'HACKTIVISMO'

2.800 participantes para 'hackear' una tienda virtual

03 jul 2003 - 00:00CEST

Un ganador de 26 a?os y 2.800 participantes m��s, todos ansiosos por hacerse con la base de clientes de una tienda virtual ficticia. La semana pasada concluy�� la segunda edici��n del concurso de hacking Boinas Negras, organizado por el Instituto Seguridad Internet. Camisetas, boinas, quesos y un jam��n eran los premios. "El objetivo de este nuevo reto consiste en explotar vulnerabilidades en una tienda electr��nica que soporta las funciones de compra habituales: b��squeda de productos, adici��n de productos al carrito, pago de la compra, autentificaci��n de clientes, administraci��n de los datos personales, etc��tera". Era el Reto de Hacking Web, ideado por el experto en seguridad Gonzalo ?lvarez Mara?��n. El ganador, Pere Planiol, s��lo necesit�� una semana para romper los sistemas de seguridad.

M��s informaci��n

EE UU y varias empresas de seguridad advierten de un ataque inform��tico masivo este fin de semana

BOINAS NEGRAS::

INSTITUTO SEGURIDAD INTERNET::

IZHAL::

HACKERSLAB::

El reto constaba de cinco niveles, que deb��an superarse a partir del descubrimiento de una vulnerabilidad aprovechable, para robar tarjetas de cr��dito, hacer compras por valor de un euro, mirar lo que ha mirado alguien antes o, la ��ltima y m��s dif��cil, obtener una cuenta con acceso a la base de datos de clientes de la tienda.

?lvarez Mara?��n concibi�� las pruebas bas��ndose "en agujeros detectados durante el curso de auditor��as web a empresas. Algunos de estos errores son muy frecuentes en la inmensa mayor��a de comercios, bancos y peri��dicos en red".

Result�� ganador Pere Planiol, de Santa Coloma de Farners, doctorando en Ingenier��a Inform��tica de la Universidad de Girona. Planiol, que concurs�� bajo el alias Cthulhugroup, asegura que lo hizo para pasarlo bien. "No buscaba premios ni trabajo de consultor; este tema me gusta bastante como pasatiempo. Creo que no se da suficiente importancia a la seguridad. Particip�� tambi��n el a?o pasado y he estado en otros, como Izhal o HackersLab".

Aunque la organizaci��n daba un mes para superar el reto, Cthulhugroup lo hizo en una semana. Dos d��as despu��s entraba spinlock, seguido de Pinocho, vaijira y tayoken. "No era f��cil, pero si est��s puesto en el tema, los ataques contra una web son muy limitados, siguiendo las bases del concurso, que no permit��a la fuerza bruta. Lo complejo era encontrar el fallo, m��s que aplicarlo. Las cuatro primeras pruebas se hac��an en pocos d��as; pero, en la ��ltima, el agujero estaba muy escondido".

La clave del ��ltimo nivel era un gui?o de la organizaci��n: "La web identificaba el idioma de tu navegador, por tanto, hab��a una comunicaci��n con el navegador y pod��as meter datos tuyos, manipulando cabeceras e inyectando SQL. El problema era que, de unas 20 p��ginas que ten��a la web, s��lo funcionaba en una. Si probabas el fallo en una p��gina y no iba, deduc��as incorrectamente que pasaba igual en todas. Por tanto, ten��as que ir probando una a una".

Tu suscripci��n se est�� usando en otro dispositivo

?Quieres a?adir otro usuario a tu suscripci��n?

A?adir usuario Continuar leyendo aqu��

Si contin��as leyendo en este dispositivo, no se podr�� leer en el otro.

?Por qu�� est��s viendo esto?

Flecha

Tu suscripci��n se est�� usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.

Si quieres compartir tu cuenta, cambia tu suscripci��n a la modalidad Premium, as�� podr��s a?adir otro usuario. Cada uno acceder�� con su propia cuenta de email, lo que os permitir�� personalizar vuestra experiencia en EL PA?S.

En el caso de no saber qui��n est�� usando tu cuenta, te recomendamos cambiar tu contrase?a aqu��.

Si decides continuar compartiendo tu cuenta, este mensaje se mostrar�� en tu dispositivo y en el de la otra persona que est�� usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu�� los t��rminos y condiciones de la suscripci��n digital.