[HACK] Boinas Negras

merce at grn.es merce at grn.es
Fri Jul 4 15:43:35 CEST 2003 

17:59 25/06/03


CASI 3.000 PARTICIPANTES AL ASALTO DE UNA WEB DE CONCURSO


Mercè Molist
Un  ganador de 26 años y más de 2.800 participantes, todos ansiosos de
hacerse  con  la  base  de clientes de una tienda virtual ficticia. La
semana  pasada,  concluía  la  segunda edición del popular concurso de
'hacking'   Boinas  Negras,  organizado  por  el  Instituto  Seguridad
Internet.  Camisetas,  boinas,  quesos y un jamón eran los premios, en
una maratón que duró un mes y algunos concluyeron en siete días.

"El  objetivo de este nuevo reto consiste en explotar vulnerabilidades
en  una  tienda  electrónica  que  soporta  las  funciones  de  compra
habituales:  búsqueda  de  productos, adición de productos al carrito,
pago  de  la  compra, autenticación de clientes, administración de los
datos  personales, etc". Así se presentaba, a finales de mayo, el Reto
de  Hacking  Web,  ideado  por  el  experto  en seguridad web, Gonzalo
Álvarez  Marañón.  Constaba  de  cinco niveles, que debían superarse a
partir  del  descubrimiento  de  una vulnerabilidad aprovechable, para
robar  tarjetas  de crédito, hacer compras por valor de un euro, mirar
lo que ha mirado alguien antes o, la última y más difícil, obtener una
cuenta con acceso a la base de datos de clientes de la tienda.

Gonzalo  Álvarez  Marañón  concibió las pruebas basándose "en agujeros
detectados  durante  el curso de auditorías web a empresas. Algunos de
estos  errores  son  todavía  muy  frecuentes en la inmensa mayoría de
comercios,   bancos  y  periódicos  en  línea,  como  el  "Cross  Site
Scripting",  o  menos  frecuentes  pero  dan  mucho  juego". Además de
aprender  jugando,  los  más  de 2.800 participantes se han conocido y
comunicado  a  través  de  un  canal  de  chat,  #boinasnegras,  en el
IRC-Hispano:  "Algunos  tenían  un  gran nivel de conocimiento y mucho
ingenio", afirma el creador del concurso.

Lo  mismo piensa el ganador, Pere Planiol, de Santa Coloma de Farners,
26  años,  doctorando  en  Ingeniería Informática de la Universitat de
Girona:  "Lo  mío ha sido suerte". Planiol, que concursó bajo el alias
Cthulhugroup,  asegura  que  lo  hizo  "para  pasarlo bien, no buscaba
ningún  premio  ni  trabajo de consultor, este tema me gusta bastante,
como  pasatiempo,  creo  que  no  se da la suficiente importancia a la
seguridad.  Participé también el año pasado y he estado en otros, como
Izhal o HackersLab".

Aunque la organización daba un mes para superar el reto, en una semana
Cthulhugroup  se  había hecho con la preciada base de datos, el dos de
junio,  casi  a medianoche. Dos días después entraba spinlock, seguido
de  Pinocho, vaijira y tayoken. Éstos lo conseguían pasadas las cuatro
de  la  madrugada,  prueba  del  interés de los participantes: "No era
fácil, pero si estás puesto en el tema, los ataques contra una web son
muy  limitados,  siguiendo  las bases del concurso, que no permitía la
fuerza  bruta  y  otros.  Lo  complejo era encontrar el fallo, más que
aplicarlo.  Las cuatro primeras pruebas se hacían en pocos días. Pero,
en la última, el agujero estaba muy escondido", explica.

La  clave del último nivel era un guiño desde la organización: "La web
identificaba   el   idioma  de  tu  navegador,  por  tanto  había  una
comunicación  con el navegador y podías meter datos tuyos, manipulando
cabezeras  e  inyectando  SQL.  El  problema  era  que, de unas veinte
páginas que tenía la web, sólo funcionaba en una. Si probabas el fallo
en  una  página y no iba, deducías incorrectamente que pasaba igual en
todas.  Por tanto, tenías que ser sistemático, ir probando una a una",
asegura  el  joven, con un deje de admiración hacia el truco. Y añade:
"Hacer  un  concurso  fácil  es  muy fácil, hacer un concurso difícil,
también.   Pero   hacerlo  a  medias,  fácil  y  difícil,  es  lo  más
complicado".

Como pasó el año pasado con el Reto de Autenticación Web, el Instituto
Seguridad  Internet  no  publicará las soluciones del concurso. Dejará
abierto  el  Reto  de  Hacking Web a quien quiera probar, sin premios,
explica  Álvarez  Marañón:  "La  gente  que ha estado de exámenes o de
vacaciones  podrá  intentarlo,  si no tuvo oportunidad. El primer reto
aún  sigue  en  activo, con más de 21.000 participantes que han pasado
por sus pruebas, 340 han conseguido superarlas todas".


Boinas Negras
http://www.boinasnegras.com
Instituto Seguridad Internet
http://www.instisec.com
Izhal
http://www.izhal.com
HackersLab
http://www.hackerslab.org


Copyright (C) 2003 Mercè Molist.
Verbatim  copying, translation and distribution of this entire article
is permitted in any medium, provided this notice is preserved.

More information about the hacking mailing list