PDA

Ver la versión completa : 2.800 participantes para 'hackear' una tienda virtual



Sn@ke
04-07-2003, 01:43
Un ganador de 26 años y 2.800 participantes más, todos ansiosos por hacerse con la base de clientes de una tienda virtual ficticia. La semana pasada concluyó la segunda edición del concurso de hacking Boinas Negras, organizado por el Instituto Seguridad Internet. Camisetas, boinas, quesos y un jamón eran los premios. "El objetivo de este nuevo reto consiste en explotar vulnerabilidades en una tienda electrónica que soporta las funciones de compra habituales: búsqueda de productos, adición de productos al carrito, pago de la compra, autentificación de clientes, administración de los datos personales, etcétera". Era el Reto de Hacking Web, ideado por el experto en seguridad Gonzalo Álvarez Marañón. El ganador, Pere Planiol, sólo necesitó una semana para romper los sistemas de seguridad.

El reto constaba de cinco niveles, que debían superarse a partir del descubrimiento de una vulnerabilidad aprovechable, para robar tarjetas de crédito, hacer compras por valor de un euro, mirar lo que ha mirado alguien antes o, la última y más difícil, obtener una cuenta con acceso a la base de datos de clientes de la tienda.

Álvarez Marañón concibió las pruebas basándose "en agujeros detectados durante el curso de auditorías web a empresas. Algunos de estos errores son muy frecuentes en la inmensa mayoría de comercios, bancos y periódicos en red".

Resultó ganador Pere Planiol, de Santa Coloma de Farners, doctorando en Ingeniería Informática de la Universidad de Girona. Planiol, que concursó bajo el alias Cthulhugroup, asegura que lo hizo para pasarlo bien. "No buscaba premios ni trabajo de consultor; este tema me gusta bastante como pasatiempo. Creo que no se da suficiente importancia a la seguridad. Participé también el año pasado y he estado en otros, como Izhal o HackersLab".

Aunque la organización daba un mes para superar el reto, Cthulhugroup lo hizo en una semana. Dos días después entraba spinlock, seguido de Pinocho, vaijira y tayoken. "No era fácil, pero si estás puesto en el tema, los ataques contra una web son muy limitados, siguiendo las bases del concurso, que no permitía la fuerza bruta. Lo complejo era encontrar el fallo, más que aplicarlo. Las cuatro primeras pruebas se hacían en pocos días; pero, en la última, el agujero estaba muy escondido".

La clave del último nivel era un guiño de la organización: "La web identificaba el idioma de tu navegador, por tanto, había una comunicación con el navegador y podías meter datos tuyos, manipulando cabeceras e inyectando SQL. El problema era que, de unas 20 páginas que tenía la web, sólo funcionaba en una. Si probabas el fallo en una página y no iba, deducías incorrectamente que pasaba igual en todas. Por tanto, tenías que ir probando una a una".

:0=
FUENTE: http://www.elpaisuniversidad.com