NS) o en su defecto utilizar ilegalmente una shell en algún
NS de otra persona. En el primer caso la pregunta es: ¿cuantos de los
participantes son dueños o tienen acceso *legal* a un NS? (la
respuesta es que muy pocos). En el segundo caso, se insta a hackear
una máquina NS que no sea nuestra para que sirva de plataforma de
ataque hacia la máquina del concurso. ¿A esto le llaman "ética" los
Sres. de s21sec? No sólo no es ético sino que además es ilegal. Y en
cualquier caso, además es injusto que la vulnerabilidad que da
solución a un concurso requiera de recursos que no están al alcance de
todos. Y no me refiero a recursos técnicos -como el propio
conocimiento o habilidades técnicas- sino a recursos puramente
físicos.
- al hipotético ganador se le pedía *detallar* cómo logró resolver el
concurso. Al no existir ganador lo lógico sería que s21sec asumiera
ese papel y realizara un completo y detallado estudio técnico del
concurso (de acuerdo a la hipotética seriedad y capacidad técnica de
la empresa). Sin embargo no ha sido así, se han conformado con
escribir una página con cuatro comentarios que si bien pueden despejar
algunas dudas muy básicas no constituye de ningún modo un documento
técnico ya no decente sino ni siquiera mínimo / suficiente. ¿Está eso
a la altura de lo que pretende ser una empresa seria y competente?
¿Quién nos asegura que el concurso tenía solución y no ha sido
simplemente la excusa perfecta para una campaña de marketing?
- ¿lo de añadir un servicio extra más (rpc) el último dia del concurso
es justo? ¿Cómo se explotaba? En las lineas de la página arriba
comentada ni siquiera se habla de él.
- el plazo real fue de unas 3 semanas ya que la primera semana la
máquina no estaba lista / accesible.
En fín, podría añadir más comentarios (siempre constructivos) que se
resumen en un mal diseño e implementación del concurso (el foro
tampoco estaba bien implementado: las sesiones caducaban MUY rápido,
no permitía caracteres básicos y el tamaño de los mensajes estaba MUY
limitado, étc).
Resumiendo: lo único bueno del concurso creo que ha sido la idea de
realizarlo. La implementación del mismo ha sido desastrosa.
Salu2,
--Roman
More information about the hacking
mailing list